Последите за ситуацией ещё пару дней. майнер может вернуться.
Printable View
Последите за ситуацией ещё пару дней. майнер может вернуться.
майнер вернулся.
все обновления установлены
Остановите и отключите службу Mobile SMARTS сервер.
Сделайте новый полный образ автозапуска uVS, загрузите его в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку в теме.
[url]http://rgho.st/8JFkKjSPG[/url]
сделал
[QUOTE]Остановите и отключите службу Mobile SMARTS сервер.[/QUOTE]
Это так и не сделали. Есть подозрение, что через неё могут проникать в систему.
Выполните скрипт в UVS:[CODE];uVS v4.0.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
sreg
zoo %Sys32%\MMCSS.DLL
addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B841724C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C4F05AD038CAEEBF 58 Trojan.BtcMine.1324 [DrWeb] 4
addsgn A7A4F676C56A4C724359C2954C809B703DC2758BA9B29625858F4CF9789AF801135B4A02061914146BCC0DFA0E5AC0972D9361070D9639514D3F2D62CF4EAB26 8 Win32.BitCoinMiner.ibto [Kaspersky] 6
chklst
delvir
apply
areg[/CODE]После автоматической перезагрузки сервера выполните такой скрипт:[CODE];uVS v4.0.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
sfc %Sys32%\MMCSS.DLL
czoo[/CODE]
Архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени из папки с UVS отправьте по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Установите аудит на папку c:\Windows\System32
При первых признаках заражения выполните такой скрипт в UVS:[CODE];uVS v3.81.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
Exec wevtutil.exe epl System system.evtx
Exec wevtutil.exe epl Application Application.evtx
Exec wevtutil.exe epl Security Security.evtx
Exec pack\7za.exe a -t7z -sdel -mx9 -m0=ppmd:o=32:mem=512m Events.7z *.evtx[/CODE]В папке с UVS появится архив [B]Events.7z[/B], загрузите его на rghost.ru и дайте ссылку в теме.
Zoo и лог вложил.
карантин прислал
а так же закрыл порты mobilesmarts
Zoo надо было в только в карантин, не надо вирусы распространять..
Ждём продолжения...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\config.msi\svchost.exe - [B]not-a-virus:RiskTool.Win32.BitCoinMiner.ibto[/B][*] c:\users\svchost.exe - [B]not-a-virus:RiskTool.Win32.BitCoinMiner.ibto[/B][*] \sacsvr.dll._d534e89e3795781e0e116e482fa4efb46b188a0d - [B]not-a-virus:RiskTool.Win64.BitCoinMiner.cxz[/B][*] \svchost.exe._9cd7ead45899001765c8d68517736ba77c08bc12 - [B]not-a-virus:RiskTool.Win32.BitCoinMiner.ibto[/B][/LIST][/LIST]