-
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
CreateRestorePoint:
C:\Windows\System32\hexconhost.exe
2016-01-29 23:28 - 2016-01-29 23:28 - 0000016 _____ () C:\ProgramData\mntemp
2016-06-25 00:11 - 2016-06-25 00:13 - 00000000 ____D C:\SecurityCheck
Task: {85BEBD96-54AF-4392-B479-1D8879B11A68} - System32\Tasks\gm => C:\Windows\Temp\mstg\sst.bat <==== ATTENTION
2016-06-29 23:00 - 2016-07-04 23:08 - 00003332 _____ C:\Windows\System32\Tasks\gm
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите временно антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Последите, появится ли в 23:00 снова задание GM.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 38
Выполнил:Fixlog.txt. Сегодня вечером проверю.
-
Junior Member
- Вес репутации
- 38
Да, задание снова появилось. Распаковалась папка MST, но mstdc.exe сразу был удален антивирусом. В общем, внешне все выглядит нормально, но вирус все-таки откуда-то проникает 
-----
Проверил еще раз только что. Все так же.
Последний раз редактировалось Lapin; 29.06.2016 в 19:04.
-
Установите аудит на папку Temp, подумайте, из локалки это приползти не может?
Двое администраторов с одной фамилией кроме основного - нужны они?
-
-
Junior Member
- Вес репутации
- 38
Аудит показал, что и создает папку mst и запускает файл mstdc.exe пользователь "Система". Он же создает задание gm. Еще он периодически через разные промежутки времени изменяет параметры пользователя "Гость": включает учетную запись, если она была отключена и производит сброс пароля.
Все-таки, похоже на вирус.
---------------------------
Это не SQL, как предполагалось вначале. Только что проверил: отключил все службы, связанные с ним. Все сработало так же, как и обычно.
Последний раз редактировалось Lapin; 03.07.2016 в 19:03.
-
Остаётся проверить, что будет, если отключить сервер от сети. Если не поможет, буду удивлён.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- \zoo\sst.bat._8a821c00067498429a17bd78c66eeb67b5c2 8235 - Trojan.BAT.BitCoinMiner.cy
-