судя по карантину проблемы начались с апреля, когда был получен загрузчик
Цитата:
|
D0EE0DC7D4FD686AEC3FD04368A2CDA4F8FDAC1D.NDF "хттп://23.88.239.3/d/un.rar" "@NAME=Win32/TrojanDownloader.Agent.DIB@TYPE=Trojan@SUSP=mod" 24.04.2017 1877504 bytes
|
и он стал закачивать в систему майнеры.
Цитата:
A4C4C27962960852B542F25DA9E87F8F13398FA5.NDF "C:\Windows\Temp\Tmp8C91.tmp";"C:\Windows\Temp\Tmp 6562.tmp";"C:\Windows\Temp\Tmp580A.tmp";"C:\Window s\Temp\Tmp501E.tmp";"C:\Windows\Temp\Tmp29D9.tmp"; "C:\Windows\Temp\Tmp133D.tmp";"C:\Windows\Temp\Tmp FA22.tmp";"C:\Windows\Temp\TmpEDF2.tmp";"C:\Window s\Temp\TmpD228.tmp";"C:\Windows\Temp\TmpBAD1.tmp"; "C:\Windows\Temp\TmpA687.tmp";"C:\Windows\Temp\Tmp 901A.tmp";"C:\Windows\Temp\Tmp7A87.tmp";"C:\Window s\Temp\Tmp114A.tmp";"C:\Windows\Temp\TmpF0C0.tmp"; "C:\Windows\Temp\TmpD3FC.tmp";"C:\Windows\Temp\Tmp B70A.tmp";"C:\Windows\Temp\TmpA4C2.tmp";"C:\Window s\Temp\Tmp9529.tmp";"C:\Windows\Temp\Tmp7DD2.tmp"; "C:\Windows\Temp\Tmp69E5.tmp";"C:\Windows\Temp\Tmp 58B6.tmp";"C:\Windows\Temp\Tmp4111.tmp";"C:\Window s\Temp\Tmp293D.tmp";"C:\Windows\Temp\Tmp137C.tmp"; "C:\Windows\Temp\Tmp337.tmp";"C:\Windows\Temp\TmpE B92.tmp";"C:\Windows\Temp\TmpD15E.tmp";"C:\Windows \Temp\TmpBFC1.tmp";"C:\Windows\Temp\TmpD757.tmp";" C:\Windows\Temp\TmpC731.tmp";"C:\Windows\Temp\TmpB 16F.tmp";"C:\Windows\Temp\TmpB96B.tmp";"C:\Windows \Temp\Tmp9F95.tmp";"C:\Windows\Temp\Tmp7940.tmp";" C:\Windows\Temp\Tmp5240.tmp";"C:\Windows\Temp\Tmp3 500.tmp";"C:\Windows\Temp\Tmp2853.tmp";"C:\Windows \Temp\Tmp827.tmp";"C:\Windows\Temp\Tmp53A.tmp";"C: \Windows\Temp\TmpE8A5.tmp";"C:\Windows\Temp\TmpCA7 B.tmp";"C:\Windows\Temp\Tmp9BFC.tmp";"C:\Windows\T emp\Tmp1F10.tmp";"C:\Windows\Temp\TmpFD7D.tmp";"C: \Windows\Temp\Tmp9577.tmp";"C:\Windows\Temp\Tmp841 9.tmp";"C:\Windows\Temp\TmpC0FA.tmp";"C:\Windows\T emp\Tmp118A.tmp";"C:\Windows\Temp\Tmp54A2.tmp";"C: \Windows\Temp\Tmp4294.tmp";"C:\Windows\Temp\Tmp213 F.tmp";"C:\Windows\Temp\Tmp4AA.tmp";"C:\Windows\Te mp\TmpF790.tmp";"C:\Windows\Temp\TmpFB48.tmp";"C:\ Windows\Temp\TmpBE29.tmp";"C:\Windows\Temp\TmpD081 .tmp";"C:\Windows\Temp\TmpB88E.tmp";"C:\Windows\Te mp\TmpB505.tmp";"C:\Windows\Temp\Tmp3184.tmp";"C:\ Windows\Temp\TmpFE35.tmp";"C:\Windows\Temp\Tmp9C77 .tmp";"C:\Windows\Temp\TmpC0D8.tmp";"C:\Windows\Te mp\Tmp9FA2.tmp";"C:\Windows\Temp\Tmp1676.tmp";"C:\ Windows\Temp\Tmp4C84.tmp";"C:\Windows\Temp\Tmp7F18 .tmp";"C:\Windows\Temp\Tmp8742.tmp";"C:\Windows\Te mp\TmpA241.tmp";"C:\Windows\Temp\Tmp799C.tmp";"C:\ Windows\Temp\TmpFD7B.tmp";"C:\Windows\Temp\TmpBE0B .tmp";"C:\Windows\Temp\Tmp96BD.tmp";"C:\Windows\Te mp\Tmp88C9.tmp";"C:\Windows\Temp\Tmp5AC7.tmp";"C:\ Windows\Temp\Tmp4B9A.tmp";"C:\Windows\Temp\Tmp4DEB .tmp";"C:\Windows\Temp\TmpF206.tmp";"C:\Windows\Te mp\TmpB738.tmp";"C:\Windows\Temp\TmpA389.tmp";"C:\ Windows\Temp\Tmp8E06.tmp";"C:\Windows\Temp\Tmp813A .tmp";"C:\Windows\Temp\Tmp5F3A.tmp";"C:\Windows\Te mp\Tmp4CE2.tmp";"C:\Windows\Temp\Tmp3463.tmp";"C:\ Windows\Temp\TmpB8F.tmp";"C:\Windows\Temp\TmpE47F. tmp";"C:\Windows\Temp\TmpCDE4.tmp";"C:\Windows\Tem p\Tmp9CB6.tmp";"C:\Windows\Temp\TmpBFFF.tmp";"C:\W indows\Temp\Tmp70E6.tmp";"C:\Windows\Temp\TmpA242. tmp";"C:\Windows\Temp\Tmp6E57.tmp";"C:\Windows\Tem p\TmpF84E.tmp";"C:\Windows\Temp\Tmp9A37.tmp";"C:\W indows\Temp\Tmp1CCE.tmp";"C:\Windows\Temp\Tmp1F8C. tmp";"C:\Windows\Temp\Tmp79FB.tmp";"C:\Windows\Tem p\Tmp68EB.tmp";"C:\Windows\Temp\Tmp3F0E.tmp";"C:\W indows\Temp\Tmp3ABA.tmp";"C:\Windows\Temp\TmpC405. tmp";"C:\Windows\Temp\TmpE2EA.tmp";"C:\Windows\Tem p\TmpB72A.tmp";"C:\Windows\Temp\Tmp6D8D.tmp";"C:\W indows\Temp\Tmp5433.tmp";"C:\Windows\Temp\Tmp858F. tmp";"C:\Windows\Temp\Tmp491C.tmp";"C:\Windows\Tem p\Tmp4297.tmp";"C:\Windows\Temp\TmpFE4.tmp";"C:\Wi ndows\Temp\Tmp7F8.tmp";"C:\Windows\Temp\Tmp3648.tm p";"C:\Windows\Temp\Tmp1235.tmp";"C:\Windows\Temp\ Tmp87A2.tmp";"C:\Windows\Temp\Tmp113B.tmp";"C:\Win dows\Temp\Tmp7116.tmp";"C:\Windows\Temp\TmpE877.tm p";"C:\Windows\Temp\Tmp3B38.tmp";"C:\Windows\Temp\ TmpD0C2.tmp";"C:\Windows\Temp\Tmp8551.tmp";"C:\Win dows\Temp\TmpFF70.tmp";"C:\Windows\Temp\TmpF746.tm p";"C:\Windows\Temp\Tmp6DAD.tmp";"C:\Windows\Temp\ TmpF073.tmp";"C:\Windows\Temp\TmpB90E.tmp";"C:\Win dows\Temp\Tmp3EA2.tmp";"C:\Windows\Temp\Tmp74D.tmp ";"C:\Windows\Temp\Tmp8C3.tmp";"C:\Windows\Temp\Tm p7F78.tmp";"C:\Windows\Temp\Tmp77DA.tmp";"C:\Windo ws\Temp\Tmp5D2A.tmp";"C:\Windows\Temp\Tmp5482.tmp" ;"C:\Windows\Temp\Tmp46FB.tmp";"C:\Windows\Temp\Tm p1B1B.tmp";"C:\Windows\Temp\TmpF811.tmp";"C:\Windo ws\Temp\TmpF553.tmp";"C:\Windows\Temp\TmpD832.tmp" ;"C:\Windows\Temp\TmpCDD6.tmp";"C:\Windows\Temp\Tm pAF9D.tmp";"C:\Windows\Temp\Tmp9875.tmp";"C:\Windo ws\Temp\Tmp9B61.tmp";"C:\Windows\Temp\Tmp7211.tmp" ;"C:\Windows\Temp\Tmp7922.tmp";"C:\Windows\Temp\Tm p5869.tmp";"C:\Windows\Temp\Tmp3511.tmp";"C:\Windo ws\Temp\Tmp24DB.tmp";"C:\Windows\Temp\Tmp22E8.tmp" ;"C:\Windows\Temp\TmpF840.tmp";"C:\Windows\Temp\Tm pE50E.tmp";"C:\Windows\Temp\TmpDA35.tmp";"C:\Windo ws\Temp\TmpAD8A.tmp";"C:\Windows\Temp\Tmp93A4.tmp" ;"C:\Windows\Temp\Tmp8468.tmp";"C:\Windows\Temp\Tm p6C47.tmp";"C:\Windows\Temp\Tmp6007.tmp";"C:\Windo ws\Temp\Tmp473A.tmp";"C:\Windows\Temp\Tmp3714.tmp" ;"C:\Windows\Temp\Tmp1C25.tmp";"C:\Windows\Temp\Tm pE1F3.tmp";"C:\Windows\Temp\TmpBE5C.tmp";"C:\Windo ws\Temp\TmpAFDB.tmp";"C:\Windows\Temp\TmpABD6.tmp" ;"C:\Windows\Temp\Tmp7C3E.tmp";"C:\Windows\Temp\Tm p705C.tmp";"C:\Windows\Temp\Tmp5EEF.tmp";"C:\Windo ws\Temp\Tmp508D.tmp";"C:\Windows\Temp\Tmp4A94.tmp" ;"C:\Windows\Temp\Tmp2BDE.tmp";"C:\Windows\Temp\Tm pB15.tmp";"C:\Windows\Temp\TmpE55D.tmp";"C:\Window s\Temp\TmpDEC8.tmp";"C:\Windows\Temp\TmpB642.tmp"; "C:\Windows\Temp\Tmp9318.tmp";"C:\Windows\Temp\Tmp 70D9.tmp";"C:\Windows\Temp\Tmp3C62.tmp";"C:\Window s\Temp\TmpD621.tmp";"C:\Windows\Temp\TmpB1CF.tmp"; "C:\Windows\Temp\TmpA5AF.tmp";"C:\Windows\Temp\Tmp 92CB.tmp";"C:\Windows\Temp\Tmp6FFF.tmp";"C:\Window s\Temp\Tmp55CB.tmp";"C:\Windows\Temp\Tmp32B1.tmp"; "C:\Windows\Temp\Tmp26DF.tmp";"C:\Windows\Temp\Tmp FFEF.tmp";"C:\Windows\Temp\TmpE57C.tmp";"C:\Window s\Temp\TmpD65F.tmp";"C:\Windows\Temp\Tmp9F39.tmp"; "C:\Windows\Temp\TmpAACD.tmp";"C:\Windows\Temp\Tmp 496C.tmp";"C:\Windows\Temp\Tmp2CE8.tmp";"C:\Window s\Temp\Tmp12B4.tmp";"C:\Windows\Temp\Tmp4DE.tmp";" C:\Windows\Temp\TmpDE9A.tmp";"C:\Windows\Temp\TmpC D2C.tmp";"C:\Windows\Temp\TmpA80F.tmp";"C:\Windows \Temp\Tmp92DB.tmp";"C:\Windows\Temp\Tmp5EFF.tmp";" C:\Windows\Temp\Tmp4039.tmp";"C:\Windows\Temp\Tmp2 837.tmp";"C:\Windows\Temp\Tmp49AB.tmp";"C:\Windows \Temp\Tmp14D6.tmp";"C:\Windows\Temp\TmpE251.tmp";" C:\Windows\Temp\TmpAF60.tmp";"C:\Windows\Temp\Tmp9 164.tmp";"C:\Windows\Temp\Tmp6391.tmp";"C:\Windows \Temp\Tmp530E.tmp";"C:\Windows\Temp\Tmp39A4.tmp";" C:\Windows\Temp\Tmp226D.tmp";"C:\Windows\Temp\TmpC BB.tmp";"C:\Windows\Temp\TmpFBCA.tmp";"C:\Windows\ Temp\TmpE898.tmp";"C:\Windows\Temp\TmpD5C4.tmp";"C :\Windows\Temp\TmpBF76.tmp";"C:\Windows\Temp\TmpAD 2E.tmp";"C:\Windows\Temp\Tmp99BE.tmp";"C:\Windows\ Temp\Tmp815E.tmp";"C:\Windows\Temp\Tmp6DDE.tmp";"C :\Windows\Temp\Tmp55EB.tmp";"C:\Windows\Temp\TmpF9 E7.tmp";"C:\Windows\Temp\TmpA3C.tmp";"C:\Windows\T emp\Tmp32A.tmp";"C:\Windows\Temp\TmpE030.tmp";"C:\ Windows\Temp\TmpAA80.tmp";"C:\Windows\Temp\Tmp8A44 .tmp";"C:\Windows\Temp\Tmp7685.tmp";"C:\Windows\Te mp\Tmp6288.tmp";"C:\Windows\Temp\Tmp492F.tmp";"C:\ Windows\Temp\Tmp3320.tmp";"C:\Windows\Temp\Tmp1F13 .tmp";"C:\Windows\Temp\TmpEFD.tmp";"C:\Windows\Tem p\TmpF5F1.tmp";"C:\Windows\Temp\TmpE0DC.tmp";"C:\W indows\Temp\TmpE214.tmp";"C:\Windows\Temp\TmpC34E. tmp";"C:\Windows\Temp\TmpA66B.tmp";"C:\Windows\Tem p\Tmp8E78.tmp";"C:\Windows\Temp\Tmp7CAD.tmp";"C:\W indows\Temp\Tmp6650.tmp";"C:\Windows\Temp\Tmp5179. tmp";"C:\Windows\Temp\Tmp367A.tmp";"C:\Windows\Tem p\Tmp1FAF.tmp";"C:\Windows\Temp\Tmp160F.tmp";"C:\W indows\Temp\TmpF861.tmp";"C:\Windows\Temp\TmpEEEF. tmp";"C:\Windows\Temp\TmpC87C.tmp";"C:\Windows\Tem p\TmpB421.tmp";"C:\Windows\Temp\TmpA082.tmp";"C:\W indows\Temp\Tmp907B.tmp";"C:\Windows\Temp\Tmp8EE6. tmp";"C:\Windows\Temp\Tmp62F6.tmp";"C:\Windows\Tem p\Tmp4C0D.tmp";"C:\Windows\Temp\Tmp1B0E.tmp";"C:\W indows\Temp\Tmp608.tmp";"C:\Windows\Temp\TmpD7B8.t mp";"C:\Windows\Temp\TmpAFDE.tmp";"C:\Windows\Temp \Tmp9EAE.tmp" "@NAME=Win32/CoinMiner.AFT@TYPE=Trojan@SUSP=inf" 30.04.2017 1132544 bytes
|