Forum Mjukvara Microsoft Windows Tråd Inlägg

Bitcoinvirus, var kom det ifrån och är det borta

1
Skriv svar
Permalänk
Medlem

Bitcoinvirus, var kom det ifrån och är det borta

Min sambos dator ville inte stänga av sig i förrgår när hon skulle gå från jobbet, hon lämnade den på och tänkte att den stänger väl ner sig när den är färdig med vad den nu ville bli klar med. När hon kom till jobbet i går morse så var den fortfarande på och körde med fläkten i fullt blås. Hon kollade då med Aktivitetshanteraren för att se vad som orsakade det hela, men varje gång hon försökte kolla så gick aktiviteten ner för att sedan starta så fort hon stängde Aktivitetshanteraren. På inrådan från mig så installerade hon Process Explorer eftersom jag genom ett lite googlande fick fram att det kunde fånga upp program som bevakar om Aktivitetshanteraren körs.

Process Explorer kunde då visa boven:

Verkar vara en snubbe i Ukraina om man slår upp adressen som finns på kommandoraden via WhoIs.

Programmet ligger här på disken under aktuell användare:

I biblioteket ovanför så ligger den exe som startar cpu.exe, vi tog bort dessa båda bibliotek och iom detta så beter sig datorn normalt.

MBAM såg själva cpu.exe som ett riskprogram och klassificerade det som en bitcoin miner, jag har även kollat filerna via usbminne på lite andra datorer men inga antivirus varnar för dom...

Frågan är om detta ska skickas till antivirusföretagen eller nåt, är datorn vidöppen eller vad ska man tro?

Redigera
Citera flera Citera
Permalänk
Medlem

Klart du kan anmäla det.

Det jag tycker är mer intressant är hur de fick in programmet, och vad det faktiskt gör. Om det är en bitcoinminer så sitter ukrainaren antagligen på en jävla massa datorer som minar för han!

Edit: Det var alltså inget antivirus som reagerade på det? Problemet med att bara "ta bort" mappen, så kvarstår ju frågan om hur det installerades, och samtidigt så återstår risken för att det dyker upp igen.

Visa signatur

Node 804 | CPU: i7 4770k | RAM: Corsair vengeance LP 16gb | GPU: MSI GTX 780 SLi | MB: ROG Maximus VII Gene |
Node 304 | CPU: G3258 | RAM: HyperX 8gb | GPU: Nvidia GTX Asus 750Ti | MB: MSI Z97i-AC |

Redigera
Citera flera Citera
Permalänk
Medlem

Vi har försökt kolla vad som hände på datorn vid den aktuella tidpunkten (2014-04-01 11:39) eller strax innan men inte hittat något, ska testa och köra en sökning i felsäkert läge ikväll.

-edit stavfel -

Redigera
Citera flera Citera
Permalänk
Hedersmedlem

Med tanke på katagligplaceringen av exefilen så är det högst sannolikt att det kom in via webbläsaren.
Någon svaghet i flash eller nå illasinnat javascript är väl de två mest troliga bovarna.

All skit från webläsaren lägger sig där (i stort sätt).

Vill ni gräva mer så kan ni ta er en titt i tempkatalogen för webläsaren för detta klockslag.

Visa signatur

🎮 → Node 304 • Ryzen 5 2600 + Nh-D14 • Gainward RTX 2070 • 32GB DDR4 • MSI B450I Gaming Plus AC
🖥️ → Acer Nitro XV273K Pbmiipphzx • 🥽 → VR: Samsung HMD Odyssey+
🎧 → Steelseries arctic 7 2019
🖱️ → Logitech g603 | ⌨️ → Logitech MX Keys
💻 → Lenovo Yoga slim 7 pro 14" Oled

Redigera
Citera flera Citera
Permalänk
Medlem

Tråden http://www.bleepingcomputer.com/forums/t/529686/computer-stop... verkar handla om en dator men en mycket likartad infektion. På slutet av loggen kan man se att de första skadliga filerna (stub.exe) kom in redan 26 mars medan de som gör själva jobbet (cpu.exe) skapades först den 31 mars så du behöver kolla flera dagar innan för att vara säker.

Den datorn har även mappen C:\Users\"anv.namn"\AppData\Roaming\Updater som skapades samtidigt med cpu.exe så du bör kolla upp om du har den mappen också och i så fall vad den innehåller.

Om man laddar upp filer på https://www.virustotal.com/ och minst ett av programmen där, t ex MBAM, anser att det är skadligt kommer filen att skickas till de andra deltagande företagen för undersökning, så det är ett bra sätt att få en skadlig fil känd.

Redigera
Citera flera Citera
Permalänk
Medlem

Alternativt att någon på företaget själv lagt in det på alla jobbets datorer för att tjäna en hacka?

Visa signatur

7800X3D - 7900XTX - QD-OLED 34" AW3423DW

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av CeciliaB:

Den datorn har även mappen C:\Users\"anv.namn"\AppData\Roaming\Updater som skapades samtidigt med cpu.exe så du bör kolla upp om du har den mappen också och i så fall vad den innehåller.

Om man laddar upp filer på https://www.virustotal.com/ och minst ett av programmen där, t ex MBAM, anser att det är skadligt kommer filen att skickas till de andra deltagande företagen för undersökning, så det är ett bra sätt att få en skadlig fil känd.

Gå till inlägget

Tack för förslagen, Updater fanns och nu får man lite tips om vilket Antivirus man borde ha, filerna var kända på virustotal men bara några få antivirus verka reagera...

Redigera
Citera flera Citera
Permalänk
Medlem

Kan inte annat än att bli imponerad av kreativiteten, om det blir stor spridning på det så blir det nog en hel del kulor.

Visa signatur

¯\_(Ó.ò)_/¯

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av MumboJumboMike:

Tack för förslagen, Updater fanns och nu får man lite tips om vilket Antivirus man borde ha, filerna var kända på virustotal men bara några få antivirus verka reagera...

Gå till inlägget

Man kan ju inte gå på bara en infektion, nästa gång kan ju datorn drabbas av något helt annat.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av CeciliaB:

Man kan ju inte gå på bara en infektion, nästa gång kan ju datorn drabbas av något helt annat.

Gå till inlägget

Nä så är det nog, jag som trodde jag hittat en genväg.

Har inte haft virus sen den tiden man höll på med wares (tror/hoppas jag).

Redigera
Citera flera Citera
Permalänk
Medlem

Har inte helt fått bort det helt än verkar det som. Då och då poppar nedanstående ruta upp för henne:

Är det nån som vet hur jag ska hitta vad det är som vill ladda in det igen, har testat att söka efter det i regedit utan resultat.

Redigera
Citera flera Citera
Permalänk
Medlem

Nu har jag ingen aning om exakt var filen ligger/vad som får in skiten, eller om detta kommer hjälpa, men programmet ComboFix brukar lösa rätt mycket allmänt skit och illabådande filer. (Bara googla ComboFix, ladda ner från Bleeping Computers) Testa iallafall

Redigera
Citera flera Citera
Permalänk
Inaktiv
Skrivet av Vaun:

Kan inte annat än att bli imponerad av kreativiteten, om det blir stor spridning på det så blir det nog en hel del kulor.

Gå till inlägget

1.000.000 infekterade datorer borde bli ca 180 dollar om dagen.
1.000.000 låter mycket och 180 dollar låter lite

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av MumboJumboMike:

Har inte helt fått bort det helt än verkar det som. Då och då poppar nedanstående ruta upp för henne:

http://i62.tinypic.com/2ykjtsi.jpg

Är det nån som vet hur jag ska hitta vad det är som vill ladda in det igen, har testat att söka efter det i regedit utan resultat.

Gå till inlägget

Vi kan ju se om en FRST-logg visar något:
Ladda ner Farbar Recovery Scan Tool (FRST) och spara på skrivbordet.
För 64-bitars Windows: http://download.bleepingcomputer.com/farbar/FRST64.exe
För 32-bitars Windows: http://download.bleepingcomputer.com/farbar/FRST.exe

Starta FRST.
Läs villkoren för programmet.
Klicka på Yes för att acceptera.
Klicka på Scan-knappen.
När det är klart kommer det att ha skapats två loggar FRST.txt och Addition.txt på skrivbordet.
Klistra in innehållet i de två loggarna direkt i ditt svar men använd SPOILER-taggen/funktionen runt loggarna så att inlägget inte ser så långt ut (vissa gillar inte att skrolla så mycket).

Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara