-
Junior Member
- Вес репутации
- 51
Что это? Помогите пожалуйста. [not-a-virus:RiskTool.Win32.BitCoinMiner.lrc
]
Доброй ночи уважаемые.
Совершенно случайно на одном из серверов обнаружил на диска С папку nt, а в этой папке файлик: CreateUA_by_Alex_Trin.exe
Антивирусник ничего про него не сказал. В интернете ничего внятного не отыскал - на некоторых сайтах мелькнуло что граббер.
И что-то я сильно напрягся на этот счёт. Помогите-научите - что это и что нужно сделать чтобы удалить последствия если это вредитель.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) kan510, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 51
вот ещё что забыл написать - весит файлик 120 кб
удалился без вопросов. В реестре его следов не обнаружил.
сервер пользуют терминальные пользователи.
может от них что-то залетело ... или закинули
-
-
-
Junior Member
- Вес репутации
- 51
Вложение 456784Вложение 456783Вложение 456782правила читал.
проверку выполнил
логи приложены.
Пока работал АВЗ - отыскал каталожик svchost - загружен сегодня в 12-57, а внутри файлики
bad.txt
config.ini
error.txt
good.txt
password.txt
login.txt
и ещё несколько файликов dll
также каталог pooler-cpuminer-2.3.2-win32
а внутри файлик bat.bat с содержимым:
minerd.exe --url stratum+tcp://litecoinpool.org:3333 --userpass dimonalek.1:1
всё это я удалил
сейчас сервер без пользователей - а нагрузка 40-50%
-
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
Никита Соловьев
Эти каталоги Вы удалили?
удалил в корзинку (можно вернуть если что - не исключал вероятности, что могут понадобится для изучения)
-
Для исследования понадобятся. Поместите, пожалуйста, их в архив ZIP с паролем virus и закачайте через форму, доступную по красной ссылке над первым сообщением в этой теме.
D:\Rar$DI02.844\1.cmd - известен данный файл?
-
-
Junior Member
- Вес репутации
- 51
D:\Rar$DI02.844\1.cmd - известен данный файл?
сейчас нет такого, хотя когда ковырялся в системе - видел на диске D - D:\Rar$ ..... - значения не придал этому
сервер перегружался несколько раз - вероятнее всего после перезагрузок исчезли
файлы вкладываю
-
Понятно. В настоящее время загрузка ЦП наблюдается?
-
-
Junior Member
- Вес репутации
- 51
да наблюдается.
выключаю службу - MSSQLSERVER - нагрузка падает до нуля
включаю службу - сначала ноль, потом опять растёт до 40-50%
-
Что уже хорошо. Значит следов miner не осталось на сервере. Я рекомендовал бы проверить хотя бы самые подозрительные машины в Вашей сети. Например, те, которые чаще всего используются для поиска информации в интернете, к которым часто подключаются разнообразные сменные носители и т.д.
-
-
Junior Member
- Вес репутации
- 51
К серверу подключаются только терминалом!
При подключении стартует 1С - и более ничего.
есть 2 ПК которые лезут на сервер в общие папки - но вероятность что они заразны очень мала (хотя проверю их обязательно!!!)
А вообще все сотрудники в инете постоянно! - живут там. профиль работы такой.
А нагрузка почему вдруг так возросла на процессор? комп сейчас пустой, никто не работает, а нагружен на 40-50%
Может ещё что сидит?
-
-
-
Junior Member
- Вес репутации
- 51
готово
Только как-то странно.
первый запуск пришлось прерывать работу программы.
со второго раза отработала почти мгоновенно
-
Здесь тоже никаких подозрительных изменений. Dr.Web cureit выполнял проверку в момент создания отчета?
-
-
Junior Member
- Вес репутации
- 51
он запущен, проставлены галочки настроек - но кнопка начать проверку не нажата.
а вот рекомендованная Вами программа ( RSIT ) - её повторный запуск всё думает чё-то
- - - Добавлено - - -
вот в данную секунду sqlserv.exe - кушает 38% ЦП и постоянно растёт число прочитано байт записано байт.
что-то он делает непонятное.
На другом аналогичном сервере все по нулям.
пока я писал ответ RSIT - доделал логи.
дублирую их (лог инфо чуть больше по размеру чем я высылал ранее)
- - - Добавлено - - -
не с того ни с сего загрузка упала с 40-50 на 1-2 процента.
что было? что так контачит у сервера?
Никита спасибо Вам за помощь!
Реально помогли!
Ещё раз спасибо!!!
Если можно удовлетворите любопытство - это что за файлик был с которого всё началось: CreateUA_by_Alex_Trin.exe
-
Всё же проверяйте машины в сети.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 16
- В ходе лечения обнаружены вредоносные программы:
- \pooler-cpuminer-2.3.2-win32\minerd.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.lrc ( DrWEB: Tool.BtcMine.130, BitDefender: Application.BitCoinMiner.BK )
-