Показано с 1 по 19 из 19.

Что это? Помогите пожалуйста. [not-a-virus:RiskTool.Win32.BitCoinMiner.lrc ] (заявка № 153273)

  1. #1
    Junior Member Репутация
    Регистрация
    09.08.2010
    Сообщений
    52
    Вес репутации
    28

    Что это? Помогите пожалуйста. [not-a-virus:RiskTool.Win32.BitCoinMiner.lrc ]

    Доброй ночи уважаемые.
    Совершенно случайно на одном из серверов обнаружил на диска С папку nt, а в этой папке файлик: CreateUA_by_Alex_Trin.exe
    Антивирусник ничего про него не сказал. В интернете ничего внятного не отыскал - на некоторых сайтах мелькнуло что граббер.
    И что-то я сильно напрягся на этот счёт. Помогите-научите - что это и что нужно сделать чтобы удалить последствия если это вредитель.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,465
    Вес репутации
    343
    Уважаемый(ая) kan510, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    09.08.2010
    Сообщений
    52
    Вес репутации
    28
    вот ещё что забыл написать - весит файлик 120 кб
    удалился без вопросов. В реестре его следов не обнаружил.
    сервер пользуют терминальные пользователи.
    может от них что-то залетело ... или закинули

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,320
    Вес репутации
    1028
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  6. #5
    Junior Member Репутация
    Регистрация
    09.08.2010
    Сообщений
    52
    Вес репутации
    28
    Вложение 456784Вложение 456783Вложение 456782правила читал.
    проверку выполнил
    логи приложены.

    Пока работал АВЗ - отыскал каталожик svchost - загружен сегодня в 12-57, а внутри файлики
    bad.txt
    config.ini
    error.txt
    good.txt
    password.txt
    login.txt
    и ещё несколько файликов dll

    также каталог pooler-cpuminer-2.3.2-win32
    а внутри файлик bat.bat с содержимым:
    minerd.exe --url stratum+tcp://litecoinpool.org:3333 --userpass dimonalek.1:1
    всё это я удалил

    сейчас сервер без пользователей - а нагрузка 40-50%

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,133
    Вес репутации
    929
    Эти каталоги Вы удалили?

  8. #7
    Junior Member Репутация
    Регистрация
    09.08.2010
    Сообщений
    52
    Вес репутации
    28
    Цитата Сообщение от Никита Соловьев Посмотреть сообщение
    Эти каталоги Вы удалили?
    удалил в корзинку (можно вернуть если что - не исключал вероятности, что могут понадобится для изучения)

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,133
    Вес репутации
    929
    Для исследования понадобятся. Поместите, пожалуйста, их в архив ZIP с паролем virus и закачайте через форму, доступную по красной ссылке над первым сообщением в этой теме.

    D:\Rar$DI02.844\1.cmd
    - известен данный файл?

  10. #9
    Junior Member Репутация
    Регистрация
    09.08.2010
    Сообщений
    52
    Вес репутации
    28
    D:\Rar$DI02.844\1.cmd - известен данный файл?
    сейчас нет такого, хотя когда ковырялся в системе - видел на диске D - D:\Rar$ ..... - значения не придал этому
    сервер перегружался несколько раз - вероятнее всего после перезагрузок исчезли
    файлы вкладываю

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,133
    Вес репутации
    929
    Понятно. В настоящее время загрузка ЦП наблюдается?

  12. Это понравилось:


  13. #11
    Junior Member Репутация
    Регистрация
    09.08.2010
    Сообщений
    52
    Вес репутации
    28
    да наблюдается.
    выключаю службу - MSSQLSERVER - нагрузка падает до нуля
    включаю службу - сначала ноль, потом опять растёт до 40-50%

  14. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,133
    Вес репутации
    929
    Что уже хорошо. Значит следов miner не осталось на сервере. Я рекомендовал бы проверить хотя бы самые подозрительные машины в Вашей сети. Например, те, которые чаще всего используются для поиска информации в интернете, к которым часто подключаются разнообразные сменные носители и т.д.

  15. #13
    Junior Member Репутация
    Регистрация
    09.08.2010
    Сообщений
    52
    Вес репутации
    28
    К серверу подключаются только терминалом!
    При подключении стартует 1С - и более ничего.
    есть 2 ПК которые лезут на сервер в общие папки - но вероятность что они заразны очень мала (хотя проверю их обязательно!!!)

    А вообще все сотрудники в инете постоянно! - живут там. профиль работы такой.

    А нагрузка почему вдруг так возросла на процессор? комп сейчас пустой, никто не работает, а нагружен на 40-50%
    Может ещё что сидит?

  16. #14

  17. #15
    Junior Member Репутация
    Регистрация
    09.08.2010
    Сообщений
    52
    Вес репутации
    28
    готово
    Только как-то странно.
    первый запуск пришлось прерывать работу программы.
    со второго раза отработала почти мгоновенно

  18. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,133
    Вес репутации
    929
    Здесь тоже никаких подозрительных изменений. Dr.Web cureit выполнял проверку в момент создания отчета?

  19. #17
    Junior Member Репутация
    Регистрация
    09.08.2010
    Сообщений
    52
    Вес репутации
    28
    он запущен, проставлены галочки настроек - но кнопка начать проверку не нажата.

    а вот рекомендованная Вами программа ( RSIT ) - её повторный запуск всё думает чё-то

    - - - Добавлено - - -

    вот в данную секунду sqlserv.exe - кушает 38% ЦП и постоянно растёт число прочитано байт записано байт.
    что-то он делает непонятное.
    На другом аналогичном сервере все по нулям.
    пока я писал ответ RSIT - доделал логи.
    дублирую их (лог инфо чуть больше по размеру чем я высылал ранее)

    - - - Добавлено - - -

    не с того ни с сего загрузка упала с 40-50 на 1-2 процента.
    что было? что так контачит у сервера?
    Никита спасибо Вам за помощь!
    Реально помогли!
    Ещё раз спасибо!!!

    Если можно удовлетворите любопытство - это что за файлик был с которого всё началось: CreateUA_by_Alex_Trin.exe

  20. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,133
    Вес репутации
    929
    Всё же проверяйте машины в сети.

  21. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 16
    • В ходе лечения обнаружены вредоносные программы:
      1. \pooler-cpuminer-2.3.2-win32\minerd.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.lrc ( DrWEB: Tool.BtcMine.130, BitDefender: Application.BitCoinMiner.BK )


  • Уважаемый(ая) kan510, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогите пожалуйста
      От DemiGood в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 23.10.2011, 01:04
    2. Ответов: 9
      Последнее сообщение: 08.08.2011, 15:49
    3. Помогите пожалуйста
      От Dolphin в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 13.02.2010, 09:48
    4. Помогите пожалуйста
      От Yoten в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 24.11.2009, 16:22
    5. Ответов: 23
      Последнее сообщение: 22.02.2009, 02:23

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01144 seconds with 16 queries