Вирус шифровальщик и майнер на сервере

[imanov.timur]

Добрый день. На терминальном сервере у одного пользователя периодически запускается процесс с пустым именем, который грузит процессор на сервере на 100%. После завершения процесса, все устаканивается. Так же в Program data, появляются файлы с расширением arrow + в профиле на рабочем столе у этого пользователя тоже все файлы с расширением arrow. Логи прилагаю.

[Info_bot]

Уважаемый(ая) imanov.timur, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[SQ]

Здравствуйте,

Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

[imanov.timur]

Прошу прощения. Загрузил не тот архив. Правильный архив во вложении

[SQ]

Здравствуйте,

С расшифровкой не поможем.

Знакома ли вам?

Код:

O15 - HKU\S-1-5-21-3368077309-1992820127-996291633-1000\..\ProtocolDefaults:  - [@ivt] protocol is in Unknown Zone, should be Intranet Zone (User: 'USR1CV8')
O15 - HKU\S-1-5-21-3368077309-1992820127-996291633-1000\..\ProtocolDefaults:  - [file] protocol is in Unknown Zone, should be Internet Zone (User: 'USR1CV8')
O15 - HKU\S-1-5-21-3368077309-1992820127-996291633-1000\..\ProtocolDefaults:  - [ftp] protocol is in Unknown Zone, should be Internet Zone (User: 'USR1CV8')
O15 - HKU\S-1-5-21-3368077309-1992820127-996291633-1000\..\ProtocolDefaults:  - [http] protocol is in Unknown Zone, should be Internet Zone (User: 'USR1CV8')
O15 - HKU\S-1-5-21-3368077309-1992820127-996291633-1000\..\ProtocolDefaults:  - [https] protocol is in Unknown Zone, should be Internet Zone (User: 'USR1CV8')
O15 - HKU\S-1-5-21-3368077309-1992820127-996291633-1000\..\ProtocolDefaults:  - [knownfolder] protocol is in Unknown Zone, should be My Computer Zone (User: 'USR1CV8')
O15 - HKU\S-1-5-21-3368077309-1992820127-996291633-1000\..\ProtocolDefaults:  - [shell] protocol is in Unknown Zone, should be My Computer Zone (User: 'USR1CV8')

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

Код:

O22 - Task: \Microsoft\Windows\EDP\EDP App Launch Task - {35EF4182-F900-4632-B072-8639E4478A61},AppLaunch - (no file)
O22 - Task: \Microsoft\Windows\EDP\EDP Auth Task - {35EF4182-F900-4632-B072-8639E4478A61},ReAuth - (no file)

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[imanov.timur]

С расшифровкой не поможем.

Расшифровка не нужна т.к. зашифровались не сильно важные файлы.

По поводу

Знакома ли вам?

Код:

O15 - HKU\S-1-5-21-3368077309-1992820127-996291633-1000\..\ProtocolDefaults:  - [@ivt] protocol is in Unknown Zone, should be Intranet Zone (User: 'USR1CV8')
O15 - HKU\S-1-5-21-3368077309-1992820127-996291633-1000\..\ProtocolDefaults:  - [file] protocol is in Unknown Zone, should be Internet Zone (User: 'USR1CV8')
O15 - HKU\S-1-5-21-3368077309-1992820127-996291633-1000\..\ProtocolDefaults:  - [ftp] protocol is in Unknown Zone, should be Internet Zone (User: 'USR1CV8')
O15 - HKU\S-1-5-21-3368077309-1992820127-996291633-1000\..\ProtocolDefaults:  - [http] protocol is in Unknown Zone, should be Internet Zone (User: 'USR1CV8')
O15 - HKU\S-1-5-21-3368077309-1992820127-996291633-1000\..\ProtocolDefaults:  - [https] protocol is in Unknown Zone, should be Internet Zone (User: 'USR1CV8')
O15 - HKU\S-1-5-21-3368077309-1992820127-996291633-1000\..\ProtocolDefaults:  - [knownfolder] protocol is in Unknown Zone, should be My Computer Zone (User: 'USR1CV8')
O15 - HKU\S-1-5-21-3368077309-1992820127-996291633-1000\..\ProtocolDefaults:  - [shell] protocol is in Unknown Zone, should be My Computer Zone (User: 'USR1CV8')

Пользователь USR1CV8 мне знаком. Это пользователь запускает службу 1С сервер и она от него работает. Все остальное не знакомо.

Логи прилагаю к сообщению

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  Start::
  CreateRestorePoint:
  Startup: C:\Users\sklad\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.lnk [2019-01-25]
  ShortcutTarget: explorer.lnk -> C:\ProgramData\Windows\svchost.vbs (No File)
  Folder: C:\Users\biplan2\WINDOWS
  File: %SystemRoot%\system32\MuxSvcHost.exe
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что сервер возможно будет перезагружен.