Winlog.exe или атака из вне [not-a-virus:RiskTool.MSIL.BitCoinMiner.ah ]

Добрый день!
[COLOR=#333333]Помогите пожалуйста. С недавнего времени заметил поедание ресурса ЦП процессом Winlog.exe (их обычно 2 у меня в диспетчере задач, один из них ест ресурсы) на 100% и выскакивание ошибки "Прекращена работа программы winlog.exe", частота ошибки может доходить до 10 в час. Лечилось только завершением процесса. В процессе исследования проблемы, было замечено в диспетчере задач странные процессы, среди которых [/COLOR][SIZE=2][FONT=arial]Webisida.Browser.exe, SecureSurf.Browser.Client.exe,[/FONT][/SIZE] [COLOR=#333333]от пользователя Manager2, под которым вход в ближайший год не выполнялся. Пользователя сразу отключил, процессы завершил - больше не появляются, но ошибка с [/COLOR][COLOR=#333333]winlog.exe по прежнему выскакивает.[/COLOR][COLOR=#333333]Так же выявлен странный файл в автозагрузке MPEG.EXE, который после удаления сразу же появлялся обратно.

Система Windows Server 2008 R2
Используется под сервер 1с и базы SQL.
Работа происходит по RDP и RemoteApp[/COLOR]

Уважаемый(ая) [B]VerterTRG[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Ну вот по RDP к Вам и зашли и запустили шифратор. Пароль от RDP смените

Выполните скрипт в AVZ
[code]begin
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Mpeg.exe','');
QuarantineFile('C:\Users\Administrator\Start Menu\Programs\Startup\Mpeg.exe','');
TerminateProcessByName('C:\ProgramData\2w\winlog.exe');
QuarantineFile('C:\ProgramData\2w\winlog.exe','');
TerminateProcessByName('c:\programdata\csrssas.exe');
QuarantineFile('c:\programdata\csrssas.exe','');
DeleteFile('c:\programdata\csrssas.exe','32');
DeleteFile('C:\ProgramData\2w\winlog.exe','32');
DeleteFile('C:\Users\Administrator\Start Menu\Programs\Startup\Mpeg.exe','32');
DeleteFile('C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Mpeg.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.[/code]Перезагрузку компьютера выполните вручную.

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.

[B][COLOR="Red"]Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger[/COLOR][/B]

Добрый день! Выполнил скрипты, отправил карантин.
Прилагаю новые логи.

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.

Добрый день! Прилагаю логи FRST

[QUOTE]2017-01-15 10:51 - 2017-01-03 00:00 - 00025600 ___SH C:\ProgramData\RtWHost.exe
2017-01-15 10:50 - 2017-01-15 10:50 - 00000000 __SHD C:\ProgramData\2w
2017-01-15 10:50 - 2017-01-15 04:23 - 04990052 ___SH C:\ProgramData\windll.exe
2017-01-15 10:50 - 2017-01-15 04:11 - 00000455 ___SH C:\ProgramData\winlog.bat
2017-01-15 10:50 - 2017-01-08 22:31 - 00025600 ___SH C:\ProgramData\cong.exe
2017-01-15 10:50 - 2017-01-08 18:57 - 00610140 ___SH C:\ProgramData\RtWLon.exe
2017-01-15 10:50 - 2017-01-08 18:56 - 00413788 ___SH C:\ProgramData\ggp.exe
2017-01-15 10:50 - 2017-01-07 22:34 - 00025088 ___SH C:\ProgramData\imag.exe
2017-01-15 10:50 - 2017-01-06 20:32 - 00025600 ___SH C:\ProgramData\csrss.exe
2017-01-15 10:50 - 2017-01-05 19:54 - 00000000 __SHD C:\ProgramData\PrtScr
2017-01-15 10:50 - 2017-01-04 00:05 - 00025088 ___SH C:\ProgramData\start.exe
2017-01-15 10:50 - 2017-01-03 00:03 - 00234524 ___SH C:\ProgramData\RtWLan.exe
2017-01-15 10:50 - 2016-12-31 19:32 - 01550968 ___SH C:\ProgramData\winlog.exe
2017-01-15 10:50 - 2016-12-20 15:23 - 00042496 ___SH C:\ProgramData\Mpeg.exe
2017-01-15 10:50 - 2016-11-13 21:30 - 00025088 ___SH C:\ProgramData\dwm.exe
2017-01-15 10:50 - 2016-11-01 22:32 - 00000118 ___SH C:\ProgramData\winlog.VBS
2017-01-15 10:50 - 2016-09-14 20:27 - 00021504 ___SH C:\ProgramData\OpenCL.dll[/QUOTE]Заархивируйте с паролем virus, выложите на dropmefiles.com и пришлите ссылку мне в личные сообщения. Только после этого выполняйте написанное ниже.



1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
Startup: C:\Users\Manager2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1C Предприятие.lnk [2017-03-09]
ShortcutTarget: 1C Предприятие.lnk -> C:\Users\Administrator\AppData\Roaming\Intel\srvany.exe (No File)
Startup: C:\Users\Manager2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Mpeg.exe [2016-12-20] ()
Startup: C:\Users\Manager2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Winccap.lnk [2017-03-09]
ShortcutTarget: Winccap.lnk -> C:\Users\Administrator\AppData\Roaming\Microsoft\Webisida.Browser.exe (No File)
Startup: C:\Users\Manager3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1C Предприятие.lnk [2017-01-05]
ShortcutTarget: 1C Предприятие.lnk -> C:\Users\Administrator\AppData\Roaming\Intel\srvany.exe (No File)
Startup: C:\Users\Manager3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Winccap.lnk [2017-01-05]
ShortcutTarget: Winccap.lnk -> C:\Users\Administrator\AppData\Roaming\Microsoft\Webisida.Browser.exe (No File)
Startup: C:\Users\Manager4\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Mpeg.exe [2016-12-20] ()
Startup: C:\Users\SPK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Mpeg.exe [2016-12-20] ()
C:\ProgramData\cong.exe
C:\ProgramData\csrss.exe
C:\ProgramData\dwm.exe
C:\ProgramData\ggp.exe
C:\ProgramData\imag.exe
C:\ProgramData\libcrypto-1.0.0.dll
C:\ProgramData\libcurl-4.dll
C:\ProgramData\libcurl.dll
C:\ProgramData\libgcc_s_seh-1.dll
C:\ProgramData\libjansson-4.dll
C:\ProgramData\libssl-1.0.0.dll
C:\ProgramData\libstdc++-6.dll
C:\ProgramData\libwinpthread-1.dll
C:\ProgramData\libz-1.dll
C:\ProgramData\Mpeg.exe
C:\ProgramData\OpenCL.dll
C:\ProgramData\RtWHost.exe
C:\ProgramData\RtWLan.exe
C:\ProgramData\RtWLon.exe
C:\ProgramData\start.exe
C:\ProgramData\windll.exe
C:\ProgramData\winlog.bat
C:\ProgramData\winlog.exe
C:\ProgramData\winlog.VBS
C:\Users\Public\wb.exe
C:\Users\Public\wc1.exe
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*][b]Перезагрузку компьютера[/b] выполните вручную.[/list]

Добрый день! В личное сообщение выслал ссылку.
Прилагаю лог-файл (Fixlog.txt).

Проблема решена?

Да, спасибо больше. Ошибка winlogon и нагрузка на процессор пропала после первых действий.
Можете ли вы дать рекомендации по защите сервера от сетевых атак и вредоносных поражений?
А так же вопрос про личный компьютер - достаточно ли eset smart security и стандартного брандмауэра?

Майнер был, вот загрузка и спала. Да, и шифрования файлов у Вас таки не было

Шифровальшик все такие есть. Или его удалили уже?
Все офисные файлы зашифрованы, такие как *.doc, txt, pdf, xml, xls, и т.д.
Вариантов по расшифровке я так понимаю нет вообще?
[ATTACH=CONFIG]657761[/ATTACH]

Увы

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\programdata\2w\winlog.exe - [B]not-a-virus:RiskTool.MSIL.BitCoinMiner.ah[/B][/LIST][/LIST]