-
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
C:\Windows\System32\hexconhost.exe
2016-01-29 23:28 - 2016-01-29 23:28 - 0000016 _____ () C:\ProgramData\mntemp
2016-06-25 00:11 - 2016-06-25 00:13 - 00000000 ____D C:\SecurityCheck
Task: {85BEBD96-54AF-4392-B479-1D8879B11A68} - System32\Tasks\gm => C:\Windows\Temp\mstg\sst.bat <==== ATTENTION
2016-06-29 23:00 - 2016-07-04 23:08 - 00003332 _____ C:\Windows\System32\Tasks\gm
[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите временно антивирус, [U]закройте все браузеры[/U], запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Последите, появится ли в 23:00 снова задание GM.
-
Вложений: 1
Выполнил:[ATTACH=CONFIG]633726[/ATTACH]. Сегодня вечером проверю.
-
:( Да, задание снова появилось. Распаковалась папка MST, но mstdc.exe сразу был удален антивирусом. В общем, внешне все выглядит нормально, но вирус все-таки откуда-то проникает :O
-----
Проверил еще раз только что. Все так же.
-
Установите аудит на папку Temp, подумайте, из локалки это приползти не может?
Двое администраторов с одной фамилией кроме основного - нужны они?
-
Аудит показал, что и создает папку mst и запускает файл mstdc.exe пользователь "Система". Он же создает задание gm. Еще он периодически через разные промежутки времени изменяет параметры пользователя "Гость": включает учетную запись, если она была отключена и производит сброс пароля.
Все-таки, похоже на вирус.
---------------------------
Это не SQL, как предполагалось вначале. Только что проверил: отключил все службы, связанные с ним. Все сработало так же, как и обычно.
-
Остаётся проверить, что будет, если отключить сервер от сети. Если не поможет, буду удивлён.
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \zoo\sst.bat._8a821c00067498429a17bd78c66eeb67b5c28235 - [B]Trojan.BAT.BitCoinMiner.cy[/B][/LIST][/LIST]
Page generated in 0.00648 seconds with 10 queries