[ Закрыто ] Вирус img001.exe

RSS
Здравствуйте.
Являемся вашими клиентами уже несколько лет.
Как оказалось с марта наша сеть заражена майнером img001.exe.
Сам образец отослал в тех поддержку обращение № 0001161602.
Проблема в том что вирус при принудительном сканировании распознается, но только 64 разрядная версия.
32 разрядная остается в профиле пользователя%User
profile%\Appdata\Roaming\Nsminer\nsmainer32.
Так же файл IMG001.exe копирует себя во все шары и диски, и также копирует себя для автозагрузки в папку с названием компьютера на системном диске и в профиле.
Антивирусная защита в реальном времени этот вирус не удаляет! Приходится ручками удалять.
Прошу выпустить обновление которое будет удалять этот вирус.

Ответы

Все настройки которые вы порекомендовали сделали, не стоит только расширенная эвристика.
проблема в том что img001.exe не удаляется - видимо по тому что это архив.
Как удалить архив с вирусом?
Можно ли удалить файл по имени?
И самое интересное - при разархивировании архива img001.exe ESET на вирусы не реагирует! Если ег онатравить на этот файл, он скажет что вирусы есть, но их не удаляет.
Файлы в профиле - %User profile%\Appdata\Roaming\Nsminer\ создаются и он их не удаляет.
поэтому сканировать всю сеть бессмысленно, вирус не удаляется.
Добавьте как нибудь в антивирусные базы чтобы эти майнеры удалялись, не такие они и сложные.
Повторюсь, попробуйте выставить очистку в режим "тщательная".

Повторюсь ВСЕ компоненты вирусы детектируются антивирусом и удаляются. Если Вы используете версию 5 для бизнеса, настройки которые я говорил, нужно настроить во всех параметрах, а не только при сканировании, то есть в режиме реального времени и т.д.
Цитата
Дмитрий написал:
Повторюсь, попробуйте выставить очистку в режим "тщательная".

Повторюсь ВСЕ компоненты вирусы детектируются антивирусом и удаляются. Если Вы используете версию 5 для бизнеса, настройки которые я говорил, нужно настроить во всех параметрах, а не только при сканировании, то есть в режиме реального времени и т.д.
А если мы не можем выставить настройку "тщательная"?
почему при сканировании принудительном антивирус видит вирус, а при мониторинге дает ему распространяться?
Без настройки тщательная мы можем добиться чтобы вирус удалялся?
Почему нельзя повысить в вашей базе вирусов настройку этого вируса без изменения настроек антивируса?
К сожалению моё предыдущие сообщение было удалено кем-то.

Но я повторюсь, необходимо сделать, чтобы антивирус блокировал запуск самораспаковывающегося архива (да вирус представляет собой  самораспаковывающийся зип архив), в котором находится вирус.

Каким образом можно повысить уровень проактивной защиты, поможет ли расширенная эвристика?

Также не понятно, почему 64 битная версия этого вируса помечена как опасное приложение, а 32 битная версия всего лишь потценциально опасное, когда принцип их работы одинаковый?
Более того, ситуация ухудшается, антивирус начал перебирать учетки и пароли к ним, это видно по контроллеру домена.

Мы все таки можем повысить уровень опасности этого вируса, чтобы антивирус его таки удалял?

И как всё таки заставить его удалять или переносить в карантин архивы с вирусами внутри? Проверка контейнеров стоит в настройках.
Изменено: Дмитрий Баранов - 07.04.2017 10:26:08
еще раз на чистую машину поставил ESET обновил его, заразил машину и снял лог автозагрузки.
На скрине видно что файлы появились в профиле а включенный eset никак не отреагировал. - это в аттаче.

А вот после сканирования антивирусом в профиле остаются файлы вируса: - вторая картинка в аттаче
miner_eset.JPG (72.87 КБ)
Снимок.JPG (55.27 КБ)
Изменено: Cтанислав - 07.04.2017 11:03:16
Отключена ли опция интеллектуальной оптимизации в настройках защиты в режиме реального времени?
Цитата
Дмитрий написал:
Повторюсь ВСЕ компоненты вирусы детектируются антивирусом и удаляются. Если Вы используете версию 5 для бизнеса, настройки которые я говорил, нужно настроить во всех параметрах, а не только при сканировании, то есть в режиме реального времени и т.д.

Цитата

Дмитрий написал:
F:\Download\IMG001\IMG001.exe » NSIS » info.zip » ZIP » IMG001.scr » NSIS » NsCpuCNMiner32.exe - a variant of Win32/BitCoinMiner.BX potentially unsafe application - cleaned by deleting [1]
F:\Download\IMG001\IMG001.exe » NSIS » info.zip » ZIP » IMG001.scr » NSIS » NsCpuCNMiner64.exe - Win64/CoinMiner.J trojan - cleaned by deleting [1]

Замечу, что детектирование хоть и есть, но оно в корне не верно, почему 2 по сути одинаковых вируса воспринимаются антивирусом на таком разном уровне опасности?
Цитата
Nikita Stoyan написал:
Отключена ли опция интеллектуальной оптимизации в настройках защиты в режиме реального времени?
Да, отключена, отключили первым делом, включили расширенную эвристику, не помогает. Нужно повысить в базе eset для майнера уровень угрозы.
Читают тему (гостей: 1)