На сервере поселился майнер, маскируется под svchost.exe. Никак не могу избавиться от него. Помогите, пожалуйста.
Printable View
На сервере поселился майнер, маскируется под svchost.exe. Никак не могу избавиться от него. Помогите, пожалуйста.
Уважаемый(ая) [B]Rus_Eternal[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте,
Логи сделаны в терминальной сессии, сделайте их из консоли.
Сделал из консоли. А подскажите для общего образования, почему не годятся логи из-под терминальной сессии?
[QUOTE=Rus_Eternal;1439881]Сделал из консоли. А подскажите для общего образования, почему не годятся логи из-под терминальной сессии?[/QUOTE]
Ознакомьтесь с особенностями в статье [url]http://z-oleg.com/secur/avz_doc/index.html?faq_14.htm[/url]
- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
Сделал, прикрепляю.
п.с. Спасибо за статью
[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
File: C:\Windows\Temprad80F65.tmp
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
По каким признакам подозреваете, что на сервере завелся Miner?
В процессах висит svchost.exe, который съедает 90% ЦП. Я его убиваю, через какое-то время он появляется снова. Прогон разными антивирусами результата не дал. Когда выполнялось сканирование, этого процесса не было, думал, его хвосты все-равно видно будет. Может нужно повторить сканирование, когда он активен? Просто он очень мешает работе, терминальный сервер, нагрузка и так большая.
п.с. фикслог приклеплю чуть позже, сейчас нет возможности перезагрузить.
Скачайте [URL="https://technet.microsoft.com/en-us/sysinternals/processexplorer.aspx"]Process Explorer[/URL] процессах посмотрите Properties->Threads и покажите скрин. Возможно это связанно с обновлениями Windows.
Присылаю скрины, а так же ранее запрошеный fixlog. До того, как начал бороться с этим файлом в процессор эксплорере была надпись ZCash, после удаления папки, где он лежал стало так, как сейчас на скрине. Служба обновления виндовс отключена. Папки apia в system32 нет(скрытые и системные файлы показываются)
Процесс потребляет [B]ucrtbase.dll!_crt_at_quick_exit[/B] CPU. Пробуйте по отключать временно агенты сети, например zabbix и по наблюдать.
Отключение агентов не дало результата, нагрузка осталась такая же. Зато нашёл очень интересный файл в C:\Windows\System32\config\systemprofile\AppData\Local\minergate-cli\log, прикрепляю его скрин во вложении
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
Folder:C:\Windows\System32\config\systemprofile\AppData\Local\minergate-cli
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![/LIST]
Скачайте программу [url="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/url] и [url="http://virusinfo.info/showthread.php?t=121767"]сделайте полный образ автозапуска uVS[/url].
Извините за долгий ответ, совсем работой загрузили. Прикрепляю запрошенные файлы, лог Uvs отправил через "прислать запрошенный карантин"
Карантин не для отчетов, просьба в дальнешем не отправляйте отчеты в карантин.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[URL="http://virusinfo.info/showthread.php?t=121767&p=897827&viewfull=1#post897827"]Выполните скрипт в uVS:[/URL]
[CODE];uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
zoo %Sys32%\APIA\SVCHOST.EXE[/CODE]
По окончаю перегрузите сервер вручную.
Всё сделал, карантин отправил(по инструкции).
п.с. Svchost, загружающий систему, снова появился
Могли бы выполнить инструкции в безопасном режиме с сетевыми службами, так как карантин не взялся.
[url]https://virusinfo.info/showthread.php?t=210116&p=1441371&viewfull=1#post1441371[/url]
Также проверить файл на сайте virstotal.com
[CODE]C:\WINDOWS\SYSTEM32\APIA\SVCHOST.EXE[/CODE]
Я выполню инструкции, но подозреваю, что результат будет тот же. Папки "C:\WINDOWS\SYSTEM32\APIA" у меня на сервере физически нет, поэтому и отправить на проверку не смогу файл. Дело в том, что эта папка была удалена еще в самом начале борьбы с этим вирусом, и в последствии она не появлялась, но Svchost.exe появляется регулярно, 2-3 раза в день, если его убивать. Карантин прикреплю попозже, как возможность будет перезагрузить сервер.
Выполнил инструкции в безопасном режиме с сетевыми службами. Файл карантина не создался даже. Прикладываю логи запуска.
[CODE]Нет доступа к файлу, возможно файл защищен [ C:\WINDOWS\SYSTEM32\APIA\SVCHOST.EXE ][/CODE]
Пробуйте выполнить в UVS использую системную учетную запись.
Результат тот же. Нет физически этой папки. Возможно, она создается на краткий момент, когда вирус активируется. Саму папку я убил давно, и она больше не появлялась.
Тогда давайте убьем все ссылки на этот объект. Желательно предварительно сделать резервную копию состояния (System state) .
[URL="http://virusinfo.info/showthread.php?t=121767&p=897827&viewfull=1#post897827"]Выполните скрипт в uVS:[/URL]
[CODE];uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
delref %Sys32%\APIA\SVCHOST.EXE[/CODE]
По окончаю перегрузите сервер вручную.
Выполнил, перезагрузил.
Процесс svchost.exe снова появился. Ссылается на несуществующую папку C:\Windows\System32\apia\
Как мне эту заразу убрать?
[QUOTE=Rus_Eternal;1442942]Выполнил, перезагрузил.
Процесс svchost.exe снова появился. Ссылается на несуществующую папку C:\Windows\System32\apia\
Как мне эту заразу убрать?[/QUOTE]
Покажите скринт пожалуйста и соберите пожалуйста логи UVS системной учетной записью.
Прошу прощения за долгий ответ, в выходные не дали добро на перезагрузку. Выкладываю логи и скрин. Ещё меня смутили в логах хосты прописанные, в \System32\drivers\etc\hosts (93.171.246.8 - точно не мои). Пока убрал их из хоста.
вот ссылка на лог uVS - 93.171.246.8
Приложите лог uvs от системной учетной записью.
Добрый времени суток. Прошу прощения за долгий ответ, экстренно был отправлен в командировку, только вернулся. Лог с системной учётной записью приложить не смогу, т.к. при запуске uvs под системной учёткой начинают отваливаться удалённые сеансы, а сервер в работе даже ночью, остановить даже на 2 часа нет возможности. Но проблема неожиданно решилась с другой стороны - Касперский наконец-то выпустил критическое обновление, и этот вирус блокируется им. Спасибо огромное за помощь, заявку можно закрывать.
Спасибо за детали. Удачи Вам!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]