Выбрать дату в календареВыбрать дату в календаре

MSIL/CoinMiner.BGJ
[QUOTE]Андрей Евдокимов написал:
Нод периодически ругается на msil/coinminer.bgj и требует перезапуск компьютера. Если не реагировать на оповещение о перезапуске, процессор нагружается на 100%. ГПУ майнер не трогает.
Подскажите, пожалуйста, как от него избавиться([/QUOTE]
Андрей, вы можете визуально проверить в каком файле обнаружена угроза, судя скриншоту угрозы есть отсылка на конкретный файл?
+
вопрос:
что именно было источником данной угрозы? были ли запуск какого то приложения, который привел к данному результату
поговорить о uVS, Carberp, планете Земля
[QUOTE]santy написал:
[QUOTE] santy написал:
[QUOTE] RP55 RP55 написал:
Портрет героя для благодарных потомок в :)
Или к чему приводит самолечение.[/QUOTE]откуда скриншот?
пока что файл никем не детектируется, в том числе и после рескана
(наконец то файл попал в карантин)
https://www.virustotal.com/gui/file/f7391ddc770ac9e702c5aa89a736f550582067492dcd512­5475f6fc22491234c/detection

из файла угроз непонятно все какой файл обнаруживается
[QUOTE]Время;Модуль сканирования;Тип объекта;Объект;Обнаружение;Действие;Пользователь;Информация;Хэш;Первое обнаружение здесь
18.12.2020 22:59:01;Модуль сканирования AMSI;файл;script;модифицированный MSIL/CoinMiner.BGJ троянская программа;заблокирован;DESKTOP-UOATVLS\Дмитрий;;55525B37F7B81F57EFFA131A6E18996ABE0F6557;
18.12.2020 23:00:02;Модуль сканирования AMSI;файл;script;модифицированный MSIL/CoinMiner.BGJ троянская программа;заблокирован;DESKTOP-UOATVLS\Дмитрий;;55525B37F7B81F57EFFA131A6E18996ABE0F6557;[/QUOTE]хотя на скриншоте есть отсылка на файл,

хорошо бы, попросить юзеров, если повторятся эти темы,
попросить раскрыть окно угроз до файла, в каком именно файле ESET обнаруживает угрозу

---------
файл ушел в support@esetnod32.ru
поговорить о uVS, Carberp, планете Земля
[QUOTE]santy написал:
[QUOTE] RP55 RP55 написал:
Портрет героя для благодарных потомок в :)
Или к чему приводит самолечение.[/QUOTE]откуда скриншот?
пока что файл никем не детектируется, в том числе и после рескана
(наконец то файл попал в карантин)
 https://www.virustotal.com/gui/file/f7391ddc770ac9e702c5aa89a736f550582067492dcd512­5475f6fc22491234c/details  [/QUOTE]

из файла угроз непонятно все какой файл обнаруживается
[QUOTE]Время;Модуль сканирования;Тип объекта;Объект;Обнаружение;Действие;Пользователь;Информация;Хэш;Первое обнаружение здесь
18.12.2020 22:59:01;Модуль сканирования AMSI;файл;script;модифицированный MSIL/CoinMiner.BGJ троянская программа;заблокирован;DESKTOP-UOATVLS\Дмитрий;;55525B37F7B81F57EFFA131A6E18996ABE0F6557;
18.12.2020 23:00:02;Модуль сканирования AMSI;файл;script;модифицированный MSIL/CoinMiner.BGJ троянская программа;заблокирован;DESKTOP-UOATVLS\Дмитрий;;55525B37F7B81F57EFFA131A6E18996ABE0F6557;
[/QUOTE]
хотя на скриншоте есть отсылка на файл, хорошо бы, попросить юзеров, если повторятся эти темы,
попросить раскрыть окно угроз до файла, в каком именно файле ESET обнаруживает угрозу

[IMG WIDTH=466 HEIGHT=347]https://forum.esetnod32.ru/bitrix/components/bitrix/forum.interface/show_file.php?fid=118252&width=500&height=500[/IMG]
поговорить о uVS, Carberp, планете Земля
[QUOTE]RP55 RP55 написал:
Портрет героя для благодарных потомок в :)
Или к чему приводит самолечение.[/QUOTE]
откуда скриншот?
пока что файл никем не детектируется, в том числе и после рескана
https://www.virustotal.com/gui/file/f7391ddc770ac9e702c5aa89a736f550582067492dcd512­5475f6fc22491234c/details
установка анти вируса после модернизации компьютера, установка по новый антивируса
в режиме free malwarebytes и работает как сканер, без постоянной защиты. не должно быть конфликта
Какойт троян появился на ПК, Троян MSIL/CoinMiner.BGJ
файл ZOO** проверьте, создался в папке uVS?
если создался, пришлите файл в почту safety@chklst.ru
-----
update: не забываем карантинить файлы, которые на текущий момент не детектируются на virustotal.com
Какойт троян появился на ПК, Троян MSIL/CoinMiner.BGJ
+
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
Какойт троян появился на ПК, Троян MSIL/CoinMiner.BGJ
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.11.3 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\YANDEX\YANDEXBROWS­ER\USER DATA\DEFAULT\EXTENSIONS\NPDPPLBICNMPOIGIDFDJADAMGFKILAAK\9.16_0\SAVEFROM.NET ПОМОЩНИК
apply

deltmp
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_A51067C0AC557884\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F C:\PROGRAMDATA\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_A51067C0AC557884\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref %SystemDrive%\USERS\AACE~1\APPDATA\LOCAL\TEMP\EDGE_BITS_1256­_786291546\3BB1C4CF-4316-4A0E-B11F-14BD295179AA
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref {D2CBF5F7-5702-440B-8D8F-8203034A6B82}\[CLSID]
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\VID.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\WEVTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\BTHSERV.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SMBDIRECT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref %SystemRoot%\SYSWOW64\IE4USHOWIE.EXE
delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\MAIL.RU\DISK-O\CLOUDSHELL32.DLL
delref {0561EC90-CE54-4F0C-9C55-E226110A740C}\[CLSID]
delref {B298D29A-A6ED-11DE-BA8C-A68E55D89593}\[CLSID]
delref {4A7C4306-57E0-4C0C-83A9-78C1528F618C}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref {2D8B3101-E025-480D-917C-835522C7F628}\[CLSID]
delref %Sys32%\HVSICONTAINERSERVICE.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref BROWSER\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_A51067C0AC557884\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F %PROGRAMDATA%\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_A51067C0AC557884\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref IRENUM\[SERVICE]
delref %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\YANDEX\YANDEXBROWS­ER\APPLICATION\19.9.3.315\NOTIFICATION_HELPER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE_64.DLL
delref %Sys32%\RTKAPI64.DLL
delref %Sys32%\RTPGEX64.DLL
delref %Sys32%\R4EED64A.DLL
delref %Sys32%\DTSS2HEADPHONEDLL64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.37\PSMACHINE_64.DLL
delref %Sys32%\DDPD64A.DLL
delref %SystemDrive%\PROGRAM FILES\BLUESTACKS\BSTKC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %Sys32%\DTSBOOSTDLL64.DLL
delref %SystemDrive%\PROGRAM FILES\BLUESTACKS\BSTKSVC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
delref %Sys32%\DDPA64.DLL
delref %Sys32%\R4EEG64A.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE_64.DLL
delref %Sys32%\DTSBASSENHANCEMENTDLL64.DLL
delref %Sys32%\RLTKAPO64.DLL
delref %Sys32%\DTSLIMITERDLL64.DLL
delref %Sys32%\R4EEA64A.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.127.15\PSMACHINE_64.DLL
delref %Sys32%\DTSVOICECLARITYDLL64.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %SystemDrive%\PROGRAM FILES\BLUESTACKS\BSTKPROXYSTUB.DLL
delref %Sys32%\DDPO64A.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %Sys32%\DTSSYMMETRYDLL64.DLL
delref %Sys32%\R4EEL64A.DLL
delref %Sys32%\DTSNEOPCDLL64.DLL
delref %Sys32%\R4EEP64A.DLL
delref %Sys32%\DTSGFXAPO64.DLL
delref %Sys32%\DTSS2SPEAKERDLL64.DLL
delref %Sys32%\DTSLFXAPO64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE_64.DLL
delref %Sys32%\DTSGFXAPONS64.DLL
delref %Sys32%\DDPP64A.DLL
delref %Sys32%\RTLCPAPI64.DLL
delref %Sys32%\DTSGAINCOMPENSATORDLL64.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.37\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\COMPPKGSRV.EXE
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_A51067C0AC557884\NVENCMFTH264.DLL
delref %SystemRoot%\SYSWOW64\WPCREFRESHTASK.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_A51067C0AC557884\NVDECMFTMJPEG.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_A51067C0AC557884\NVENCMFTHEVC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.127.15\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemRoot%\SYSWOW64\WIREDNETWORKCSP.DLL
delref E:\HISUITEDOWNLOADER.EXE
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
Какойт троян появился на ПК, Троян MSIL/CoinMiner.BGJ
добавьте образ автозапуска системы
Модифицированный EFI/CompuTrace.A потенциально опасное приложение - очистка невозможна
добавьте образ автозапуска системы
+
логи журнала угроз и сканирования от ESET