Перейти к содержимому


Фото
* * * * - 3 Голосов

Периодически в системе появляется Tool.BtcMine.1308


  • Закрыто Тема закрыта
32 ответов в этой теме

#21 santy

santy

    Member

  • Posters
  • 187 Сообщений:

Отправлено 17 Февраль 2018 - 15:51

судя по образу: майнер здесь

C:\WINDOWS\MSIME.EXE

Tool.BtcMine.1317

a variant of Win64/CoinMiner.U potentially unwanted

https://www.virustotal.com/en/file/c207ce839c07e2a93f164f890b5d7da58b24d21582edcb4e2643acb32dbb4bbe/analysis/


Сообщение было изменено santy: 17 Февраль 2018 - 15:54


#22 Syrex

Syrex

    Newbie

  • Posters
  • 83 Сообщений:

Отправлено 17 Февраль 2018 - 15:55

Да, но после перезагрузки он появляется снова. 



#23 santy

santy

    Member

  • Posters
  • 187 Сообщений:

Отправлено 17 Февраль 2018 - 15:58

сделайте свежий образ автозапуска.

пока непонятно из образа откуда этот файлие запускается.



#24 Syrex

Syrex

    Newbie

  • Posters
  • 83 Сообщений:

Отправлено 17 Февраль 2018 - 16:27

сделайте свежий образ автозапуска.

пока непонятно из образа откуда этот файлие запускается.

Прикрепленный файл  USER-PC_2018-02-17_16-19-46.rar   1,25Мб   6 Скачано раз



#25 santy

santy

    Member

  • Posters
  • 187 Сообщений:

Отправлено 17 Февраль 2018 - 16:42

этот драйвер так и висит в автозапуске,

 

Полное имя                  C:\WINDOWS\SYSTEM32\DRIVERS\CYKUCYMA.SYS
Имя файла                   CYKUCYMA.SYS
Тек. статус                 драйвер в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      драйвер в автозапуске
Размер                      71768 байт
Создан                      07.02.2018 в 21:54:51
Изменен                     07.02.2018 в 21:54:51
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\leeoqofp\ImagePath
ImagePath                   system32\drivers\cykucyma.sys
leeoqofp                    тип запуска: На этапе загрузки (0)

----------

может попробовать найти его из безопасного режима системы?
                            
 



#26 santy

santy

    Member

  • Posters
  • 187 Сообщений:

Отправлено 17 Февраль 2018 - 16:52

т.е. сделать образ автозапуска из безопасного режима, и вынести все вредоносные объекты, которые будут обнаружен.

а затем посмотрим результат после загрузки в нормальный режим.

появится вновь майнер или нет.



#27 Syrex

Syrex

    Newbie

  • Posters
  • 83 Сообщений:

Отправлено 17 Февраль 2018 - 20:04

Это руткит, отправил в вирлаб. [drweb.com #8066848], удалил вручную, майнер перестал запускаться.



#28 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus hunters
  • 1 258 Сообщений:

Отправлено 17 Февраль 2018 - 20:25

Это руткит, отправил в вирлаб. [drweb.com #8066848], удалил вручную, майнер перестал запускаться.

 

 

Ссылку на VT можно? Интересно  B)



#29 Syrex

Syrex

    Newbie

  • Posters
  • 83 Сообщений:

Отправлено 17 Февраль 2018 - 21:51

 

Это руткит, отправил в вирлаб. [drweb.com #8066848], удалил вручную, майнер перестал запускаться.

 

 

Ссылку на VT можно? Интересно  B)

 

https://www.virustotal.com/#/file/f5d95d2e62eba634fe2c2393b1da26aaad9ea0f4dade0fc40a113919411e9963/detection



#30 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus hunters
  • 1 258 Сообщений:

Отправлено 17 Февраль 2018 - 22:22

 

 

Это руткит, отправил в вирлаб. [drweb.com #8066848], удалил вручную, майнер перестал запускаться.

 

 

Ссылку на VT можно? Интересно  B)

 

https://www.virustotal.com/#/file/f5d95d2e62eba634fe2c2393b1da26aaad9ea0f4dade0fc40a113919411e9963/detection

 

 

Спасибо Santy... B)  раскусил. 

 

Eset не ловил...с последним обновлением уже ловит )) оперативно. Надеюсь завтра добавят, или робот добавит с не верным детектом.  ;)   



#31 Syrex

Syrex

    Newbie

  • Posters
  • 83 Сообщений:

Отправлено 17 Февраль 2018 - 23:46

Спасибо Santy... B)  раскусил. 

 

Eset не ловил...с последним обновлением уже ловит )) оперативно. Надеюсь завтра добавят, или робот добавит с не верным детектом.  ;)   

 

360 total security про него знал, но выловить при сканировании не смог. Я видел его в логах, но меня смутило, что файл не найден, думал, что просто хвост в системе остался.


Сообщение было изменено Syrex: 17 Февраль 2018 - 23:47


#32 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 740 Сообщений:

Отправлено 18 Февраль 2018 - 08:49

Спасибо за сэмплы, добавили все.



#33 Syrex

Syrex

    Newbie

  • Posters
  • 83 Сообщений:

Отправлено 18 Февраль 2018 - 08:52

Спасибо за сэмплы, добавили все.

Спасибо за помощь, тему можно закрывать.




Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых