Последите за ситуацией ещё пару дней. майнер может вернуться.
Последите за ситуацией ещё пару дней. майнер может вернуться.
WBR,
Vadim
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
майнер вернулся.
все обновления установлены
Остановите и отключите службу Mobile SMARTS сервер.
Сделайте новый полный образ автозапуска uVS, загрузите его в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку в теме.
WBR,
Vadim
http://rgho.st/8JFkKjSPG
сделал
Это так и не сделали. Есть подозрение, что через неё могут проникать в систему.Остановите и отключите службу Mobile SMARTS сервер.
Выполните скрипт в UVS:После автоматической перезагрузки сервера выполните такой скрипт:Код:;uVS v4.0.6 [http://dsrt.dyndns.org] ;Target OS: NTv6.3 v400c OFFSGNSAVE cexec tools\CreateRestorePoint.exe BeforeCure sreg zoo %Sys32%\MMCSS.DLL addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B841724C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C4F05AD038CAEEBF 58 Trojan.BtcMine.1324 [DrWeb] 4 addsgn A7A4F676C56A4C724359C2954C809B703DC2758BA9B29625858F4CF9789AF801135B4A02061914146BCC0DFA0E5AC0972D9361070D9639514D3F2D62CF4EAB26 8 Win32.BitCoinMiner.ibto [Kaspersky] 6 chklst delvir apply aregАрхив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени из папки с UVS отправьте по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:;uVS v4.0.6 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c sfc %Sys32%\MMCSS.DLL czoo
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Установите аудит на папку c:\Windows\System32
При первых признаках заражения выполните такой скрипт в UVS:В папке с UVS появится архив Events.7z, загрузите его на rghost.ru и дайте ссылку в теме.Код:;uVS v3.81.8 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 Exec wevtutil.exe epl System system.evtx Exec wevtutil.exe epl Application Application.evtx Exec wevtutil.exe epl Security Security.evtx Exec pack\7za.exe a -t7z -sdel -mx9 -m0=ppmd:o=32:mem=512m Events.7z *.evtx
WBR,
Vadim
Zoo и лог вложил.
карантин прислал
а так же закрыл порты mobilesmarts
Последний раз редактировалось Vvvyg; 19.07.2017 в 20:50.
Zoo надо было в только в карантин, не надо вирусы распространять..
Ждём продолжения...
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\config.msi\svchost.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.ibto
- c:\users\svchost.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.ibto
- \sacsvr.dll._d534e89e3795781e0e116e482fa4efb46b188 a0d - not-a-virus:RiskTool.Win64.BitCoinMiner.cxz
- \svchost.exe._9cd7ead45899001765c8d68517736ba77c08 bc12 - not-a-virus:RiskTool.Win32.BitCoinMiner.ibto
Уважаемый(ая) kondratevn, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
