AV heeft Multios.Coinminer.Miner gevonden op ds213

[Birdy]

Waar het om gaat, is dat Synology zelf het probleem moet oplossen in hun eigen package Antivirus Essential.
Maar goed, heb je dan ook Domoticz draaien op je NAS ?

[leonardus]

/etc/ld.so.preload proberen te verwijderen.
sudo vi /etc/ld.so.preload

Regel verwijderen (of uitschakelen door er een # voor te zetten).
Opslaan middels inmiddels welbekende <esc> en :wq

Krijg nu bijgaande melding.

[Briolet]

…in hun eigen package Antivirus Essential.

Dat het pakket niet kijkt of een file gelocked is en zo ja eerst unlocked voordat hij een verdachte file in quarantaine zet, lijkt me meer een fout in het programma ClamAV zelf en niet in het sausje dat Synology er over gestrooid heeft. Hoe dan ook een fout van één van beiden.

[Birdy]

Kan je die .swp file dan ook zien ? Zo ja, punt 2 opvolgen.

[Birdy]

@Briolet Dan moet Synology contact opnemen met ClamAV, lijkt mij.
Het geklungel in SSH is n.l. niet echt de bedoeling dus, de bal ligt toch bij Synology, niet bij de gebruikers.

[leonardus]

@ Birdy, swap is er niet meer zo te zien.

[leonardus]

Even kijken wat ze hier op antwoorden;

Synology:
Dear Leo,

Yes, the damages that the virus causes can be disastrous and that is the reason why we recommend you to reinstall the DSM.
Try fixing it one by one may be causes even more damages.

Leo:

No, I do not think so. I think it's an error from the official antivirus package, ClamAV. That the package does not check whether a file has been locked and if so first it is unlocked before it puts a suspicious file in quarantine. I would appreciate you solving this problem for me.

[Birdy]

 

Alleen dit is wel een vreemde:

Try fixing it one by one may be causes even more damages.

Er valt natuurlijk niets meer te fixen voor jou als DSM opnieuw is geïnstalleerd

[leonardus]

Klopt, maar aankomende week druk, druk, druk. Nu ff ontspannen meuk weghalen als afleiding en leermoment. Heb vanmiddag verschillende tips en fora doorgelezen. Verschillende stappenplannen die ook door jullie zijn aangegeven gevolgd. Nu nog de gouden tip (behalve dan een re-install) of stappenplan om ld.so.preload weg te halen?. Dat is het enige wat ik nu nog zie. Systemscan op de NAS geeft geen foutmeldingen. Volledige scan van de NAS is nu (na een dag werken) op 28% pas. Ook hier nog geen foutmeldingen.

[leonardus]

Mensen, graag wil ik jullie op de hoogte brengen van het volgende referte mijn probleem met de meuk die is veroorzaakt door de foute versie van Domoticz (met een aan zekerheid grenzende waarschijnlijkheid). De foutmeldingen bleven zich maar opstapelen, waaronder dat av niet meer werkte en tevens het verzenden van email lag eruit. Ook Synology kwam er niet meer uit en daarom toch maar besloten om dsm opnieuw te installeren met behulp van optie 2 (resetknop 4 seconden, daarna loslaten en binnen 10 seconden gelijk weer indrukken tot 3 piepjes). Het is me behoorlijk meegevallen, ook wel doordat ik wel eerst ff de systeem settings (.dds) had geback upt en terug gezet. Graag wil ik jullie bedanken voor jullie tijd en input!. Ik heb er veel van geleerd!

[Hofstede]

Dat was sowieso de allerbeste manier om zeker te weten dat de machine schoon is.

[Birdy]

IDD, de beste optie

[Briolet]

De beste optie om het op te lossen, maar niet de beste optie om te begrijpen wat er gebeurd is.

Als je de kennis hebt om het te bekijken wil je het zelf proberen te doen. Zou ik waarschijnlijk ook geprobeerd hebben. Omdat het een miner was, die alleen rekenkracht kost. Als het ransomeware was, had ik hem er wel zo snel mogelijk af willen hebben.

[Hofstede]

Tuurlijk wil je dat begrijpen en experimenteren om het in de toekomst te voorkomen. Maar uiteindelijk wil je toch 100% zeker weten dat er geen restanten meer op je NAS aanwezig zijn.