Страницы: 1 2 3 След.
RSS
[ Закрыто ] Вирус img001.exe
 
Здравствуйте.
Являемся вашими клиентами уже несколько лет.
Как оказалось с марта наша сеть заражена майнером img001.exe.
Сам образец отослал в тех поддержку обращение № 0001161602.
Проблема в том что вирус при принудительном сканировании распознается, но только 64 разрядная версия.
32 разрядная остается в профиле пользователя%User
profile%\Appdata\Roaming\Nsminer\nsmainer32.
Так же файл IMG001.exe копирует себя во все шары и диски, и также копирует себя для автозагрузки в папку с названием компьютера на системном диске и в профиле.
Антивирусная защита в реальном времени этот вирус не удаляет! Приходится ручками удалять.
Прошу выпустить обновление которое будет удалять этот вирус.
 
Уважаемые коллеги, кто - то может подсказать в 5 версии корпоративного ESET можно ли указать антивирусу чтобы удалялись файлы по имени? Вот я знаю что img001.exe - это вирус и настроить антивирус чтобы он удалял их.
 
Станислав,
добавьте образ автозапуска системы, в которой есть заражение этим майнером.
http://forum.esetnod32.ru/forum9/topic2687/
 
вот ссылка на архив вируса IMG001.exe - файл с запуска которого происходит заражение https://yadi.sk/d/SE8stzjp3GjbDc
Приаттачил образ автозапуска
 
Пароль на архив с вирусом?

Переделайте образ автозапуска, он поврежден!.
Изменено: Дмитрий - 07.04.2017 08:43:38
 
Пароль 123456
 
Там архив раром спокойно открывается, разархивировал и заархивировал еще раз.
 
Дмитрий
Был изменён формат образа - для того, чтобы открыть образ нужна актуальная версия uVS 4.00 B-6
 
Детектирование файла есть, не вижу смысла его повторно отправлять

Цитата
Log
Scan Log
Version of malware database: 15216P (20170407)
Date: 07.04.2017  Time: 8:50:59
Scanned disks, folders and files: F:\Download\IMG001\IMG001.exe
F:\Download\IMG001\IMG001.exe » NSIS » Entries.bin - is OK
F:\Download\IMG001\IMG001.exe » NSIS » Strings.txt - is OK
F:\Download\IMG001\IMG001.exe » NSIS » Script.nsi - NSIS/CoinMiner.N trojan - cleaned by deleting [1]
F:\Download\IMG001\IMG001.exe » NSIS » NsCpuCNMiner32.exe - a variant of Win32/BitCoinMiner.BX potentially unsafe application - cleaned by deleting [1]
F:\Download\IMG001\IMG001.exe » NSIS » NsCpuCNMiner64.exe - Win64/CoinMiner.J trojan - cleaned by deleting [1]
F:\Download\IMG001\IMG001.exe » NSIS » pools.txt - is OK
F:\Download\IMG001\IMG001.exe » NSIS » inetc.dll - is OK
F:\Download\IMG001\IMG001.exe » NSIS » makensis.exe - is OK
F:\Download\IMG001\IMG001.exe » NSIS » ExecDos.dll - is OK
F:\Download\IMG001\IMG001.exe » NSIS » info.zip » ZIP » IMG001.scr » NSIS » Entries.bin - is OK
F:\Download\IMG001\IMG001.exe » NSIS » info.zip » ZIP » IMG001.scr » NSIS » Strings.txt - is OK
F:\Download\IMG001\IMG001.exe » NSIS » info.zip » ZIP » IMG001.scr » NSIS » Script.nsi - NSIS/CoinMiner.K trojan - cleaned by deleting [1]
F:\Download\IMG001\IMG001.exe » NSIS » info.zip » ZIP » IMG001.scr » NSIS » NsCpuCNMiner32.exe - a variant of Win32/BitCoinMiner.BX potentially unsafe application - cleaned by deleting [1]
F:\Download\IMG001\IMG001.exe » NSIS » info.zip » ZIP » IMG001.scr » NSIS » NsCpuCNMiner64.exe - Win64/CoinMiner.J trojan - cleaned by deleting [1]
F:\Download\IMG001\IMG001.exe » NSIS » info.zip » ZIP » IMG001.scr » NSIS » pools.txt - is OK
F:\Download\IMG001\IMG001.exe » NSIS » info.zip » ZIP » IMG001.scr » NSIS » inetc.dll - is OK
F:\Download\IMG001\IMG001.exe » NSIS » info.zip » ZIP » IMG001.scr » NSIS » makensis.exe - is OK
F:\Download\IMG001\IMG001.exe » NSIS » info.zip » ZIP » IMG001.scr » NSIS » ExecDos.dll - is OK
F:\Download\IMG001\IMG001.exe » NSIS » info.zip » ZIP » IMG001.scr » NSIS » tftp.exe - a variant of Win32/CoinMiner.ZS trojan - cleaned by deleting [1]
F:\Download\IMG001\IMG001.exe » NSIS » info.zip » ZIP » IMG001.scr » NSIS » bzip2 - is OK
F:\Download\IMG001\IMG001.exe » NSIS » info.zip » ZIP » IMG001.scr » NSIS » bzip2_solid - is OK
F:\Download\IMG001\IMG001.exe » NSIS » info.zip » ZIP » IMG001.scr » NSIS » folder.ico - is OK
F:\Download\IMG001\IMG001.exe » NSIS » info.zip » ZIP » IMG001.scr » NSIS » icon.ico - is OK
F:\Download\IMG001\IMG001.exe » NSIS » info.zip » ZIP » IMG001.scr » NSIS » lzma - is OK
F:\Download\IMG001\IMG001.exe » NSIS » info.zip » ZIP » IMG001.scr » NSIS » rar.ico - is OK
F:\Download\IMG001\IMG001.exe » NSIS » info.zip » ZIP » IMG001.scr » NSIS » uninst - is OK
F:\Download\IMG001\IMG001.exe » NSIS » info.zip » ZIP » IMG001.scr » NSIS » zlib - is OK
F:\Download\IMG001\IMG001.exe » NSIS » tftp.exe - a variant of Win32/CoinMiner.ZS trojan - cleaned by deleting [1]
F:\Download\IMG001\IMG001.exe » NSIS » bzip2 - is OK
F:\Download\IMG001\IMG001.exe » NSIS » bzip2_solid - is OK
F:\Download\IMG001\IMG001.exe » NSIS » folder.ico - is OK
F:\Download\IMG001\IMG001.exe » NSIS » icon.ico - is OK
F:\Download\IMG001\IMG001.exe » NSIS » lzma - is OK
F:\Download\IMG001\IMG001.exe » NSIS » rar.ico - is OK
F:\Download\IMG001\IMG001.exe » NSIS » uninst - is OK
F:\Download\IMG001\IMG001.exe » NSIS » zlib - is OK
Number of scanned objects: 36
Number of threats found: 8
Number of cleaned objects: 8
Time of completion: 8:51:13  Total scanning time: 14 sec (00:00:14)

Прошу заметить некоторые файлы детектируются как  potentially unsafe application

Включите в настройках антивируса детектирование потенциально опасных и потенциально нежелательных приложений. Проверьте файл повторно, выполните сканирование всех ПК в сети.
 
+
можно такой скрипт в uVS погонять на зараженных машинах.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.0b6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6B96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF26609FA2E20FD0E279AB04625D43C78BB06CA7A 64 NSIS/CoinMiner.N [ESET-NOD32]

;------------------------autoscript---------------------------

chklst
delvir

;-------------------------------------------------------------

deltmp
restart

перезагрузка, пишем о старых и новых проблемах.
------------

во вложении так же файл скрипта.
его можно скачать к себе и выполнить в uVS  в режиме: выполнить скрипт из файла
Страницы: 1 2 3 След.
Читают тему (гостей: 1)