CoinMiner.UX троянская программа [Worm.Win32.WBNA.ipa]

Здравствуйте! Нод 32 выявил следующую угрозу: "Время;Модуль сканирования;Тип объекта;Объект;Обнаружение;Действие;Пользователь;Информация;Хэш;Первое обнаружение здесь
11.02.2020 0:59:40;Защита в режиме реального времени;файл;C:\ProgramData\Microsoft\Windows Defender\Support\Log\profilier.exe;Win64/CoinMiner.UX троянская программа;очищен удалением;NT AUTHORITY\СИСТЕМА;Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\7-Zip\7z.exe (A67D3B35743F6CA383673A3848B8C97EC164CC0D).;E017DDB82396445298EAAB70EC373DFA81432A41;08.01.2020 17:41:53"

Ранее антивирус уже обнаруживал эту угрозу, это было 8 января, затем 26 января и сегодня 11 февраля вновь произошло обнаружение. Как видно, вирус генерируется приложением 7 - Zip, удаление этого приложения естественно от вируса не избавляет, да и само оно возрождается как птица феникс, поэтому прошу помочь разобраться со зловредом. Ох уж эти майнеры...:furious3:

Уважаемый(ая) [B]Nikoly[/B], спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Отключите временно антивирус.
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\ProgramData\Microsoft\Windows Defender\Support\Log\DiagTool.exe', '');
QuarantineFile('C:\Windows\SysWOW64\DiagSvcs\DTM\InspectNS.exe', '');
QuarantineFileF('c:\programdata\microsoft\windows defender\support\log', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
QuarantineFileF('c:\windows\syswow64\diagsvcs\dtm', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
DeleteFile('C:\ProgramData\Microsoft\Windows Defender\Support\Log\DiagTool.exe', '64');
DeleteFile('C:\Windows\SysWOW64\DiagSvcs\DTM\InspectNS.exe', '64');
DeleteFileMask('c:\programdata\microsoft\windows defender\support\log', '*', true);
DeleteFileMask('c:\windows\syswow64\diagsvcs\dtm', '*', true);
DeleteDirectory('c:\programdata\microsoft\windows defender\support\log');
DeleteDirectory('c:\windows\syswow64\diagsvcs\dtm');
DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinRepair');
DeleteSchedulerTask('SystemDiagnostic');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Карантин отправил, два файла скана в одном архиве, как и просили.

Последите пару дней, что с проблемой.

Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].

Приложите этот файл к своему следующему сообщению.

сделал

[QUOTE]>> Заблокирована настройка автоматического обновления[/QUOTE]Понимаю, но использование билда 1709, поддержка которого завершилась в марте 2019 года чревата проблемами безопасности. А если сборка 2017 года вообще не обновлялась - тут и опаснейшие уязвимости, известные как BlueKeep и EternalBlue имеются (погуглите).

[QUOTE]7-Zip 16.04 (x64) v.16.04 [color=red][b]Внимание! [url=https://www.7-zip.org/download.html]Скачать обновления[/url][/b][/color][/QUOTE]Архиваторы тоже используются в нехороших целях:
[URL="https://www.anti-malware.ru/news/2018-05-10-1447/26202"]Критический баг в 7-Zip приводит к выполнению произвольного кода[/URL].

Так, версию 16.04. вроде бы обновил, компьютер перезагрузился. По поводу обновлений виндовс, я думаю вы знаете, что эти товарищи, в обновлении одно чинят другое ломают, и дабы система постоянно не беспокоила своими обновлениями, я их отключил. Что мне нужно сделать, как я понимаю, поставить последний пакет обновлений, верно? А по поводу билда 1709 отдельная история, как я сегодня вычитал, каждая версия виндовс, т.е. этот самый билд поддерживается только 1,5 года. Если я всё правильно понял, что бы иметь актуальную "поддерживаемую" версию ОС, нужно каждые 1,5 года покупать новую сборку из серии примерно за 15000 руб? Это конечно....:shok:

Зачем покупать каждый раз, система обновляется до нового совершенно бесплатно. Если начать ставить обновления автоматически сейчас, это может быть долго и мучительною Лучше обновлять через [URL="https://www.microsoft.com/ru-ru/software-download/windows10"]Update Assistant[/URL] до последнего билда, или делать чистую установку с помощью Media Creation Tool, ссылка там же. При наличии честной активации текущей версии новая активируется без проблем.

Кстати, [URL="https://virusinfo.info/showthread.php?t=221130"]рецидив с майнером[/URL], видимо, что-то из архива 7z устанавливаете заражённое каждый раз.

Нет, не устанавливаю. Я в т.ч удалял данное приложение, но оно спустя какое то время само появляется C:\Program Files\7-Zip , при этом ничего на компьютер не устанавливалось и даже файлы которые открываются данным приложением также не были тронуты и не скачивались. Т.е. что-то запускает команду на создание этого приложения. И сейчас уже точно не помню, но по моему, ранее проблема была на другом компьютере и там вопрос был решён., а эта возникла на другом.

Судя по описанию зловреда Worm.Win32.WBNA.ipa, он распространяется по сети, скорее всего, может и через админские шары распространяться.
Выполните в AVZ скрипт, он их отключит:[CODE]begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
ExecuteWizard('SCU',2,2,true);
RebootWindows(false);
end.[/CODE]

Скрипт выполнил, виндовс обновил до последней версии, всё встало нормально, хотя были небольшие косяки, но самое главное, что вчера после этого обновления нагрузка на процессор стала прыгать от 12 вплоть до 100 %, причём повторялось это как какое то упражнение или запрограммированный ряд действий, в гугле нашёл информацию о том, что такая проблема была, но её устранили, сегодня на момент написания загрузка от 6 до 12 процентов в обычном режиме, пока скачков не наблюдаю, как вчера. Ну вот пока писал, отвалился интернет, интересно разовый случай, или опять обновлений ждать....

Если другие компьютеры в сети есть - тоже желательно обновлять и скрипт из сообщения #11 выполнить.

Есть второй компьютер, но пока посмотрю как на этом система себя будет вести, а то танцы с бубном по поводу интернета я уже сегодня провёл, интернет работал минуту, затем отключался, причём в параметрах виндовс пишет - доступ к интернету отсутствует, а в утилите TP-Link состояние подключено и 100% уровень сигнала. Через диагностику и устранение неполадок вроде бы всё заработало, но хватило минуты на две, затем воспользовавшись вторым компьютером, на котором естественно такой проблемы нет, погуглил и выяснил, что вроде как помогает именно общий сброс настроек сети, в общем провёл эту процедуру, пока не всё работает.

Ну вроде бы всё, активности, спасибо огромное за помощь, тему можно закрывать.

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
[LIST][*]=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: [B]1[/B][*]=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: [B]2[/B][*]=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
[LIST=3D1][*] c:\windows\syswow64\diagsvcs\dtm\inspectns.exe - [B]Worm.Win3=
2.WBNA.ipa[/B] ( AVAST4: Win32:Malware-gen )[/LIST][/LIST]