Показано с 1 по 16 из 16.

CoinMiner.UX троянская программа [Worm.Win32.WBNA.ipa] (заявка № 224507)

  1. #1
    Junior Member Репутация
    Регистрация
    25.08.2013
    Сообщений
    36
    Вес репутации
    39

    Thumbs up CoinMiner.UX троянская программа [Worm.Win32.WBNA.ipa]

    Здравствуйте! Нод 32 выявил следующую угрозу: "Время;Модуль сканирования;Тип объекта;Объект;Обнаружение;Действие;Пользователь;И нформация;Хэш;Первое обнаружение здесь
    11.02.2020 0:59:40;Защита в режиме реального времени;файл;C:\ProgramData\Microsoft\Windows Defender\Support\Log\profilier.exe;Win64/CoinMiner.UX троянская программа;очищен удалением;NT AUTHORITY\СИСТЕМА;Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\7-Zip\7z.exe (A67D3B35743F6CA383673A3848B8C97EC164CC0D).;E017DD B82396445298EAAB70EC373DFA81432A41;08.01.2020 17:41:53"

    Ранее антивирус уже обнаруживал эту угрозу, это было 8 января, затем 26 января и сегодня 11 февраля вновь произошло обнаружение. Как видно, вирус генерируется приложением 7 - Zip, удаление этого приложения естественно от вируса не избавляет, да и само оно возрождается как птица феникс, поэтому прошу помочь разобраться со зловредом. Ох уж эти майнеры...
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Nikoly, спасибо за обращение на наш форум!

    Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Отключите временно антивирус.
    Выполните скрипт в AVZ:
    Код:
    begin
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     QuarantineFile('C:\ProgramData\Microsoft\Windows Defender\Support\Log\DiagTool.exe', '');
     QuarantineFile('C:\Windows\SysWOW64\DiagSvcs\DTM\InspectNS.exe', '');
     QuarantineFileF('c:\programdata\microsoft\windows defender\support\log', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
     QuarantineFileF('c:\windows\syswow64\diagsvcs\dtm', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
     DeleteFile('C:\ProgramData\Microsoft\Windows Defender\Support\Log\DiagTool.exe', '64');
     DeleteFile('C:\Windows\SysWOW64\DiagSvcs\DTM\InspectNS.exe', '64');
     DeleteFileMask('c:\programdata\microsoft\windows defender\support\log', '*', true);
     DeleteFileMask('c:\windows\syswow64\diagsvcs\dtm', '*', true);
     DeleteDirectory('c:\programdata\microsoft\windows defender\support\log');
     DeleteDirectory('c:\windows\syswow64\diagsvcs\dtm');
     DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinRepair');
     DeleteSchedulerTask('SystemDiagnostic');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    25.08.2013
    Сообщений
    36
    Вес репутации
    39
    Карантин отправил, два файла скана в одном архиве, как и просили.
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Последите пару дней, что с проблемой.

    Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
    Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
    Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

    Приложите этот файл к своему следующему сообщению.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    25.08.2013
    Сообщений
    36
    Вес репутации
    39
    сделал
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    >> Заблокирована настройка автоматического обновления
    Понимаю, но использование билда 1709, поддержка которого завершилась в марте 2019 года чревата проблемами безопасности. А если сборка 2017 года вообще не обновлялась - тут и опаснейшие уязвимости, известные как BlueKeep и EternalBlue имеются (погуглите).

    7-Zip 16.04 (x64) v.16.04 Внимание! Скачать обновления
    Архиваторы тоже используются в нехороших целях:
    Критический баг в 7-Zip приводит к выполнению произвольного кода.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    25.08.2013
    Сообщений
    36
    Вес репутации
    39
    Так, версию 16.04. вроде бы обновил, компьютер перезагрузился. По поводу обновлений виндовс, я думаю вы знаете, что эти товарищи, в обновлении одно чинят другое ломают, и дабы система постоянно не беспокоила своими обновлениями, я их отключил. Что мне нужно сделать, как я понимаю, поставить последний пакет обновлений, верно? А по поводу билда 1709 отдельная история, как я сегодня вычитал, каждая версия виндовс, т.е. этот самый билд поддерживается только 1,5 года. Если я всё правильно понял, что бы иметь актуальную "поддерживаемую" версию ОС, нужно каждые 1,5 года покупать новую сборку из серии примерно за 15000 руб? Это конечно....

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Зачем покупать каждый раз, система обновляется до нового совершенно бесплатно. Если начать ставить обновления автоматически сейчас, это может быть долго и мучительною Лучше обновлять через Update Assistant до последнего билда, или делать чистую установку с помощью Media Creation Tool, ссылка там же. При наличии честной активации текущей версии новая активируется без проблем.

    Кстати, рецидив с майнером, видимо, что-то из архива 7z устанавливаете заражённое каждый раз.
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    25.08.2013
    Сообщений
    36
    Вес репутации
    39
    Нет, не устанавливаю. Я в т.ч удалял данное приложение, но оно спустя какое то время само появляется C:\Program Files\7-Zip , при этом ничего на компьютер не устанавливалось и даже файлы которые открываются данным приложением также не были тронуты и не скачивались. Т.е. что-то запускает команду на создание этого приложения. И сейчас уже точно не помню, но по моему, ранее проблема была на другом компьютере и там вопрос был решён., а эта возникла на другом.

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Судя по описанию зловреда Worm.Win32.WBNA.ipa, он распространяется по сети, скорее всего, может и через админские шары распространяться.
    Выполните в AVZ скрипт, он их отключит:
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    ExecuteWizard('SCU',2,2,true);
    RebootWindows(false);
    end.
    WBR,
    Vadim

  13. #12
    Junior Member Репутация
    Регистрация
    25.08.2013
    Сообщений
    36
    Вес репутации
    39
    Скрипт выполнил, виндовс обновил до последней версии, всё встало нормально, хотя были небольшие косяки, но самое главное, что вчера после этого обновления нагрузка на процессор стала прыгать от 12 вплоть до 100 %, причём повторялось это как какое то упражнение или запрограммированный ряд действий, в гугле нашёл информацию о том, что такая проблема была, но её устранили, сегодня на момент написания загрузка от 6 до 12 процентов в обычном режиме, пока скачков не наблюдаю, как вчера. Ну вот пока писал, отвалился интернет, интересно разовый случай, или опять обновлений ждать....

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Если другие компьютеры в сети есть - тоже желательно обновлять и скрипт из сообщения #11 выполнить.
    WBR,
    Vadim

  15. #14
    Junior Member Репутация
    Регистрация
    25.08.2013
    Сообщений
    36
    Вес репутации
    39
    Есть второй компьютер, но пока посмотрю как на этом система себя будет вести, а то танцы с бубном по поводу интернета я уже сегодня провёл, интернет работал минуту, затем отключался, причём в параметрах виндовс пишет - доступ к интернету отсутствует, а в утилите TP-Link состояние подключено и 100% уровень сигнала. Через диагностику и устранение неполадок вроде бы всё заработало, но хватило минуты на две, затем воспользовавшись вторым компьютером, на котором естественно такой проблемы нет, погуглил и выяснил, что вроде как помогает именно общий сброс настроек сети, в общем провёл эту процедуру, пока не всё работает.

  16. #15
    Junior Member Репутация
    Регистрация
    25.08.2013
    Сообщений
    36
    Вес репутации
    39
    Ну вроде бы всё, активности, спасибо огромное за помощь, тему можно закрывать.

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    =C8=F2=EE=E3 =EB=E5=F7=E5=ED=E8=FF

    =D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
    =E5=F7=E5=ED=E8=FF:
    • =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
    • =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 2
    • =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
      =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
      1. c:\windows\syswow64\diagsvcs\dtm\inspectns.exe - Worm.Win3=
        2.WBNA.ipa
        ( AVAST4: Win32:Malware-gen )

  • Уважаемый(ая) Nikoly, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогите удалить Win64/CoinMiner.GA [Worm.Win32.WBNA.ipa]
      От Nikoly в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 21.12.2018, 21:36
    2. Зашифрованы файлы Cryptolocke [Worm.Win32.WBNA.bul ]
      От Avallon05 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 17.03.2014, 22:04
    3. Ответов: 11
      Последнее сообщение: 12.08.2013, 11:18
    4. Карантин C887EE6C4F0DFB2DC9F6A76649A3AF02 [Worm.Win32.WBNA.roc]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 2
      Последнее сообщение: 23.03.2013, 18:16
    5. Ответов: 11
      Последнее сообщение: 12.04.2012, 14:47

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00410 seconds with 20 queries