Помогите с Трояном Майнером BitMiner

**san80** · 11.01.2017, 12:25

Добрый день!

У нас расбушевался троян BitMiner.kb BitMiner.ays (Касперский) или Mocsupin.A (по Microsoft Defender).
Привожу логи с зараженного ПК, с которого троянец распространяется по локальной сети: на всех ПК, где учетная запись пользователя с зараженного ПК включена в Администраторы появляется файл EIMG001.exe в папках автозапуска для всех пользователей. После EIMG001.exe создает файлы IMG001.exe IMG002.exe ...
Доменными политиками пробуем запретить запуск эти файлов.

Сначала запустил AutoLogger без "От имени Администратора" CollectionLog-2017.01.11-11.48
После перезагрузил ПК и ещё раз запустил через " Запуск от имени Администратора" CollectionLog-2017.01.11-12.01

ПС:
Ссылки на virustotal - эти файлы были залиты туда год назад, когда впервые появилась эта зараза у нас:

EIMG001.exe
https://www.virustotal.com/ru/file/b90255a4e8b55925d07749c7552e46ccc898b5c5097d0db48c 0c24f4cb90ff95/analysis/

IMG001.exe (3 366 168байт)
https://www.virustotal.com/ru/file/52b941c26b155b8ee53693655506d76bf74aa5b94ecaccc1c4 5ba98de196d079/analysis/1450344160/

IMG001.exe (4 314 289байт)
https://www.virustotal.com/ru/file/e76366ba039becd2e9feef4753ee52b57c3e5bf760f608f598 742c7a07d18f6d/analysis/1450344285/

Посмотрите, пож-ста, прикрепленные отчеты... и можно ли что с этим сделать?
Благодарю!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 11.01.2017, 12:26

Уважаемый(ая) san80, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**regist** · 11.01.2017, 22:52

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\EIMG001.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\EIMG001.exe', '32');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

Помогите с Трояном Майнером BitMiner (заявка № 207943)

Опции темы