судя по образу: майнер здесь
C:\WINDOWS\MSIME.EXE
Tool.BtcMine.1317
a variant of Win64/CoinMiner.U potentially unwanted
Сообщение было изменено santy: 17 Февраль 2018 - 15:54
Отправлено 17 Февраль 2018 - 15:51
судя по образу: майнер здесь
C:\WINDOWS\MSIME.EXE
Tool.BtcMine.1317
a variant of Win64/CoinMiner.U potentially unwanted
Сообщение было изменено santy: 17 Февраль 2018 - 15:54
Отправлено 17 Февраль 2018 - 15:55
Да, но после перезагрузки он появляется снова.
Отправлено 17 Февраль 2018 - 15:58
сделайте свежий образ автозапуска.
пока непонятно из образа откуда этот файлие запускается.
Отправлено 17 Февраль 2018 - 16:27
сделайте свежий образ автозапуска.
пока непонятно из образа откуда этот файлие запускается.
USER-PC_2018-02-17_16-19-46.rar 1,25Мб 6 Скачано раз
Отправлено 17 Февраль 2018 - 16:42
этот драйвер так и висит в автозапуске,
Полное имя C:\WINDOWS\SYSTEM32\DRIVERS\CYKUCYMA.SYS
Имя файла CYKUCYMA.SYS
Тек. статус драйвер в автозапуске
Сохраненная информация на момент создания образа
Статус драйвер в автозапуске
Размер 71768 байт
Создан 07.02.2018 в 21:54:51
Изменен 07.02.2018 в 21:54:51
Цифр. подпись Отсутствует либо ее не удалось проверить
Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\Services\leeoqofp\ImagePath
ImagePath system32\drivers\cykucyma.sys
leeoqofp тип запуска: На этапе загрузки (0)
----------
может попробовать найти его из безопасного режима системы?
Отправлено 17 Февраль 2018 - 16:52
т.е. сделать образ автозапуска из безопасного режима, и вынести все вредоносные объекты, которые будут обнаружен.
а затем посмотрим результат после загрузки в нормальный режим.
появится вновь майнер или нет.
Отправлено 17 Февраль 2018 - 20:04
Это руткит, отправил в вирлаб. [drweb.com #8066848], удалил вручную, майнер перестал запускаться.
Отправлено 17 Февраль 2018 - 20:25
Это руткит, отправил в вирлаб. [drweb.com #8066848], удалил вручную, майнер перестал запускаться.
Ссылку на VT можно? Интересно
Отправлено 17 Февраль 2018 - 21:51
Это руткит, отправил в вирлаб. [drweb.com #8066848], удалил вручную, майнер перестал запускаться.
Ссылку на VT можно? Интересно
Отправлено 17 Февраль 2018 - 22:22
Это руткит, отправил в вирлаб. [drweb.com #8066848], удалил вручную, майнер перестал запускаться.
Ссылку на VT можно? Интересно
Спасибо Santy... раскусил.
Eset не ловил...с последним обновлением уже ловит )) оперативно. Надеюсь завтра добавят, или робот добавит с не верным детектом.
Отправлено 17 Февраль 2018 - 23:46
Спасибо Santy... раскусил.
Eset не ловил...с последним обновлением уже ловит )) оперативно. Надеюсь завтра добавят, или робот добавит с не верным детектом.
360 total security про него знал, но выловить при сканировании не смог. Я видел его в логах, но меня смутило, что файл не найден, думал, что просто хвост в системе остался.
Сообщение было изменено Syrex: 17 Февраль 2018 - 23:47
Отправлено 18 Февраль 2018 - 08:49
Спасибо за сэмплы, добавили все.
Отправлено 18 Февраль 2018 - 08:52
Спасибо за сэмплы, добавили все.
Спасибо за помощь, тему можно закрывать.
0 пользователей, 0 гостей, 0 скрытых