Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 27.

Процесс mstdc.exe завешивает сервер (заявка № 201347)

  1. #1
    Junior Member Репутация
    Регистрация
    09.07.2015
    Сообщений
    37
    Вес репутации
    9

    Процесс mstdc.exe завешивает сервер

    Ежедневно между 23 и 00 часами сервер зависает. Подключаясь по RDP, после очень долгого ожидания (до 30 минут) обычно удается запустить диспетчер задач. Среди процессов присутствует mstdc.exe, который грузит процессор на 99%. Файл расположен здесь: C:\Windows\Temp\. После снятия процесса он вновь появляется еще 3 раза. После этого по вышеуказанному пути обнаруживаются подозрительные файлы. Ссылка на архив с ними: http://my-files.ru/rndndq (пароль infected). После снятия процессов mstdc папку C:\Windows\Temp\ можно очистить и сервер нормально работает, но вечером все повторяется. Подозрительные файлы в папке Temp NOD32 не распознает как вирусы. Лечащие утилиты тоже ничего не дают. Помогите, пожалуйста разобраться в чем здесь проблема. hijackthis.logvirusinfo_syscheck.zip


  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,459
    Вес репутации
    342
    Уважаемый(ая) Lapin, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    09.07.2015
    Сообщений
    37
    Вес репутации
    9
    Прошу прощения за допущенную неточность. Файл mstdc.exe расположен в C:\Windows\Temp\mst\. Кроме него там появляются еще несколько файлов. Их соберу сегодня и тоже приложу архив.

    - - - - -Добавлено - - - - -

    Обнаружил еще одну странность: отключал учетную запись "Гость", но на следующий день она снова оказывалась включена.

  5. #4
    Junior Member Репутация
    Регистрация
    09.07.2015
    Сообщений
    37
    Вес репутации
    9
    information

    Внимание

    Не нужно выкладывать ссылки на вирусы

    Последний раз редактировалось Vvvyg; 17.06.2016 в 07:30. Причина: Ссылки на вирусы

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,563
    Вес репутации
    836
    Смените пароли на учётки с администраторскими правами и у пользователей, имеющих доступ по RDP, у кого админские права были не по делу - отобрать не обращая внимания на вопли.
    Все пароли должны быть сложными.

    Установить все обновления безопасности на систему. Самый минимум - то что найдёт такой скрипт.

    Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

    Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    09.07.2015
    Сообщений
    37
    Вес репутации
    9
    Цитата Сообщение от Lapin Посмотреть сообщение
    information

    Внимание

    Не нужно выкладывать ссылки на вирусы

    Извините, больше не повторится.

    - - - - -Добавлено - - - - -

    Учетных записей с правами администратора три. Пароли уже сменил.
    Все обновления из Центра обновления установлены.
    Все, на что указал скрипт - скачал и установил.
    Образ автозапуска прилагаю
    SRVR_2016-06-24_14-20-24.7z

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,563
    Вес репутации
    836
    Выполните скрипт в uVS:
    Код:
    ;uVS v3.87.3 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    delref %SystemRoot%\TEMP\MST\SST.BAT
    Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
    Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
    Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

    Приложите этот файл к своему следующему сообщению.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    09.07.2015
    Сообщений
    37
    Вес репутации
    9
    Все сделал, но что-то пошло не так.
    1. SecurityCheck не запустился. Выдал сообщение: "Версия вашей ОС (WIN_2008_R2 x64) не поддерживается программой".
    2. Скрипт в uVS выполнился, но в конце не перезагрузил компьютер, как было сказано в инструкции. Кроме того, он не создал архив "ZOO_" или папку "ZOO". В результате его работы появился только лог с именем "2016-06-25_00-07-02_log". Его прикрепляю к сообщению: 2016-06-25_00-07-02_log.txt
    Что я не правильно сделал?

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,563
    Вес репутации
    836
    Всё правильно, перезагружать сервер скриптом не было нужды, да и не стоит этого делать на серверных системах, перезагрузка жёсткая, можно базы потерять, и вообще систему уронить. И карантинить нечего было.

    Больше не появляются те файлы в C:\Windows\Temp?
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    09.07.2015
    Сообщений
    37
    Вес репутации
    9
    Появляются 20 минут назад снова убил процессы mstdc.exe и удалил файлы. Ситуация просто катастрофическая. Что еще можно сделать?

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,563
    Вес репутации
    836
    Пароли точно все поменяли?

    Есть возможность ограничить удалённый доступ к серверу на роутере, или системным брандмауэром? Он включен, кстати?

    Выполните скрипт в uVS:
    Код:
    ;uVS v3.81.8 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    
    Exec wevtutil.exe epl System system.evtx
    Exec wevtutil.exe epl Application Application.evtx
    Exec wevtutil.exe epl Security Security.evtx
    Exec pack\7za.exe a -t7z -sdel -mx9 -m0=ppmd:o=32:mem=768m Events.7z *.evtx
    В папке с UVS появится архив Events.7z, загрузите его на rghost.ru и дайте ссылку в теме.
    WBR,
    Vadim

  13. #12
    Junior Member Репутация
    Регистрация
    09.07.2015
    Сообщений
    37
    Вес репутации
    9
    Да, пароли поменяли.
    Брандмауэр включен для всех типов сетей. Это я сделал уже давно.
    Ограничить доступ на Роутере нельзя, так как есть сотрудники, которые из дома вечером распечатывают документы для отгрузки на следующий день. И еще бухгалтер иногда работает. Но у них права только пользователей.
    Еще одна странность (я об этом уже писал): после остановки процессов mstdc и удаления файлов я отключал учетную запись "Гость", но после следующего запуска вируса она снова включена.
    Ссылка на результат выполнения скрипта: http://rgho.st/8sSSzvXRp

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,563
    Вес репутации
    836
    Можно разрешить доступ к серверу только с отдельных диапазонов адресов, а не со всех.

    Порты только определённые из интернета доступны? Есть подозрение, что через MS SQL Server взламывают. Установите пакет обновления 3 (SP3) для Microsoft® SQL Server® 2008 R2, смените пароль SA на сложный.
    WBR,
    Vadim

  15. #14
    Junior Member Репутация
    Регистрация
    09.07.2015
    Сообщений
    37
    Вес репутации
    9
    Пароль SA и так был сложный, но все-таки, сменил и его. Из Интернета доступен только порт RDP, но он изменен на нестандартный. При этом его уже недавно менял. Кроме того, попросил провайдера сменить IP-адрес. Пакет обновления установил, но это ничего не дало. Вирус продолжает запускаться. Выяснил более точно - это происходит ровно в 23.00. В последние 2 вечера делал эксперимент: в 22.45 менял системное время на 23.45, а в 00.15 (по времени сервера) возвращал на 23.15. Выяснилось, что, если 23.00 на сервере никогда не наступает, то вирус не активируется.

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,563
    Вес репутации
    836
    Можете так сделать: подкараульте, когда запустится mstdc.exe, не завершайте процесс, только приоритет уменьшите до idle. Затем сделайте новый полный образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме.
    WBR,
    Vadim

  17. #16
    Junior Member Репутация
    Регистрация
    09.07.2015
    Сообщений
    37
    Вес репутации
    9
    Удалось сделать образ автозапуска сразу после активации вируса, однако его процесс пришлось все-таки убить. Понижение приоритета до уровня "Низкий" ничего не дает - процессор так же грузится на 99% и запустить программу не представляется возможным. Архив сформировался: http://rgho.st/6cKsfRbq2

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,563
    Вес репутации
    836
    Выполните скрипт в UVS:
    Код:
    ;uVS v3.87.3 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v388c
    OFFSGNSAVE
    ; C:\WINDOWS\TEMP\MST\MSTDC.EXE
    zoo %SystemRoot%\TEMP\MST\MSTDC.EXE
    addsgn BA6F9BB21DE149D777DDAE7664C812052562F6E681FAF7FD793C3A2CC09EF2880BD453C7AEC50DD9BB10140FD686D96A289761970819D6022268202FC7062273 8 variant of Win64/BitCoinMiner.U [Eset]
    
    chklst
    delvir
    
    zoo %SystemRoot%\TEMP\MST\SST.BAT
    delall %SystemRoot%\TEMP\MST\SST.BAT
    deltmp
    bp C:\WINDOWS\TEMP\MST\MSTDC.EXE
    bl 5ACD4A3254CB071D51F78A5BD08A9289 804153
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\THE BAT!\THEBAT.EXE
    delref D:\$DISTR\V-TALKING\VTALKING.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\XNVIEW\XNVIEW.EXE
    czoo
    В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

    Выполните скрипт в AVZ при наличии доступа в интернет:
    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к своему сообщению.

    Смотрите настройки Eset, должен он ловить этот майнер как a variant of Win64/BitCoinMiner.U potentially unsafe.
    WBR,
    Vadim

  19. #18
    Junior Member Репутация
    Регистрация
    09.07.2015
    Сообщений
    37
    Вес репутации
    9
    Большое спасибо за идею с настройками NOD32. Там, действительно, есть параметр "защита от потенциально опасного ПО", который по умолчанию отключен. После его включения произошло следующее.
    В 23.00 снова появилась папка MST, попытался запуститься файл mstdc.exe, но был тут же удален антивирусом. Процесс mstdc.exe не запустился. Все остальное содержимое папки MST, в том числе и sst.bat осталось.
    После этого я выполнит присланные Вами скрипты.
    Лог выполнения uVS:2016-07-03_23-07-33_log.txt.
    Папка MST в результате выполнения скрипта удалилась, но вместо нее в папке TEMP появилась папка пустая MSTG, удалить которую невозможно, так как "папка или файл открыты в другой программе" (не понимаю, в какой).
    Скрипт AVZ ничего не обнаружил.

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,563
    Вес репутации
    836
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Кроме уже установленных, отметьте галочками также "90 Days Files".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
    WBR,
    Vadim

  21. #20
    Junior Member Репутация
    Регистрация
    09.07.2015
    Сообщений
    37
    Вес репутации
    9
    Результат сканирования FRST:Archive.zip

  • Уважаемый(ая) Lapin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 6
      Последнее сообщение: 05.04.2010, 00:30
    2. Ответов: 2
      Последнее сообщение: 01.04.2010, 16:49
    3. процесс cmd.exe и процесс services.exe
      От Produn в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 05.04.2009, 09:38
    4. Ответов: 5
      Последнее сообщение: 08.11.2007, 23:32

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01206 seconds with 17 queries