svchost nssm.exe Microsoft Windows Server [not-a-virus:HEUR:RiskTool.MSIL.HackKMS.gen, not-a-virus:RiskTool.Win64.BitCoinMiner.dca ]

День добрый.
Словил майнер, грузит проц на 50% svchost через запуск nssm.exe и conhost. svchost и nssm находятся в папке C:\Windows. Так же создается служба с именем svchost и соответствующая запись в реестре.
После удаления файлов, служб и веток реестра через время файлы появляются вновь.
Если заблочить появление файлов по имени антивирем (Каспером), то файлы появляются с добавлением 1 в имени.

Результаты проверки карантина онлайн-сервисом VirusDetector:
[URL]https://virusinfo.info/virusdetector/report.php?md5=A4565ABE18683F57D1F49901C7FDF248[/URL]

Уважаемый(ая) [B]dragomagic[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[url]https://virusinfo.info/pravila.html[/url]

Исправляюсь)

Продолжение истории)))
в Папке винды появилась папка "! ПРЕКРАТИ !"
в ней текстовый файл со следующем содержимым
"Чувак, очень прошу, прекрати убивать процесс... дай мне время до нового года"
:D :O
закрыл проброс портов на этот сервак. Антивирь Kaspersky Endpoint Security 10 с актуальными базами и включенным сетевым экраном

Выполните скрипт в AVZ
[code]begin
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
DeleteService('svchsot');
DeleteService('svchost1');
QuarantineFile('C:\Windows\Inf\svchots.exe','');
QuarantineFile('svchsot.sys','');
QuarantineFile('svchost1.sys','');
TerminateProcessByName('C:\Windows\svchost2.exe');
QuarantineFile('C:\Windows\svchost2.exe','');
DeleteFile('C:\Windows\svchost2.exe','32');
DeleteFile('svchost1.sys','32');
DeleteFile('svchsot.sys','32');
DeleteFile('C:\Windows\Inf\svchots.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
end.[/code]Перезагрузку компьютера выполните вручную.

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.

[B][color="Red"]Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи. [/color][/B]

+
[b]dragomagic[/b], можете проверить, файл
[CODE]C:\Windows\system32\mblctr.exe[/CODE]
существует на диске или нет?

Файла нет.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

В скрипте смысла не вижу, т.к. те же действия выполняются "руками" и в более полном объеме - чистка папок AppData\Roaming пользователей системы.

Проблема решила закрытием шлюза на сервере, но "дыру" в системе, через которую был получен доступ, обнаружить не удалось.

[quote="dragomagic;1465944"]В скрипте смысла не вижу[/quote]
а что тогда хотите от нас?
[quote="dragomagic;1465944"]т.к. те же действия выполняются "руками" и в более полном объеме - чистка папок AppData\Roaming пользователей системы.[/quote]
скрипт не только папки удаляет.
[quote="dragomagic;1465944"]но "дыру" в системе,[/quote]
скрипт тоже закрывает.... но вы его выполнять не хотите. Что же ходите с вирусами и дырой. Это вы сами выбрали.

[QUOTE=regist;1465956]а что тогда хотите от нас?

скрипт не только папки удаляет.

скрипт тоже закрывает.... но вы его выполнять не хотите. Что же ходите с вирусами и дырой. Это вы сами выбрали.[/QUOTE]

Прошу прощения - видимо чёрт сутра попутал((
Выполнил, прикрепил)

З.Ы. Карантин не удаётся прикрепить - "Ошибка загрузки. Данный файл уже был загружен" - архив с карантином пуст.

Прописал заново шлюз - как итог ночью запустился процесс.
После выполнения скрипта на очистку, перегрузил сервер, собрал карантин (опять пустой), но процесс запустился заново.
[ATTACH=CONFIG]665904[/ATTACH]

[ATTACH=CONFIG]665905[/ATTACH]

P.S. Файл карантина так и не загружает. Архив пуст.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]29[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\programdata\kmsautos\kmsauto net.exe - [B]not-a-virus:HEUR:RiskTool.MSIL.HackKMS.gen[/B][*] c:\windows\svchost.exe - [B]not-a-virus:RiskTool.Win64.BitCoinMiner.dca[/B][/LIST][/LIST]