Перейти к содержимому


Фото
* * - - - 1 Голосов

Майнер

Tool.BtcMine.389

  • Please log in to reply
125 ответов в этой теме

#21 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 927 Сообщений:

Отправлено 29 Июнь 2017 - 11:45

>По файлу "%windows%\system32\rasauto.dll" пришло что это Угроза: Tool.BtcMine.389

 

Это был автоматический ответ робота. Угроза добавлена, через пару часов проверьте свежим cureit-ом - файл должен будет детектироваться как Trojan.BtcMine.1324.


Сообщение было изменено Ivan Korolev: 29 Июнь 2017 - 11:47


#22 ВиталийВ

ВиталийВ

    Newbie

  • Posters
  • 31 Сообщений:

Отправлено 29 Июнь 2017 - 11:52

>По файлу "%windows%\system32\rasauto.dll" пришло что это Угроза: Tool.BtcMine.389

 

Это был автоматический ответ робота. Угроза добавлена, через пару часов проверьте свежим cureit-ом - файл должен будет детектироваться как Trojan.BtcMine.1324.

Да он и сейчас определяется, только потом он опять появляется после очистки!

Прикрепленные файлы:

  • Прикрепленный файл  111.jpg   52,09К   0 Скачано раз


#23 ВиталийВ

ВиталийВ

    Newbie

  • Posters
  • 31 Сообщений:

Отправлено 29 Июнь 2017 - 12:00

его можно это командой SFC / SCANNOW заменить так как вроде системный... ток это не надолго

и ещё может это как то поможет, файл который зараженный как эта dll-ка, не видит тотал командер, хотя галочка показывать скрытие и системные файлы стоит...



#24 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 927 Сообщений:

Отправлено 29 Июнь 2017 - 12:05

Я же сказал, ждите пока он не будет детектироваться как троян, после сделайте полное сканирование.



#25 ВиталийВ

ВиталийВ

    Newbie

  • Posters
  • 31 Сообщений:

Отправлено 03 Июль 2017 - 07:38

Детектится он стал как троян Trojan.BtcMine.1324, но только cureit его вылечить не может, в безопасном режиме пробовал тоже не лечит

 

лог  cureit  --- https://yadi.sk/i/7RWsFta93KgoTk

Прикрепленные файлы:

  • Прикрепленный файл  111.jpg   118,41К   0 Скачано раз


#26 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 053 Сообщений:

Отправлено 03 Июль 2017 - 11:29

скорее всего аркапи не дал удалить системный модуль. это не правильное лечение.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#27 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 053 Сообщений:

Отправлено 03 Июль 2017 - 11:31

странно что пишет ошибка лечения, хотя в логе ошибка карантина
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#28 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 927 Сообщений:

Отправлено 03 Июль 2017 - 11:31

Попробуйте восстановить оригинальную системную библиотеку через sfc /scannow



#29 ВиталийВ

ВиталийВ

    Newbie

  • Posters
  • 31 Сообщений:

Отправлено 03 Июль 2017 - 12:27

Восстановил системные библиотеки, запустил ещё раз cureit, он ничего не нашел, запущу его ещё завтра, системные библиотеки скорее всего опять инфицируются, т.к. я это уже делал пару постами выше...


Сообщение было изменено ВиталийВ: 03 Июль 2017 - 12:29


#30 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 053 Сообщений:

Отправлено 03 Июль 2017 - 13:47

все остальное не забудьте пролечить, левые svchost, ремоут админа и т.п.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#31 Jaffarrr

Jaffarrr

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 04 Июль 2017 - 19:18

ВиталийВ, приветствую. Как Ваши успехи? Зараза не вернулась? 

 

p.s. Столкнулся с аналогичной проблемой на 3ех серверах разом.



#32 fetch

fetch

    Member

  • Posters
  • 324 Сообщений:

Отправлено 04 Июль 2017 - 19:48

ВиталийВ, приветствую. Как Ваши успехи? Зараза не вернулась? 

 

p.s. Столкнулся с аналогичной проблемой на 3ех серверах разом.

 

Ставьте заплатку MS17-010, после чего восстанавливайте системные либы + лечитесь от майнера cureit-ом.



#33 ВиталийВ

ВиталийВ

    Newbie

  • Posters
  • 31 Сообщений:

Отправлено 05 Июль 2017 - 05:53

Прикрепленный файл  Снимок.JPG   59,7К   1 Скачано раз

ВиталийВ, приветствую. Как Ваши успехи? Зараза не вернулась? 

 

p.s. Столкнулся с аналогичной проблемой на 3ех серверах разом.

Добрый день. 

Как я и предполагал проблема вернулась, и инфицировала другие dll файлы...

 

А на другом сервере, установлена ос SERV 2012 R2, "курейт" полечил там эти файлы

D:\Windows\System32\ipnathlp.dll - cured
D:\Windows\System32\mprdim.dll - cured
D:\Windows\System32\rasmans.dll - cured
D:\Windows\System32\tapisrv.dll - cured

 

а после перезагрузки сервер нормально не загрузился, пришлось восстанавливать системные файлы этим Microsoft Diagnostics and Recovery Toolset



#34 ВиталийВ

ВиталийВ

    Newbie

  • Posters
  • 31 Сообщений:

Отправлено 05 Июль 2017 - 05:57

 

ВиталийВ, приветствую. Как Ваши успехи? Зараза не вернулась? 

 

p.s. Столкнулся с аналогичной проблемой на 3ех серверах разом.

 

Ставьте заплатку MS17-010, после чего восстанавливайте системные либы + лечитесь от майнера cureit-ом.

 

Это помогает но не надолго, потом опять все по новой только другие библиотеки, может все таки он лезет через какую-то другую уязвимость в ОС ?



#35 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 053 Сообщений:

Отправлено 05 Июль 2017 - 10:02

Этот трой деструктивен по природе, на серверных ос подменяемые им длл могут привести к отказу в работе. И что обидно лечить нечего, он ничего не сохраняет.

Сообщение было изменено Konstantin Yudin: 05 Июль 2017 - 10:02

With best regards, Konstantin Yudin
Doctor Web, Ltd.

#36 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 053 Сообщений:

Отправлено 05 Июль 2017 - 10:03

ВиталийВ, приветствую. Как Ваши успехи? Зараза не вернулась?

p.s. Столкнулся с аналогичной проблемой на 3ех серверах разом.


Ставьте заплатку MS17-010, после чего восстанавливайте системные либы + лечитесь от майнера cureit-ом.
Это помогает но не надолго, потом опять все по новой только другие библиотеки, может все таки он лезет через какую-то другую уязвимость в ОС ?
Эта заплатка в любом случае обязательна для установки на всех системах.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#37 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 927 Сообщений:

Отправлено 05 Июль 2017 - 10:50

У вашего антивируса есть фича сбора логов для тех поддержки? Если есть, соберите и выложите куда-нибудь. Хочу проверить один момент.



#38 ВиталийВ

ВиталийВ

    Newbie

  • Posters
  • 31 Сообщений:

Отправлено 05 Июль 2017 - 11:24

У вашего антивируса есть фича сбора логов для тех поддержки? Если есть, соберите и выложите куда-нибудь. Хочу проверить один момент.

https://yadi.sk/d/BbyXSXWd3KmKqP



#39 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 053 Сообщений:

Отправлено 05 Июль 2017 - 13:43

соберите плиз так же отчет этой версией

http://people.drweb.com/people/yudin/private/public/sysinfo-next/dwsysinfo.exe
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#40 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 725 Сообщений:

Отправлено 05 Июль 2017 - 14:21

attachicon.gifСнимок.JPG

ВиталийВ, приветствую. Как Ваши успехи? Зараза не вернулась? 

 

p.s. Столкнулся с аналогичной проблемой на 3ех серверах разом.

Добрый день. 

Как я и предполагал проблема вернулась, и инфицировала другие dll файлы...

 

А на другом сервере, установлена ос SERV 2012 R2, "курейт" полечил там эти файлы

D:\Windows\System32\ipnathlp.dll - cured
D:\Windows\System32\mprdim.dll - cured
D:\Windows\System32\rasmans.dll - cured
D:\Windows\System32\tapisrv.dll - cured

 

а после перезагрузки сервер нормально не загрузился, пришлось восстанавливать системные файлы этим Microsoft Diagnostics and Recovery Toolset

Похоже, механизм защиты от порчи системных файлов в cureit не сработал.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.



Also tagged with one or more of these keywords: Tool.BtcMine.389

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых