svchost nssm.exe Microsoft Windows Server [not-a-virus:HEUR:RiskTool.MSIL.HackKMS.gen, not-a-virus:RiskTool.Win64.BitCoinMiner.dca ]

**dragomagic** · 04.10.2017, 18:06

День добрый.
Словил майнер, грузит проц на 50% svchost через запуск nssm.exe и conhost. svchost и nssm находятся в папке C:\Windows. Так же создается служба с именем svchost и соответствующая запись в реестре.
После удаления файлов, служб и веток реестра через время файлы появляются вновь.
Если заблочить появление файлов по имени антивирем (Каспером), то файлы появляются с добавлением 1 в имени.

Результаты проверки карантина онлайн-сервисом VirusDetector:
https://virusinfo.info/virusdetector...F49901C7FDF248

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 04.10.2017, 18:08

Уважаемый(ая) dragomagic, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 04.10.2017, 20:26

https://virusinfo.info/pravila.html

**dragomagic** · 05.10.2017, 06:41

Исправляюсь)

**dragomagic** · 06.10.2017, 15:01

Продолжение истории)))
в Папке винды появилась папка "! ПРЕКРАТИ !"
в ней текстовый файл со следующем содержимым
"Чувак, очень прошу, прекрати убивать процесс... дай мне время до нового года"

закрыл проброс портов на этот сервак. Антивирь Kaspersky Endpoint Security 10 с актуальными базами и включенным сетевым экраном

**thyrex** · 06.10.2017, 20:10

Выполните скрипт в AVZ

Код:

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteService('svchsot');
 DeleteService('svchost1');
 QuarantineFile('C:\Windows\Inf\svchots.exe','');
 QuarantineFile('svchsot.sys','');
 QuarantineFile('svchost1.sys','');
 TerminateProcessByName('C:\Windows\svchost2.exe');
 QuarantineFile('C:\Windows\svchost2.exe','');
 DeleteFile('C:\Windows\svchost2.exe','32');
 DeleteFile('svchost1.sys','32');
 DeleteFile('svchsot.sys','32');
 DeleteFile('C:\Windows\Inf\svchots.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9); 
end.

Перезагрузку компьютера выполните вручную.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

**regist** · 06.10.2017, 21:43

+
dragomagic, можете проверить, файл

Код:

C:\Windows\system32\mblctr.exe

существует на диске или нет?

**dragomagic** · 09.10.2017, 08:40

Файла нет.

- - - - -Добавлено - - - - -

В скрипте смысла не вижу, т.к. те же действия выполняются "руками" и в более полном объеме - чистка папок AppData\Roaming пользователей системы.

Проблема решила закрытием шлюза на сервере, но "дыру" в системе, через которую был получен доступ, обнаружить не удалось.

**regist** · 09.10.2017, 12:13

Сообщение от dragomagic

В скрипте смысла не вижу

а что тогда хотите от нас?

Сообщение от dragomagic

т.к. те же действия выполняются "руками" и в более полном объеме - чистка папок AppData\Roaming пользователей системы.

скрипт не только папки удаляет.

Сообщение от dragomagic

но "дыру" в системе,

скрипт тоже закрывает.... но вы его выполнять не хотите. Что же ходите с вирусами и дырой. Это вы сами выбрали.

**dragomagic** · 09.10.2017, 13:10

Сообщение от regist

а что тогда хотите от нас?

скрипт не только папки удаляет.

скрипт тоже закрывает.... но вы его выполнять не хотите. Что же ходите с вирусами и дырой. Это вы сами выбрали.

Прошу прощения - видимо чёрт сутра попутал((
Выполнил, прикрепил)

З.Ы. Карантин не удаётся прикрепить - "Ошибка загрузки. Данный файл уже был загружен" - архив с карантином пуст.

**dragomagic** · 11.10.2017, 09:34

Прописал заново шлюз - как итог ночью запустился процесс.
После выполнения скрипта на очистку, перегрузил сервер, собрал карантин (опять пустой), но процесс запустился заново.
svchost.jpg

svchost2.jpg

P.S. Файл карантина так и не загружает. Архив пуст.

**CyberHelper** · 11.10.2017, 09:44

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 29
В ходе лечения обнаружены вредоносные программы:
1. c:\programdata\kmsautos\kmsauto net.exe - not-a-virus:HEUR:RiskTool.MSIL.HackKMS.gen
2. c:\windows\svchost.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.dca

svchost nssm.exe Microsoft Windows Server [not-a-virus:HEUR:RiskTool.MSIL.HackKMS.gen, not-a-virus:RiskTool.Win64.BitCoinMiner.dca ] (заявка № 215584)

Опции темы