Процесс mstdc.exe завешивает сервер

Ежедневно между 23 и 00 часами сервер зависает. Подключаясь по RDP, после очень долгого ожидания (до 30 минут) обычно удается запустить диспетчер задач. Среди процессов присутствует mstdc.exe, который грузит процессор на 99%. Файл расположен здесь: C:\Windows\Temp\. После снятия процесса он вновь появляется еще 3 раза. После этого по вышеуказанному пути обнаруживаются подозрительные файлы. Ссылка на архив с ними: [COLOR=#333333][FONT=Helvetica Neue][COLOR=#3C763D]http://my-files.ru/rndndq [/COLOR][/FONT][/COLOR][FONT=Helvetica Neue](пароль infecte[B]d). [/B]После снятия процессов mstdc папку [/FONT]C:\Windows\Temp\ можно очистить и сервер нормально работает, но вечером все повторяется. Подозрительные файлы в папке Temp NOD32 не распознает как вирусы. Лечащие утилиты тоже ничего не дают. Помогите, пожалуйста разобраться в чем здесь проблема. [ATTACH]632250[/ATTACH][ATTACH]632251[/ATTACH][COLOR=#333333][FONT=Helvetica Neue][COLOR=#3C763D]

[/COLOR][/FONT][/COLOR]

Уважаемый(ая) [B]Lapin[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Прошу прощения за допущенную неточность. Файл mstdc.exe расположен в C:\Windows\Temp\mst\. Кроме него там появляются еще несколько файлов. Их соберу сегодня и тоже приложу архив.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Обнаружил еще одну странность: отключал учетную запись "Гость", но на следующий день она снова оказывалась включена.

[ATTENTION]Не нужно выкладывать ссылки на вирусы[/ATTENTION]

Смените пароли на учётки с администраторскими правами и у пользователей, имеющих доступ по RDP, у кого админские права были не по делу - отобрать не обращая внимания на вопли.
[B]Все пароли должны быть сложными[/B].

Установить все обновления безопасности на систему. Самый минимум - то что найдёт такой скрипт.

Скопируйте всё содержимое страницы [url]http://dataforce.ru/~kad/ScanVuln.txt[/url] в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

Скачайте программу [URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].

[QUOTE=Lapin;1387001][ATTENTION]Не нужно выкладывать ссылки на вирусы[/ATTENTION][/QUOTE]
Извините, больше не повторится.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Учетных записей с правами администратора три. Пароли уже сменил.
Все обновления из Центра обновления установлены.
Все, на что указал скрипт - скачал и установил.
Образ автозапуска прилагаю
[ATTACH=CONFIG]632500[/ATTACH]

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url][code];uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
delref %SystemRoot%\TEMP\MST\SST.BAT[/code]

Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].

Приложите этот файл к своему следующему сообщению.

Все сделал, но что-то пошло не так.
1. SecurityCheck не запустился. Выдал сообщение: "Версия вашей ОС (WIN_2008_R2 x64) не поддерживается программой".
2. Скрипт в uVS выполнился, но в конце не перезагрузил компьютер, как было сказано в инструкции. Кроме того, он не создал архив "ZOO_" или папку "ZOO". В результате его работы появился только лог с именем "2016-06-25_00-07-02_log". Его прикрепляю к сообщению: [ATTACH=CONFIG]632568[/ATTACH]
Что я не правильно сделал?

Всё правильно, перезагружать сервер скриптом не было нужды, да и не стоит этого делать на серверных системах, перезагрузка жёсткая, можно базы потерять, и вообще систему уронить. И карантинить нечего было.

Больше не появляются те файлы в C:\Windows\Temp?

Появляются :( 20 минут назад снова убил процессы mstdc.exe и удалил файлы. Ситуация просто катастрофическая. Что еще можно сделать?

Пароли точно все поменяли?

Есть возможность ограничить удалённый доступ к серверу на роутере, или системным брандмауэром? Он включен, кстати?

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url][code];uVS v3.81.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

Exec wevtutil.exe epl System system.evtx
Exec wevtutil.exe epl Application Application.evtx
Exec wevtutil.exe epl Security Security.evtx
Exec pack\7za.exe a -t7z -sdel -mx9 -m0=ppmd:o=32:mem=768m Events.7z *.evtx[/code]
В папке с UVS появится архив [B]Events.7z[/B], загрузите его на rghost.ru и дайте ссылку в теме.

Да, пароли поменяли.
Брандмауэр включен для всех типов сетей. Это я сделал уже давно.
Ограничить доступ на Роутере нельзя, так как есть сотрудники, которые из дома вечером распечатывают документы для отгрузки на следующий день. И еще бухгалтер иногда работает. Но у них права только пользователей.
Еще одна странность (я об этом уже писал): после остановки процессов mstdc и удаления файлов я отключал учетную запись "Гость", но после следующего запуска вируса она снова включена.:?
Ссылка на результат выполнения скрипта: [url]http://rgho.st/8sSSzvXRp[/url]

Можно разрешить доступ к серверу только с отдельных диапазонов адресов, а не со всех.

Порты только определённые из интернета доступны? Есть подозрение, что через MS SQL Server взламывают. Установите [URL="https://www.microsoft.com/ru-RU/download/details.aspx?id=44271"]пакет обновления 3 (SP3) для Microsoft® SQL Server® 2008 R2[/URL], смените пароль SA на сложный.

Пароль SA и так был сложный, но все-таки, сменил и его. Из Интернета доступен только порт RDP, но он изменен на нестандартный. При этом его уже недавно менял. Кроме того, попросил провайдера сменить IP-адрес. Пакет обновления установил, но это ничего не дало. Вирус продолжает запускаться. Выяснил более точно - это происходит ровно в 23.00. В последние 2 вечера делал эксперимент: в 22.45 менял системное время на 23.45, а в 00.15 (по времени сервера) возвращал на 23.15. Выяснилось, что, если 23.00 на сервере никогда не наступает, то вирус не активируется.

Можете так сделать: подкараульте, когда запустится mstdc.exe, [U]не завершайте процесс[/U], только приоритет уменьшите до idle. Затем сделайте новый полный образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме.

Удалось сделать образ автозапуска сразу после активации вируса, однако его процесс пришлось все-таки убить. Понижение приоритета до уровня "Низкий" ничего не дает - процессор так же грузится на 99% и запустить программу не представляется возможным. Архив сформировался: [url]http://rgho.st/6cKsfRbq2[/url]

Выполните скрипт в UVS:[CODE];uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
; C:\WINDOWS\TEMP\MST\MSTDC.EXE
zoo %SystemRoot%\TEMP\MST\MSTDC.EXE
addsgn BA6F9BB21DE149D777DDAE7664C812052562F6E681FAF7FD793C3A2CC09EF2880BD453C7AEC50DD9BB10140FD686D96A289761970819D6022268202FC7062273 8 variant of Win64/BitCoinMiner.U [Eset]

chklst
delvir

zoo %SystemRoot%\TEMP\MST\SST.BAT
delall %SystemRoot%\TEMP\MST\SST.BAT
deltmp
bp C:\WINDOWS\TEMP\MST\MSTDC.EXE
bl 5ACD4A3254CB071D51F78A5BD08A9289 804153
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\THE BAT!\THEBAT.EXE
delref D:\$DISTR\V-TALKING\VTALKING.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\XNVIEW\XNVIEW.EXE
czoo[/CODE]
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url] при наличии доступа в интернет:[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к своему сообщению.

Смотрите настройки Eset, должен он ловить этот майнер как a variant of Win64/BitCoinMiner.U potentially unsafe.

Большое спасибо за идею с настройками NOD32. Там, действительно, есть параметр "защита от потенциально опасного ПО", который по умолчанию отключен. После его включения произошло следующее.
В 23.00 снова появилась папка MST, попытался запуститься файл mstdc.exe, но был тут же удален антивирусом. Процесс mstdc.exe не запустился. Все остальное содержимое папки MST, в том числе и sst.bat осталось.
После этого я выполнит присланные Вами скрипты.
Лог выполнения uVS:[ATTACH=CONFIG]633577[/ATTACH].
Папка MST в результате выполнения скрипта удалилась, но вместо нее в папке TEMP появилась папка пустая MSTG, удалить которую невозможно, так как "папка или файл открыты в другой программе" (не понимаю, в какой).
Скрипт AVZ ничего не обнаружил.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Кроме уже установленных, отметьте галочками также "90 Days Files".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

Результат сканирования FRST:[ATTACH=CONFIG]633693[/ATTACH]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
C:\Windows\System32\hexconhost.exe
2016-01-29 23:28 - 2016-01-29 23:28 - 0000016 _____ () C:\ProgramData\mntemp
2016-06-25 00:11 - 2016-06-25 00:13 - 00000000 ____D C:\SecurityCheck
Task: {85BEBD96-54AF-4392-B479-1D8879B11A68} - System32\Tasks\gm => C:\Windows\Temp\mstg\sst.bat <==== ATTENTION
2016-06-29 23:00 - 2016-07-04 23:08 - 00003332 _____ C:\Windows\System32\Tasks\gm
[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите временно антивирус, [U]закройте все браузеры[/U], запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.

Последите, появится ли в 23:00 снова задание GM.

Выполнил:[ATTACH=CONFIG]633726[/ATTACH]. Сегодня вечером проверю.

:( Да, задание снова появилось. Распаковалась папка MST, но mstdc.exe сразу был удален антивирусом. В общем, внешне все выглядит нормально, но вирус все-таки откуда-то проникает :O
-----
Проверил еще раз только что. Все так же.

Установите аудит на папку Temp, подумайте, из локалки это приползти не может?
Двое администраторов с одной фамилией кроме основного - нужны они?

Аудит показал, что и создает папку mst и запускает файл mstdc.exe пользователь "Система". Он же создает задание gm. Еще он периодически через разные промежутки времени изменяет параметры пользователя "Гость": включает учетную запись, если она была отключена и производит сброс пароля.
Все-таки, похоже на вирус.
---------------------------
Это не SQL, как предполагалось вначале. Только что проверил: отключил все службы, связанные с ним. Все сработало так же, как и обычно.

Остаётся проверить, что будет, если отключить сервер от сети. Если не поможет, буду удивлён.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \zoo\sst.bat._8a821c00067498429a17bd78c66eeb67b5c28235 - [B]Trojan.BAT.BitCoinMiner.cy[/B][/LIST][/LIST]