Процесс mstdc.exe завешивает сервер

[Lapin]

Ежедневно между 23 и 00 часами сервер зависает. Подключаясь по RDP, после очень долгого ожидания (до 30 минут) обычно удается запустить диспетчер задач. Среди процессов присутствует mstdc.exe, который грузит процессор на 99%. Файл расположен здесь: C:\Windows\Temp\. После снятия процесса он вновь появляется еще 3 раза. После этого по вышеуказанному пути обнаруживаются подозрительные файлы. Ссылка на архив с ними: http://my-files.ru/rndndq (пароль infected). После снятия процессов mstdc папку C:\Windows\Temp\ можно очистить и сервер нормально работает, но вечером все повторяется. Подозрительные файлы в папке Temp NOD32 не распознает как вирусы. Лечащие утилиты тоже ничего не дают. Помогите, пожалуйста разобраться в чем здесь проблема. hijackthis.logvirusinfo_syscheck.zip

[Info_bot]

Уважаемый(ая) Lapin, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Lapin]

Прошу прощения за допущенную неточность. Файл mstdc.exe расположен в C:\Windows\Temp\mst\. Кроме него там появляются еще несколько файлов. Их соберу сегодня и тоже приложу архив.

- - - - -Добавлено - - - - -

Обнаружил еще одну странность: отключал учетную запись "Гость", но на следующий день она снова оказывалась включена.

[Lapin]

Внимание

Не нужно выкладывать ссылки на вирусы

[Vvvyg]

Смените пароли на учётки с администраторскими правами и у пользователей, имеющих доступ по RDP, у кого админские права были не по делу - отобрать не обращая внимания на вопли.
Все пароли должны быть сложными.

Установить все обновления безопасности на систему. Самый минимум - то что найдёт такой скрипт.

Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

[Lapin]

Внимание

Не нужно выкладывать ссылки на вирусы

Извините, больше не повторится.

- - - - -Добавлено - - - - -

Учетных записей с правами администратора три. Пароли уже сменил.
Все обновления из Центра обновления установлены.
Все, на что указал скрипт - скачал и установил.
Образ автозапуска прилагаю
SRVR_2016-06-24_14-20-24.7z

[Vvvyg]

Выполните скрипт в uVS:

Код:

;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
delref %SystemRoot%\TEMP\MST\SST.BAT

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[Lapin]

Все сделал, но что-то пошло не так.
1. SecurityCheck не запустился. Выдал сообщение: "Версия вашей ОС (WIN_2008_R2 x64) не поддерживается программой".
2. Скрипт в uVS выполнился, но в конце не перезагрузил компьютер, как было сказано в инструкции. Кроме того, он не создал архив "ZOO_" или папку "ZOO". В результате его работы появился только лог с именем "2016-06-25_00-07-02_log". Его прикрепляю к сообщению: 2016-06-25_00-07-02_log.txt
Что я не правильно сделал?

[Vvvyg]

Всё правильно, перезагружать сервер скриптом не было нужды, да и не стоит этого делать на серверных системах, перезагрузка жёсткая, можно базы потерять, и вообще систему уронить. И карантинить нечего было.

Больше не появляются те файлы в C:\Windows\Temp?

[Lapin]

Появляются 20 минут назад снова убил процессы mstdc.exe и удалил файлы. Ситуация просто катастрофическая. Что еще можно сделать?

[Vvvyg]

Пароли точно все поменяли?

Есть возможность ограничить удалённый доступ к серверу на роутере, или системным брандмауэром? Он включен, кстати?

Выполните скрипт в uVS:

Код:

;uVS v3.81.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

Exec wevtutil.exe epl System system.evtx
Exec wevtutil.exe epl Application Application.evtx
Exec wevtutil.exe epl Security Security.evtx
Exec pack\7za.exe a -t7z -sdel -mx9 -m0=ppmd:o=32:mem=768m Events.7z *.evtx

В папке с UVS появится архив Events.7z, загрузите его на rghost.ru и дайте ссылку в теме.

[Lapin]

Да, пароли поменяли.
Брандмауэр включен для всех типов сетей. Это я сделал уже давно.
Ограничить доступ на Роутере нельзя, так как есть сотрудники, которые из дома вечером распечатывают документы для отгрузки на следующий день. И еще бухгалтер иногда работает. Но у них права только пользователей.
Еще одна странность (я об этом уже писал): после остановки процессов mstdc и удаления файлов я отключал учетную запись "Гость", но после следующего запуска вируса она снова включена.
Ссылка на результат выполнения скрипта: http://rgho.st/8sSSzvXRp

[Vvvyg]

Можно разрешить доступ к серверу только с отдельных диапазонов адресов, а не со всех.

Порты только определённые из интернета доступны? Есть подозрение, что через MS SQL Server взламывают. Установите пакет обновления 3 (SP3) для Microsoft® SQL Server® 2008 R2, смените пароль SA на сложный.

[Lapin]

Пароль SA и так был сложный, но все-таки, сменил и его. Из Интернета доступен только порт RDP, но он изменен на нестандартный. При этом его уже недавно менял. Кроме того, попросил провайдера сменить IP-адрес. Пакет обновления установил, но это ничего не дало. Вирус продолжает запускаться. Выяснил более точно - это происходит ровно в 23.00. В последние 2 вечера делал эксперимент: в 22.45 менял системное время на 23.45, а в 00.15 (по времени сервера) возвращал на 23.15. Выяснилось, что, если 23.00 на сервере никогда не наступает, то вирус не активируется.

[Vvvyg]

Можете так сделать: подкараульте, когда запустится mstdc.exe, не завершайте процесс, только приоритет уменьшите до idle. Затем сделайте новый полный образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме.

[Lapin]

Удалось сделать образ автозапуска сразу после активации вируса, однако его процесс пришлось все-таки убить. Понижение приоритета до уровня "Низкий" ничего не дает - процессор так же грузится на 99% и запустить программу не представляется возможным. Архив сформировался: http://rgho.st/6cKsfRbq2

[Vvvyg]

Выполните скрипт в UVS:

Код:

;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
; C:\WINDOWS\TEMP\MST\MSTDC.EXE
zoo %SystemRoot%\TEMP\MST\MSTDC.EXE
addsgn BA6F9BB21DE149D777DDAE7664C812052562F6E681FAF7FD793C3A2CC09EF2880BD453C7AEC50DD9BB10140FD686D96A289761970819D6022268202FC7062273 8 variant of Win64/BitCoinMiner.U [Eset]

chklst
delvir

zoo %SystemRoot%\TEMP\MST\SST.BAT
delall %SystemRoot%\TEMP\MST\SST.BAT
deltmp
bp C:\WINDOWS\TEMP\MST\MSTDC.EXE
bl 5ACD4A3254CB071D51F78A5BD08A9289 804153
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\THE BAT!\THEBAT.EXE
delref D:\$DISTR\V-TALKING\VTALKING.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\XNVIEW\XNVIEW.EXE
czoo

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к своему сообщению.

Смотрите настройки Eset, должен он ловить этот майнер как a variant of Win64/BitCoinMiner.U potentially unsafe.

[Lapin]

Большое спасибо за идею с настройками NOD32. Там, действительно, есть параметр "защита от потенциально опасного ПО", который по умолчанию отключен. После его включения произошло следующее.
В 23.00 снова появилась папка MST, попытался запуститься файл mstdc.exe, но был тут же удален антивирусом. Процесс mstdc.exe не запустился. Все остальное содержимое папки MST, в том числе и sst.bat осталось.
После этого я выполнит присланные Вами скрипты.
Лог выполнения uVS:2016-07-03_23-07-33_log.txt.
Папка MST в результате выполнения скрипта удалилась, но вместо нее в папке TEMP появилась папка пустая MSTG, удалить которую невозможно, так как "папка или файл открыты в другой программе" (не понимаю, в какой).
Скрипт AVZ ничего не обнаружил.

[Vvvyg]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Кроме уже установленных, отметьте галочками также "90 Days Files".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

[Lapin]

Результат сканирования FRST:Archive.zip