Последите за ситуацией ещё пару дней. майнер может вернуться.
Последите за ситуацией ещё пару дней. майнер может вернуться.
WBR,
Vadim
майнер вернулся.
все обновления установлены
Остановите и отключите службу Mobile SMARTS сервер.
Сделайте новый полный образ автозапуска uVS, загрузите его в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку в теме.
WBR,
Vadim
http://rgho.st/8JFkKjSPG
сделал
Это так и не сделали. Есть подозрение, что через неё могут проникать в систему.Остановите и отключите службу Mobile SMARTS сервер.
Выполните скрипт в UVS:После автоматической перезагрузки сервера выполните такой скрипт:Код:;uVS v4.0.6 [http://dsrt.dyndns.org] ;Target OS: NTv6.3 v400c OFFSGNSAVE cexec tools\CreateRestorePoint.exe BeforeCure sreg zoo %Sys32%\MMCSS.DLL addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B841724C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C4F05AD038CAEEBF 58 Trojan.BtcMine.1324 [DrWeb] 4 addsgn A7A4F676C56A4C724359C2954C809B703DC2758BA9B29625858F4CF9789AF801135B4A02061914146BCC0DFA0E5AC0972D9361070D9639514D3F2D62CF4EAB26 8 Win32.BitCoinMiner.ibto [Kaspersky] 6 chklst delvir apply aregАрхив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени из папки с UVS отправьте по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:;uVS v4.0.6 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c sfc %Sys32%\MMCSS.DLL czoo
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Установите аудит на папку c:\Windows\System32
При первых признаках заражения выполните такой скрипт в UVS:В папке с UVS появится архив Events.7z, загрузите его на rghost.ru и дайте ссылку в теме.Код:;uVS v3.81.8 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 Exec wevtutil.exe epl System system.evtx Exec wevtutil.exe epl Application Application.evtx Exec wevtutil.exe epl Security Security.evtx Exec pack\7za.exe a -t7z -sdel -mx9 -m0=ppmd:o=32:mem=512m Events.7z *.evtx
WBR,
Vadim
Zoo и лог вложил.
карантин прислал
а так же закрыл порты mobilesmarts
Последний раз редактировалось Vvvyg; 19.07.2017 в 20:50.
Zoo надо было в только в карантин, не надо вирусы распространять..
Ждём продолжения...
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\config.msi\svchost.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.ibto
- c:\users\svchost.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.ibto
- \sacsvr.dll._d534e89e3795781e0e116e482fa4efb46b188 a0d - not-a-virus:RiskTool.Win64.BitCoinMiner.cxz
- \svchost.exe._9cd7ead45899001765c8d68517736ba77c08 bc12 - not-a-virus:RiskTool.Win32.BitCoinMiner.ibto
Уважаемый(ая) kondratevn, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.