Активность майнинга. svсhosts.exe грузит проц под 100%

**anmalick** · 21.10.2017, 11:36

Добрый день.
Появилась активность майнинга.
В system32 лежит svсhosts.exe (буквы "о" и "с" в названии русские), который грузит под 100% процессор.
Изначально он появился на рабочем столе профиля пользователя "Admin"...
Если убить дерево процессов через монитор ресурсов и удалить сам svсhosts.exe + удалить профиль Admin (вместе с содержимым в папках профиля), то через некоторое время, всё это, появляется вновь.
Лишние задачи в планировщике задач я тоже убирал.
Желаемого результата ничего, что делал не принесло.
Логи прикрепил.
Помогите.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 21.10.2017, 11:38

Уважаемый(ая) anmalick, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**anmalick** · 25.10.2017, 05:24

Вы мне не сможете помочь?

**Vvvyg** · 25.10.2017, 07:13

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('C:\Windows\System32\svchоst.exe');
 TerminateProcessByName('c:\windows\temp\svchost.exe');
 QuarantineFile('C:\WINDOWS\system32\calluxxprovider.vbs', '');
 QuarantineFile('C:\WINDOWS\system32\sildailycollector.vbs', '');
 QuarantineFile('C:\Windows\System32\svchоst.exe', '');
 QuarantineFile('C:\Windows\Temp\nmap\nmap.exe', '');
 QuarantineFile('c:\windows\temp\svchost.exe', '');
 DeleteFile('C:\Windows\Temp\nmap\nmap.exe', '32');
 DeleteFile('c:\windows\temp\svchost.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "PLA Scan" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Windows Servicing" /F', 0, 15000, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
end.

Перезагрузите сервер.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

**anmalick** · 25.10.2017, 16:07

Спасибо большое за ответ

Перезапущу сервер вечером, пока нельзя...

- - - - -Добавлено - - - - -

Всё сделал.
quarantine.zip прикрепил
Логи Полного образа автозапуска из Universal Virus Sniffer прикрепил.

- - - - -Добавлено - - - - -

Забыл написать.
При выполнения скрипта и логов - MSE ругался.
Могу его отключить, и эти действия выполнить повторно.

**Vvvyg** · 25.10.2017, 21:58

Не надо, но при выполнении скрипта в UVS - отключите.

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
zoo %Sys32%\SVCHОST.EXE
addsgn BA6F9BB2926FEE7206D4AEB164C8FA583081FC1E3106E08715538D3F94FEB2DC705F40BB1ED054C0E0F4AC6053317BF77D97657F4D01BB2C61FAEC4F86BE0873 8 Tool.BtcMine.389 [DrWeb] 7

chklst
delvir

deltmp
delref %SystemRoot%\TEMP\NMAP\NMAP.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\61.0.3163.100\INSTALLER\CHRMSTP.EXE
delref %SystemRoot%\SYSWOW64\JJAQNW.DLL
apply
czoo

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше все в одном архиве).

**anmalick** · 26.10.2017, 04:08

Всё сделал при отключенном MSE.
Один нюанс при выполнении скриптов и логирования:
все последние скрипты и задачи выполнены мной при удалённом вручную подменным svсhosts.exe, т.к. провайдер ругается что вирусная активность и грозится отрубить инет.
Но если он (вирусный svсhosts.exe) необходим - могу дождаться его очередного появления и выполнить вышеуказанные задачи заново...

**Vvvyg** · 26.10.2017, 07:16

Лучше предотвращать такую ситуацию.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
Task: {2A4BEBA3-EB36-4DD4-8527-704CF2C933D6} - \Microsoft\Windows\PLA\System\PLA Scan -> No File <==== ATTENTION
Task: {AD35126E-AEE0-472B-9E29-21DD8C46FE1C} - System32\Tasks\Microsoft\Windows\Windows Servicing => C:\Windows\System32\svchоst.exe
FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC] => (Allow) %systemroot%\system32\scshost.exe
FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC-EndPointMapper] => (Allow) %systemroot%\system32\scshost.exe

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
В FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Установите все обновления для системы и MS Office.

Меры против взлома надо принять как организационные, так и технические.

Возможно, взламывают, через RDP, хоть и порт нестандартный.

Смените пароли на учётки с администраторскими правами и у пользователей, имеющих доступ по RDP, у кого админские права были не по делу - отобрать не обращая внимания на вопли. Для 99% программ проблемы с работой под пользователем без прав администратора решаются изменением прав безопасности на соответствующие папки и ветки реестра.

MS SQL сервер - также менять пароли, проверять, последний ли сервис-пак установлен. Взлом через дыры SQL-сервера - классика жанра.

Проверить разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом.

Программу Mobile Smarts обновите, или удалите совскм, были случаи взлома и подсаживания майнеров через неё: майнер svchost.exe (not-a-virus:RiskTool.Win32.BitCoinMiner.ibto) [not-a-virus:RiskTool.Win32.BitCoinMiner.iaaf ] (заявка № 213761).

**anmalick** · 26.10.2017, 09:07

Fixlog.txt прикрепил

MS Office x86 обновления уже последние.

Забрал админиские права у всех, кроме меня (свой пароль сменил), локального админа отключил. Более того, у удалённых разработчиков, отключил учётки.
Заметил что появились ещё 3 учетки gama, Gama.INT-1C и int_0 с админски правами - их удалил. Но эти профиля до конца не вычещаются - при удалении пишет NTUSER.DAT открыт в system.

Mobile Smarts обновил - при обновлении было сообщение - "...скорее всего система заражена трояном..."

**Vvvyg** · 26.10.2017, 21:46

Сообщение от anmalick

Заметил что появились ещё 3 учетки gama, Gama.INT-1C и int_0 с админски правами - их удалил. Но эти профиля до конца не вычещаются - при удалении пишет NTUSER.DAT открыт в system.

После перезагрузки можно будет дочистить, думаю.

Сообщение от anmalick

Mobile Smarts обновил - при обновлении было сообщение - "...скорее всего система заражена трояном..."

Видимо, реакция на старую версию с уязвимостями.

Система полностью обновлена?

**anmalick** · 27.10.2017, 04:06

Этой ночью снова появился пользователь Gama с админскими правами, так же появился вновь вирусный svсhosts.exe в system32.
Заметил особенность.
Если я удаляю "нежелательных админов", то через некоторое время они появляются вновь, с теми же именами.
Если я отключаю учётки "нежелательных админов", то появляются новые, с новыми именами.

После установки обновлений и перезапуска, сегодня утром увидел, что у cистемы необязательных обновлений на 1,5Гб ещё есть.
Постараюсь сегодня в течении дня перезапустить систему для применения обновлений...

**anmalick** · 30.10.2017, 03:59

Добрый день.
После применения обновлений системы, отключения учетной записи Gamma и перезапуска системы 27.10.2017г.
вирусный svсhosts.exe в system32 больше не появлялся.

**anmalick** · 31.10.2017, 06:55

Добрый день.
Сегодня 31.10.2017, снова вирусный svсhosts.exe в system32 появился, вместе с пользователем (int_0) с админскими правами

Заметили в логах что активность была под учетность записью "Гость" - отключили её.
Теперь наблюдаем постоянную брутфорсную активность на сервере.
http://s018.radikal.ru/i521/1710/a4/9e7c1982896f.png

Поможете?

**Vvvyg** · 31.10.2017, 07:11

Скриншот такой маленький, что разглядеть ничего нельзя.
Включите политиками блокировку на несколько минут после 3 неудачных попыток ввода пароля.
Уберите доступ снаружи к сервисам, который не деле не нужен. Задачи админские, к лечению вирусов это отношения не имеет.

**anmalick** · 31.10.2017, 08:06

"Включите политиками блокировку на несколько минут после 3 неудачных попыток ввода пароля."

...но тогда, через несколько минут, после прекращения работы политики блокировки, снова брутить начнут, верно?

**Vvvyg** · 31.10.2017, 21:34

Кто- то обломится, кто-то подождёт и продолжит, но время до возможного взлома увеличится кардинально, много ли набрутишь, если после 3-х неудачных попыток - бан на 5-10 минут? А ели ещё ограничить в файрволе подсети, с которых возможно подключение по RDP... У вас же там роутер на DD-Wrt, там через iptables много чего настроить можно, мануалы есть, целые форумы по этой прошивке. И ещё для размышлений: Защита сервиса RDP под Windows от подбора пароля. Поле деятельности для админа - огромное, я и так много прописных истин разжевал в этой теме.

**anmalick** · 01.11.2017, 08:15

Выяснили по логам что всё время заходили и пакостили под учеткой Гость (которую впоследствии мы отключили).

"У вас же там роутер на DD-Wrt"

К сожалению - нет.
Обычная заводская прошивка asus 3.0.0.4.276

Дело в том что, это всё удалённом офисе происходит, шить под DD-Wrt не получится.
Юзаю что есть.

Что сделано:
- добавлен в штатный брандмауэр правило на блок программы svсhosts.exe (буквы "о" и "с" в названии русские);
- убрал у всех админские права, оставил только себе и сменил пароль, отключил штатные админские учетки;
- созвонился с провайдером и попросил перечень ip, кто долбился по открытому для rdp порту за последние сутки, добавил эти адреса в black list на роутере;
- сменил открытый порт для RDP в NAT'е.

К сожалению, это всё не помогло. Снова вчера вечером появился пользователь Gama c админскими правами + этот svсhosts.exe.

Удалил. Надолго ли...

За ссылку спасибо - почитаю.

**Vvvyg** · 01.11.2017, 23:18

Ищите вектор атаки, в т. ч. внутри сети. Журналы системы анализируйте.

**CyberHelper** · 01.11.2017, 23:28

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 8
В ходе лечения вредоносные программы в карантинах не обнаружены

Активность майнинга. svсhosts.exe грузит проц под 100% (заявка № 215881)

Опции темы