Помогите с Трояном Майнером BitMiner

Добрый день!

[COLOR=#444444][FONT=&quot]У нас расбушевался троян BitMiner.kb BitMiner.ays (Касперский) или Mocsupin.A (по Microsoft Defender).
Привожу логи с зараженного ПК, с которого троянец распространяется по локальной сети: на всех ПК, где учетная запись пользователя с зараженного ПК включена в Администраторы появляется файл EIMG001.exe в папках автозапуска для всех пользователей. После EIMG001.exe создает файлы IMG001.exe IMG002.exe ...
Доменными политиками пробуем запретить запуск эти файлов.

[/FONT][/COLOR]Сначала запустил AutoLogger без "От имени Администратора" CollectionLog-2017.01.11-11.48
[COLOR=#444444][FONT=&quot]После перезагрузил ПК и ещё раз запустил через " Запуск от имени Администратора" [/FONT][/COLOR]CollectionLog-2017.01.11-12.01

[COLOR=#444444][FONT=&quot]ПС:
[/FONT][/COLOR][COLOR=#444444][FONT=&quot]Ссылки на virustotal - эти файлы были залиты туда год назад, когда впервые появилась эта зараза у нас:[/FONT][/COLOR]

[COLOR=#444444][FONT=&quot]EIMG001.exe[/FONT][/COLOR]
[COLOR=#444444][FONT=&quot]https://www.virustotal.com/ru/file/b90255a4e8b55925d07749c7552e46ccc898b5c5097d0db48c0c24f4cb90ff95/analysis/[/FONT][/COLOR]

[COLOR=#444444][FONT=&quot]IMG001.exe (3 366 168байт)[/FONT][/COLOR]
[COLOR=#444444][FONT=&quot]https://www.virustotal.com/ru/file/52b941c26b155b8ee53693655506d76bf74aa5b94ecaccc1c45ba98de196d079/analysis/1450344160/[/FONT][/COLOR]

[COLOR=#444444][FONT=&quot]IMG001.exe (4 314 289байт)[/FONT][/COLOR]
[COLOR=#444444][FONT=&quot]https://www.virustotal.com/ru/file/e76366ba039becd2e9feef4753ee52b57c3e5bf760f608f598742c7a07d18f6d/analysis/1450344285/[/FONT][/COLOR]
[COLOR=#444444][FONT=&quot]
Посмотрите, пож-ста, прикрепленные отчеты... и можно ли что с этим сделать?
Благодарю![/FONT][/COLOR]

Уважаемый(ая) [B]san80[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте!

- Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\EIMG001.exe', '');
DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\EIMG001.exe', '32');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

[url=http://virusinfo.info/showthread.php?t=121767][b]Сделайте полный образ автозапуска uVS[/b][/url], только программу скачайте [url=https://yadi.sk/d/6A65LkI1WEuqC]отсюда.[/url]