Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Вирус img001.exe

RSS
 
Cтанислав
Cтанислав
Пользователь
Сообщений: 31
Баллов: 15
Регистрация: 22.04.2015
Размещено 07.04.2017 06:21:08
Здравствуйте.
Являемся вашими клиентами уже несколько лет.
Как оказалось с марта наша сеть заражена майнером img001.exe.
Сам образец отослал в тех поддержку обращение № 0001161602.
Проблема в том что вирус при принудительном сканировании распознается, но только 64 разрядная версия.
32 разрядная остается в профиле пользователя%User
profile%\Appdata\Roaming\Nsminer\nsmainer32.
Так же файл IMG001.exe копирует себя во все шары и диски, и также копирует себя для автозагрузки в папку с названием компьютера на системном диске и в профиле.
Антивирусная защита в реальном времени этот вирус не удаляет! Приходится ручками удалять.
Прошу выпустить обновление которое будет удалять этот вирус.

Ответы

Пред. 1 2 3 След.
 
Cтанислав
Cтанислав
Пользователь
Сообщений: 31
Баллов: 15
Регистрация: 22.04.2015
Размещено 07.04.2017 09:05:45
Все настройки которые вы порекомендовали сделали, не стоит только расширенная эвристика.
проблема в том что img001.exe не удаляется - видимо по тому что это архив.
Как удалить архив с вирусом?
Можно ли удалить файл по имени?
И самое интересное - при разархивировании архива img001.exe ESET на вирусы не реагирует! Если ег онатравить на этот файл, он скажет что вирусы есть, но их не удаляет.
Файлы в профиле - %User profile%\Appdata\Roaming\Nsminer\ создаются и он их не удаляет.
поэтому сканировать всю сеть бессмысленно, вирус не удаляется.
Добавьте как нибудь в антивирусные базы чтобы эти майнеры удалялись, не такие они и сложные.
 
Дмитрий
Дмитрий
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 07.04.2017 09:25:18
Повторюсь, попробуйте выставить очистку в режим "тщательная".

Повторюсь ВСЕ компоненты вирусы детектируются антивирусом и удаляются. Если Вы используете версию 5 для бизнеса, настройки которые я говорил, нужно настроить во всех параметрах, а не только при сканировании, то есть в режиме реального времени и т.д.
 
Cтанислав
Cтанислав
Пользователь
Сообщений: 31
Баллов: 15
Регистрация: 22.04.2015
Размещено 07.04.2017 09:30:22
Цитата
Дмитрий написал:
Повторюсь, попробуйте выставить очистку в режим "тщательная".

Повторюсь ВСЕ компоненты вирусы детектируются антивирусом и удаляются. Если Вы используете версию 5 для бизнеса, настройки которые я говорил, нужно настроить во всех параметрах, а не только при сканировании, то есть в режиме реального времени и т.д.
А если мы не можем выставить настройку "тщательная"?
почему при сканировании принудительном антивирус видит вирус, а при мониторинге дает ему распространяться?
Без настройки тщательная мы можем добиться чтобы вирус удалялся?
 
Cтанислав
Cтанислав
Пользователь
Сообщений: 31
Баллов: 15
Регистрация: 22.04.2015
Размещено 07.04.2017 09:54:06
Почему нельзя повысить в вашей базе вирусов настройку этого вируса без изменения настроек антивируса?
 
Дмитрий Баранов
Дмитрий Баранов
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 07.04.2017
Размещено 07.04.2017 09:59:24
К сожалению моё предыдущие сообщение было удалено кем-то.

Но я повторюсь, необходимо сделать, чтобы антивирус блокировал запуск самораспаковывающегося архива (да вирус представляет собой  самораспаковывающийся зип архив), в котором находится вирус.

Каким образом можно повысить уровень проактивной защиты, поможет ли расширенная эвристика?

Также не понятно, почему 64 битная версия этого вируса помечена как опасное приложение, а 32 битная версия всего лишь потценциально опасное, когда принцип их работы одинаковый?
 
Дмитрий Баранов
Дмитрий Баранов
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 07.04.2017
Размещено 07.04.2017 10:25:41
Более того, ситуация ухудшается, антивирус начал перебирать учетки и пароли к ним, это видно по контроллеру домена.

Мы все таки можем повысить уровень опасности этого вируса, чтобы антивирус его таки удалял?

И как всё таки заставить его удалять или переносить в карантин архивы с вирусами внутри? Проверка контейнеров стоит в настройках.
Изменено: Дмитрий Баранов - 07.04.2017 10:26:08
 
Cтанислав
Cтанислав
Пользователь
Сообщений: 31
Баллов: 15
Регистрация: 22.04.2015
Размещено 07.04.2017 11:01:58
еще раз на чистую машину поставил ESET обновил его, заразил машину и снял лог автозагрузки.
На скрине видно что файлы появились в профиле а включенный eset никак не отреагировал. - это в аттаче.

А вот после сканирования антивирусом в профиле остаются файлы вируса: - вторая картинка в аттаче
miner_eset.JPG (72.87 КБ)
Снимок.JPG (55.27 КБ)
Изменено: Cтанислав - 07.04.2017 11:03:16
 
Nikita Stoyan
Nikita Stoyan
Администратор
Сообщений: 78
Баллов: 63
Регистрация: 16.03.2017
Размещено 07.04.2017 11:09:47
Отключена ли опция интеллектуальной оптимизации в настройках защиты в режиме реального времени?
 
Дмитрий Баранов
Дмитрий Баранов
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 07.04.2017
Размещено 07.04.2017 11:13:19
Цитата
Дмитрий написал:
Повторюсь ВСЕ компоненты вирусы детектируются антивирусом и удаляются. Если Вы используете версию 5 для бизнеса, настройки которые я говорил, нужно настроить во всех параметрах, а не только при сканировании, то есть в режиме реального времени и т.д.

Цитата

Дмитрий написал:
F:\Download\IMG001\IMG001.exe » NSIS » info.zip » ZIP » IMG001.scr » NSIS » NsCpuCNMiner32.exe - a variant of Win32/BitCoinMiner.BX potentially unsafe application - cleaned by deleting [1]
F:\Download\IMG001\IMG001.exe » NSIS » info.zip » ZIP » IMG001.scr » NSIS » NsCpuCNMiner64.exe - Win64/CoinMiner.J trojan - cleaned by deleting [1]

Замечу, что детектирование хоть и есть, но оно в корне не верно, почему 2 по сути одинаковых вируса воспринимаются антивирусом на таком разном уровне опасности?
 
Cтанислав
Cтанислав
Пользователь
Сообщений: 31
Баллов: 15
Регистрация: 22.04.2015
Размещено 07.04.2017 11:14:42
Цитата
Nikita Stoyan написал:
Отключена ли опция интеллектуальной оптимизации в настройках защиты в режиме реального времени?
Да, отключена, отключили первым делом, включили расширенную эвристику, не помогает. Нужно повысить в базе eset для майнера уровень угрозы.
 
Пред. 1 2 3 След.
Читают тему