Вирус создает файл VID001 [Worm.NSIS.BitMin.d]

**jo_ny1994** · 12.04.2020, 16:56

Не могу справиться с вирусом. После лечения постоянно самовосстанавливается.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 12.04.2020, 16:57

Уважаемый(ая) jo_ny1994, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 13.04.2020, 07:47

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\VID001.exe', 'Worm.NSIS.BitMin.d');
 QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\VID001.exe', 'Worm.NSIS.BitMin.d');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\VID001.exe', '32');
 DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\VID001.exe', '');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Перезагрузите сервер.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Это сетевой червь, избавиться от него удалением только на одном компьютере не получится. Ищите источник заразы на других компьютерах, лечите KVRT или Dr. Web CureIt!.

**jo_ny1994** · 13.04.2020, 19:57

Добрый день! Большое спасибо, что откликнулись! Сделал все как вы сказали.

**Vvvyg** · 13.04.2020, 21:24

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**jo_ny1994** · 14.04.2020, 10:43

Добрый день! Прикрепляю файлы FRST.txt, Addition.txt в архиве.

**Vvvyg** · 14.04.2020, 12:11

Администратор (S-1-5-21-1722782013-4194436497-741305370-500 - Administrator - Enabled)
Гость (S-1-5-21-1722782013-4194436497-741305370-501 - Limited - Disabled)
vadim (S-1-5-21-43630075-1771330614-4226716454-1117 - Administrator - Enabled) => C:\Users\vadim
Andrei (S-1-5-21-43630075-1771330614-4226716454-1118 - Administrator - Enabled) => C:\Users\Andrei
nastya (S-1-5-21-43630075-1771330614-4226716454-1127 - Limited - Enabled) => C:\Users\nastya
denis (S-1-5-21-43630075-1771330614-4226716454-1149 - Administrator - Disabled) => C:\Users\denis
dz (S-1-5-21-43630075-1771330614-4226716454-1612 - Administrator - Enabled) => C:\Users\dz
BackUPIntra (S-1-5-21-43630075-1771330614-4226716454-1614 - Limited - Disabled) => C:\Users\BackUPIntra
serezev (S-1-5-21-43630075-1771330614-4226716454-1623 - Administrator - Enabled) => C:\Users\serezev
serg (S-1-5-21-43630075-1771330614-4226716454-1697 - Administrator - Enabled) => C:\Users\serg
evg (S-1-5-21-43630075-1771330614-4226716454-1698 - Administrator - Enabled) => C:\Users\evg
srt (S-1-5-21-43630075-1771330614-4226716454-1719 - Administrator - Enabled) => C:\Users\srt
galiev (S-1-5-21-43630075-1771330614-4226716454-1724 - Administrator - Enabled) => C:\Users\galiev

Явный избыток пользователей с правами администратора, это верный путь к бардаку и вирусам. Урезайте права, где они нужны полные, регулируйте правами на конкретные папки, разделы реестра и пр.

Когда в сети червь,избавиться от него можно, только вычистив со всех компьютеров в ЛВС: отключаете от сети, пролечиваете KVRT или Dr. Web CureIt! и не подключаете к локалке до проверки всех остальных.

Для сервера почистим ещё раз, но готовьтесь к рецидиву.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
() [File not signed] C:\Users\evg\AppData\Roaming\TempoRX\VID001.exe
HKU\S-1-5-21-43630075-1771330614-4226716454-1698\...\Run: [] => [X]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\VID001.exe [2019-12-24] () [File not signed]
Startup: C:\Users\evg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.lnk [2020-04-13]
ShortcutTarget: explorer.lnk -> C:\Users\evg\AppData\Roaming\TempoRX\VID001.exe () [File not signed]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\VID001.exe
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Уведомление

Сервер может быть перезагружен автоматически

Выполнять лучше в безопасном режиме, или остановив хотя бы службы SQL Server и Traffic Inspector!

Сообщите, что с проблемой.

**jo_ny1994** · 14.04.2020, 21:36

Добрый вечер! Сделал все как советовали. Прикрепляю файл

**Vvvyg** · 14.04.2020, 21:54

Червь удалён. Если не заразили снова - должно быть чисто.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.

**jo_ny1994** · 15.04.2020, 09:36

Добрый день! Выполнил скрипт

**Vvvyg** · 15.04.2020, 10:19

Поиск критических уязвимостей
Уязвимость в MSXML делает возможным удаленное выполнение кода
https://www.microsoft.com/downloads/...0-4e0f4a65db04
Запускайте обновление от имени Администратора

Желательно установить хотфикс по ссылке.

Червь не проявляется, в т. ч. на других компьютерах?

**jo_ny1994** · 15.04.2020, 10:45

Пока вроде больше нигде не обнаружил.
Спасибо большое!

Если по ссылке перейти, то выдает вот это 404 - File or directory not found.
The resource you are looking for might have been removed, had its name changed, or is temporarily unavailable.
Из другого места можно это скачать? И что нужно скачать, не совсем понял.

**Vvvyg** · 15.04.2020, 11:33

Ссылка устарела, как и операционная система

Обновлять лучше, конечно через автоматическое обновление. Как вариант - оффлайновым пакетом: Набор обновлений UpdatePack7R2 для Windows 7 SP1 и Server 2008 R2 SP1. На свой страх и риск.

**CyberHelper** · 15.04.2020, 11:43

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 2
=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
1. c:\programdata\microsoft\windows\start menu\programs\startup=
  \vid001.exe - Worm.NSIS.BitMin.d ( BitDefender: Application.Bi=
  tCoinMiner.IG, AVAST4: Win32:Malware-gen )
2. c:\users\all users\start menu\programs\startup\vid001.exe - =
  Worm.NSIS.BitMin.d ( BitDefender: Application.BitCoinMiner.IG, =
  AVAST4: Win32:Malware-gen )

Вирус создает файл VID001 [Worm.NSIS.BitMin.d] (заявка № 224824)

Опции темы