На сервере поселился майнер, маскируется под svchost.exe. Никак не могу избавиться от него. Помогите, пожалуйста.
Printable View
На сервере поселился майнер, маскируется под svchost.exe. Никак не могу избавиться от него. Помогите, пожалуйста.
Уважаемый(ая) [B]Rus_Eternal[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте,
Логи сделаны в терминальной сессии, сделайте их из консоли.
Сделал из консоли. А подскажите для общего образования, почему не годятся логи из-под терминальной сессии?
[QUOTE=Rus_Eternal;1439881]Сделал из консоли. А подскажите для общего образования, почему не годятся логи из-под терминальной сессии?[/QUOTE]
Ознакомьтесь с особенностями в статье [url]http://z-oleg.com/secur/avz_doc/index.html?faq_14.htm[/url]
- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
Сделал, прикрепляю.
п.с. Спасибо за статью
[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
File: C:\Windows\Temprad80F65.tmp
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
По каким признакам подозреваете, что на сервере завелся Miner?
В процессах висит svchost.exe, который съедает 90% ЦП. Я его убиваю, через какое-то время он появляется снова. Прогон разными антивирусами результата не дал. Когда выполнялось сканирование, этого процесса не было, думал, его хвосты все-равно видно будет. Может нужно повторить сканирование, когда он активен? Просто он очень мешает работе, терминальный сервер, нагрузка и так большая.
п.с. фикслог приклеплю чуть позже, сейчас нет возможности перезагрузить.
Скачайте [URL="https://technet.microsoft.com/en-us/sysinternals/processexplorer.aspx"]Process Explorer[/URL] процессах посмотрите Properties->Threads и покажите скрин. Возможно это связанно с обновлениями Windows.
Присылаю скрины, а так же ранее запрошеный fixlog. До того, как начал бороться с этим файлом в процессор эксплорере была надпись ZCash, после удаления папки, где он лежал стало так, как сейчас на скрине. Служба обновления виндовс отключена. Папки apia в system32 нет(скрытые и системные файлы показываются)
Процесс потребляет [B]ucrtbase.dll!_crt_at_quick_exit[/B] CPU. Пробуйте по отключать временно агенты сети, например zabbix и по наблюдать.
Отключение агентов не дало результата, нагрузка осталась такая же. Зато нашёл очень интересный файл в C:\Windows\System32\config\systemprofile\AppData\Local\minergate-cli\log, прикрепляю его скрин во вложении
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
Folder:C:\Windows\System32\config\systemprofile\AppData\Local\minergate-cli
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![/LIST]
Скачайте программу [url="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/url] и [url="http://virusinfo.info/showthread.php?t=121767"]сделайте полный образ автозапуска uVS[/url].
Извините за долгий ответ, совсем работой загрузили. Прикрепляю запрошенные файлы, лог Uvs отправил через "прислать запрошенный карантин"
Карантин не для отчетов, просьба в дальнешем не отправляйте отчеты в карантин.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[URL="http://virusinfo.info/showthread.php?t=121767&p=897827&viewfull=1#post897827"]Выполните скрипт в uVS:[/URL]
[CODE];uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
zoo %Sys32%\APIA\SVCHOST.EXE[/CODE]
По окончаю перегрузите сервер вручную.
Всё сделал, карантин отправил(по инструкции).
п.с. Svchost, загружающий систему, снова появился
Могли бы выполнить инструкции в безопасном режиме с сетевыми службами, так как карантин не взялся.
[url]https://virusinfo.info/showthread.php?t=210116&p=1441371&viewfull=1#post1441371[/url]
Также проверить файл на сайте virstotal.com
[CODE]C:\WINDOWS\SYSTEM32\APIA\SVCHOST.EXE[/CODE]
Я выполню инструкции, но подозреваю, что результат будет тот же. Папки "C:\WINDOWS\SYSTEM32\APIA" у меня на сервере физически нет, поэтому и отправить на проверку не смогу файл. Дело в том, что эта папка была удалена еще в самом начале борьбы с этим вирусом, и в последствии она не появлялась, но Svchost.exe появляется регулярно, 2-3 раза в день, если его убивать. Карантин прикреплю попозже, как возможность будет перезагрузить сервер.
Выполнил инструкции в безопасном режиме с сетевыми службами. Файл карантина не создался даже. Прикладываю логи запуска.
[CODE]Нет доступа к файлу, возможно файл защищен [ C:\WINDOWS\SYSTEM32\APIA\SVCHOST.EXE ][/CODE]
Пробуйте выполнить в UVS использую системную учетную запись.