Помогите победить зловреда JS/CoinMiner.BF

**Николай 1992** · 30.08.2018, 16:48

Здравствуйте! Пару дней назад Eset Internet Security начал оповещать об угрозе JS/CoinMiner.BF при этом, при открытии любого сайта антивирус блокирует соединение и пишет что ваш компьютер в безопасности - угроза устранена, т.е. страница не открывается, но если нажать на перезагрузку страницы, то она откроется. Так же при обращении к программам, и даже принтеру, антивирус также срабатывает, указывает на то, что найдено потенциально нежелательное приложение - объект потенциально нежелательная программа (JS/CoinMiner.AH), такое сообщение выдаётся антивирусом при открытии практически любой программы. Помогите пожалуйста разобраться с проблемой

Логи сделаны.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 30.08.2018, 16:49

Уважаемый(ая) Николай 1992, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 30.08.2018, 20:25

У Вас взломан роутер Mikrotik, через него трафик проксируется и направляется на зловредные сайты, что и вызывает срабатывание Eset Internet Security.
Обновите прошивку и устраните последствия взлома: Уязвимость Mikrotik позволяет получать список всех пользователей через winbox.
Или просто сбросьте настройки на заводские и настройте заново.

**Николай 1992** · 31.08.2018, 09:13

Но у меня до недавнего времени стоял микротик, а сейчас стоит TP Link TL-WR841N, как только я его подсоединил к компьютеру, соответственно тут же начал срабатывать нод. Т.е. новый роутер также является взломанным?

**Vvvyg** · 31.08.2018, 21:30

https://blog.zlonov.ru/vpnfilter/ - похоже, что да.

**Николай 1992** · 03.09.2018, 11:40

Я ознакомился со статьей, выполнил все рекомендации, т.е. отключил роутер от сети, обновил по до последней версии, сменил логин и пароль. Если до этого антивирус постоянно срабатывал на попытку отправки трафика, да и вообще срабатывание было при посещении любого сайта или обновлении страницы, то теперь вроде бы всё стало нормально, объясняю почему вроде..., так как при обращении например к сайту Калининградского арбитражного суда http://kaliningrad.arbitr.ru/ антивирус срабатывает, вопрос: может ли этот сайт действительно быть заражённым и поэтому происходит срабатывание?

- - - - -Добавлено - - - - -

Хотя сейчас всё-таки наблюдается срабатывание, но не такое частое, как было на различные сайты. Я кстати менял настройки роутера ещё в пятницу, но я не отключал его от сети, а сегодня не смог осуществить вход под новым именем и паролем, странно..., в общем отключил от сети, кнопкой на роутере сбросил настройки, выполнил вход и проделал вышеуказанные действия вновь). Получается что мне эти действия не помогли?

**Vvvyg** · 03.09.2018, 19:43

Возможно, уязвимость есть и в обновлённой версии прошивки. Какая аппаратная ревизия и версия прошивки? https://www.tp-link.com/ru/download/....html#Firmware

**Николай 1992** · 04.09.2018, 10:23

Версия V13, прошивка установлена последняя 180330 https://www.tp-link.com/ru/download/....html#Firmware

**Vvvyg** · 04.09.2018, 20:15

Данных о уязвимости этой версии нет. Пароль администратора меняли? Какой ip на WAN роутера? В статусе посмотрите.

**Николай 1992** · 05.09.2018, 11:04

Пароль администратора менял, ip WAN роутера - динамический.

- - - - -Добавлено - - - - -

Ещё такие обстоятельства выяснились, я сегодня попробовал вставить интернет провод напрямую в компьютер, без маршрутизатора, а интернет секюрити выдал мне сообщение о том, что к компьютеру был подключён новый маршрутизатор, о котором я собственно от антивируса и узнал, скриншот прилагается. При попытке открыть веб-интерфес, страница изначально блокируется антивирусом, а затем просто не открывается.Вложение 673668

**Vvvyg** · 05.09.2018, 13:42

Тогда всё ясно - это провайдерский Mikrotik взломан. Передайте им большой привет и ссылку из сообщения #3.

**Николай 1992** · 05.09.2018, 17:13

Спасибо за ответ, написал письмо в службу поддержки провайдера, буду ждать от них ответ. Как только что-то станет известно, отпишусь.

- - - - -Добавлено - - - - -

Геннадий Морозов (Служба добрых дел ESET Russia) просил передать вам привет!

**Vvvyg** · 05.09.2018, 20:36

Жду, интересна их скорость реакции на серьёзный факап.

**Николай 1992** · 06.09.2018, 17:05

Сегодня дозвонился до провайдера, они сказали что о у них всё обновлено, о данной уязвимости им стало известно ещё августе. Написал повторно им письмо, т.к. ответа не последовало. Что можно сказать по этому поводу?

**Vvvyg** · 06.09.2018, 21:40

Прошивка на роутере с адресом 83.219.133.237 старая, уязвимая: MikroTik RouterOS 6.36. И признаки взлома налицо. Так что пусть не свистят.
Вы светитесь на форуме именно с этого адреса.
http://tis-dialog.ru/index.php?mod=lentanews#news249
"Врачу: исцелися сам" (С)

**Николай 1992** · 07.09.2018, 15:13

Печалька какая-то..., в общем изначально ответ от провайдера был такой: "Здравствуйте. По данному адресу, с нашей стороны не установлено
оборудование марки Mikrotik.", после того, как я им процитировал ваше последнее сообщение, ответ был таким: "На данном ip-адресе у абонента действительно подключен роутер Mikrotik. С нашей стороны были предприняты меры по повышению безопасности нашей сети путем изменения уровня защиты firewall.
Мы не несем ответственность за настройки абонентского оборудования и не можем их менять, обновлять прошивку. Мы можем прислать техника к абоненту с этой целью по его обращению (вызов платный)."
Ну окей, вызвал их специалиста, в итоге ничего сделано не было, особенно мне понравилась изначально его речь:"ну заражён и что?", действительно подумаешь. Он сказал что это не вирус, что вирус это программка на компьютере, а здесь произошёл взлом сети, что к нашей сети был получен доступ и нужно поменять соответственно логин и пароль и отключить удалённый доступ и можно даже не прошивать устройство. Как вам такая информация?

**Vvvyg** · 09.09.2018, 13:19

Не хотят признавать свои ошибки, позиция понятная.

**Николай 1992** · 20.09.2018, 17:51

Ситуация следующая, в общем договор с провайдером заключался на начальном этапе и у нас этого договора нет.(нормальное явление) Я написал на почту "диалога", с просьбой предоставить наш экземпляр договора, но естественно ответ был из серии: "ага, бегу, волосы назад", т.е. сказали только через обращение. Тем самым идём по юридическому пути, сегодня я сдал под входящий запрос, о предоставлении информации по договору, направлении копии договора в наш адрес и информацию об установленном оборудовании и когда последний раз выполнялась его техническая проверка, а также предпринимались ли меры, направленные на обеспечение безопасности от интернет атак. Так как, не имея договора и данных, с ними не получится вести конструктивный разговор. В общем как вы поняли, вирус, пока всё ещё продолжает жить счастливой жизнью. Ждём дальнейшего развития событий...

**Vvvyg** · 20.09.2018, 20:13

Ждём...

**Николай 1992** · 28.09.2018, 10:34

Пока я жду официального ответа от "Диалога", сегодня столкнулся с такой особенностью, если в фаер фоксе включить расширение "Browsec", то антивирус не выдает сообщение о вирусе как в обычном режиме, т.е. при включённом расширении именно антивирус его не видит или вредоносный трафик не отправляется и соответственно нет срабатывания?

Помогите победить зловреда JS/CoinMiner.BF (заявка № 220084)

Опции темы