-
Junior Member
- Вес репутации
- 21
Помогите победить зловреда JS/CoinMiner.BF
Здравствуйте! Пару дней назад Eset Internet Security начал оповещать об угрозе JS/CoinMiner.BF при этом, при открытии любого сайта антивирус блокирует соединение и пишет что ваш компьютер в безопасности - угроза устранена, т.е. страница не открывается, но если нажать на перезагрузку страницы, то она откроется. Так же при обращении к программам, и даже принтеру, антивирус также срабатывает, указывает на то, что найдено потенциально нежелательное приложение - объект потенциально нежелательная программа (JS/CoinMiner.AH), такое сообщение выдаётся антивирусом при открытии практически любой программы. Помогите пожалуйста разобраться с проблемой Логи сделаны.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Николай 1992, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
У Вас взломан роутер Mikrotik, через него трафик проксируется и направляется на зловредные сайты, что и вызывает срабатывание Eset Internet Security.
Обновите прошивку и устраните последствия взлома: Уязвимость Mikrotik позволяет получать список всех пользователей через winbox.
Или просто сбросьте настройки на заводские и настройте заново.
-
-
Junior Member
- Вес репутации
- 21
Но у меня до недавнего времени стоял микротик, а сейчас стоит TP Link TL-WR841N, как только я его подсоединил к компьютеру, соответственно тут же начал срабатывать нод. Т.е. новый роутер также является взломанным?
-
-
-
Junior Member
- Вес репутации
- 21
Я ознакомился со статьей, выполнил все рекомендации, т.е. отключил роутер от сети, обновил по до последней версии, сменил логин и пароль. Если до этого антивирус постоянно срабатывал на попытку отправки трафика, да и вообще срабатывание было при посещении любого сайта или обновлении страницы, то теперь вроде бы всё стало нормально, объясняю почему вроде..., так как при обращении например к сайту Калининградского арбитражного суда http://kaliningrad.arbitr.ru/ антивирус срабатывает, вопрос: может ли этот сайт действительно быть заражённым и поэтому происходит срабатывание?
- - - - -Добавлено - - - - -
Хотя сейчас всё-таки наблюдается срабатывание, но не такое частое, как было на различные сайты. Я кстати менял настройки роутера ещё в пятницу, но я не отключал его от сети, а сегодня не смог осуществить вход под новым именем и паролем, странно..., в общем отключил от сети, кнопкой на роутере сбросил настройки, выполнил вход и проделал вышеуказанные действия вновь). Получается что мне эти действия не помогли?
-
Возможно, уязвимость есть и в обновлённой версии прошивки. Какая аппаратная ревизия и версия прошивки? https://www.tp-link.com/ru/download/....html#Firmware
-
-
Junior Member
- Вес репутации
- 21
-
Данных о уязвимости этой версии нет. Пароль администратора меняли? Какой ip на WAN роутера? В статусе посмотрите.
-
-
Junior Member
- Вес репутации
- 21
Пароль администратора менял, ip WAN роутера - динамический.
- - - - -Добавлено - - - - -
Ещё такие обстоятельства выяснились, я сегодня попробовал вставить интернет провод напрямую в компьютер, без маршрутизатора, а интернет секюрити выдал мне сообщение о том, что к компьютеру был подключён новый маршрутизатор, о котором я собственно от антивируса и узнал, скриншот прилагается. При попытке открыть веб-интерфес, страница изначально блокируется антивирусом, а затем просто не открывается.Вложение 673668
-
Тогда всё ясно - это провайдерский Mikrotik взломан. Передайте им большой привет и ссылку из сообщения #3.
-
-
Junior Member
- Вес репутации
- 21
Спасибо за ответ, написал письмо в службу поддержки провайдера, буду ждать от них ответ. Как только что-то станет известно, отпишусь.
- - - - -Добавлено - - - - -
Геннадий Морозов (Служба добрых дел ESET Russia) просил передать вам привет!
-
Жду, интересна их скорость реакции на серьёзный факап.
-
-
Junior Member
- Вес репутации
- 21
Сегодня дозвонился до провайдера, они сказали что о у них всё обновлено, о данной уязвимости им стало известно ещё августе. Написал повторно им письмо, т.к. ответа не последовало. Что можно сказать по этому поводу?
-
Прошивка на роутере с адресом 83.219.133.237 старая, уязвимая: MikroTik RouterOS 6.36. И признаки взлома налицо. Так что пусть не свистят.
Вы светитесь на форуме именно с этого адреса.
http://tis-dialog.ru/index.php?mod=lentanews#news249
"Врачу: исцелися сам" (С)
-
-
Junior Member
- Вес репутации
- 21
Печалька какая-то..., в общем изначально ответ от провайдера был такой: "Здравствуйте. По данному адресу, с нашей стороны не установлено
оборудование марки Mikrotik.", после того, как я им процитировал ваше последнее сообщение, ответ был таким: "На данном ip-адресе у абонента действительно подключен роутер Mikrotik. С нашей стороны были предприняты меры по повышению безопасности нашей сети путем изменения уровня защиты firewall.
Мы не несем ответственность за настройки абонентского оборудования и не можем их менять, обновлять прошивку. Мы можем прислать техника к абоненту с этой целью по его обращению (вызов платный)."
Ну окей, вызвал их специалиста, в итоге ничего сделано не было, особенно мне понравилась изначально его речь:"ну заражён и что?", действительно подумаешь. Он сказал что это не вирус, что вирус это программка на компьютере, а здесь произошёл взлом сети, что к нашей сети был получен доступ и нужно поменять соответственно логин и пароль и отключить удалённый доступ и можно даже не прошивать устройство. Как вам такая информация?
-
Не хотят признавать свои ошибки, позиция понятная.
-
-
Junior Member
- Вес репутации
- 21
Ситуация следующая, в общем договор с провайдером заключался на начальном этапе и у нас этого договора нет.(нормальное явление) Я написал на почту "диалога", с просьбой предоставить наш экземпляр договора, но естественно ответ был из серии: "ага, бегу, волосы назад", т.е. сказали только через обращение. Тем самым идём по юридическому пути, сегодня я сдал под входящий запрос, о предоставлении информации по договору, направлении копии договора в наш адрес и информацию об установленном оборудовании и когда последний раз выполнялась его техническая проверка, а также предпринимались ли меры, направленные на обеспечение безопасности от интернет атак. Так как, не имея договора и данных, с ними не получится вести конструктивный разговор. В общем как вы поняли, вирус, пока всё ещё продолжает жить счастливой жизнью. Ждём дальнейшего развития событий...
-
Ждём...
-
-
Junior Member
- Вес репутации
- 21
Пока я жду официального ответа от "Диалога", сегодня столкнулся с такой особенностью, если в фаер фоксе включить расширение "Browsec", то антивирус не выдает сообщение о вирусе как в обычном режиме, т.е. при включённом расширении именно антивирус его не видит или вредоносный трафик не отправляется и соответственно нет срабатывания?