вирус Miner

[Rus_Eternal]

На сервере поселился майнер, маскируется под svchost.exe. Никак не могу избавиться от него. Помогите, пожалуйста.

[Info_bot]

Уважаемый(ая) Rus_Eternal, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[SQ]

Здравствуйте,

Логи сделаны в терминальной сессии, сделайте их из консоли.

[Rus_Eternal]

Сделал из консоли. А подскажите для общего образования, почему не годятся логи из-под терминальной сессии?

[SQ]

Сделал из консоли. А подскажите для общего образования, почему не годятся логи из-под терминальной сессии?

Ознакомьтесь с особенностями в статье http://z-oleg.com/secur/avz_doc/index.html?faq_14.htm

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Rus_Eternal]

Сделал, прикрепляю.
п.с. Спасибо за статью

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  File: C:\Windows\Temprad80F65.tmp

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

По каким признакам подозреваете, что на сервере завелся Miner?

[Rus_Eternal]

В процессах висит svchost.exe, который съедает 90% ЦП. Я его убиваю, через какое-то время он появляется снова. Прогон разными антивирусами результата не дал. Когда выполнялось сканирование, этого процесса не было, думал, его хвосты все-равно видно будет. Может нужно повторить сканирование, когда он активен? Просто он очень мешает работе, терминальный сервер, нагрузка и так большая.
п.с. фикслог приклеплю чуть позже, сейчас нет возможности перезагрузить.

[SQ]

Скачайте Process Explorer процессах посмотрите Properties->Threads и покажите скрин. Возможно это связанно с обновлениями Windows.

[Rus_Eternal]

Присылаю скрины, а так же ранее запрошеный fixlog. До того, как начал бороться с этим файлом в процессор эксплорере была надпись ZCash, после удаления папки, где он лежал стало так, как сейчас на скрине. Служба обновления виндовс отключена. Папки apia в system32 нет(скрытые и системные файлы показываются)

[SQ]

Процесс потребляет ucrtbase.dll!_crt_at_quick_exit CPU. Пробуйте по отключать временно агенты сети, например zabbix и по наблюдать.

[Rus_Eternal]

Отключение агентов не дало результата, нагрузка осталась такая же. Зато нашёл очень интересный файл в C:\Windows\System32\config\systemprofile\AppData\L ocal\minergate-cli\log, прикрепляю его скрин во вложении

[SQ]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  Folder:C:\Windows\System32\config\systemprofile\AppData\Local\minergate-cli

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

[Rus_Eternal]

Извините за долгий ответ, совсем работой загрузили. Прикрепляю запрошенные файлы, лог Uvs отправил через "прислать запрошенный карантин"

[SQ]

Карантин не для отчетов, просьба в дальнешем не отправляйте отчеты в карантин.

- - - - -Добавлено - - - - -

Выполните скрипт в uVS:

Код:

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
zoo %Sys32%\APIA\SVCHOST.EXE

По окончаю перегрузите сервер вручную.

[Rus_Eternal]

Всё сделал, карантин отправил(по инструкции).
п.с. Svchost, загружающий систему, снова появился

[SQ]

Могли бы выполнить инструкции в безопасном режиме с сетевыми службами, так как карантин не взялся.
https://virusinfo.info/showthread.ph...=1#post1441371

Также проверить файл на сайте virstotal.com

Код:

C:\WINDOWS\SYSTEM32\APIA\SVCHOST.EXE

[Rus_Eternal]

Я выполню инструкции, но подозреваю, что результат будет тот же. Папки "C:\WINDOWS\SYSTEM32\APIA" у меня на сервере физически нет, поэтому и отправить на проверку не смогу файл. Дело в том, что эта папка была удалена еще в самом начале борьбы с этим вирусом, и в последствии она не появлялась, но Svchost.exe появляется регулярно, 2-3 раза в день, если его убивать. Карантин прикреплю попозже, как возможность будет перезагрузить сервер.

[Rus_Eternal]

Выполнил инструкции в безопасном режиме с сетевыми службами. Файл карантина не создался даже. Прикладываю логи запуска.

[SQ]

Код:

Нет доступа к файлу, возможно файл защищен [ C:\WINDOWS\SYSTEM32\APIA\SVCHOST.EXE ]

Пробуйте выполнить в UVS использую системную учетную запись.