майнер svchost.exe [not-a-virus:RiskTool.Win32.BitCoinMiner.ibto, not-a-virus:RiskTool.Win64.BitCoinMiner.cxz ]

**kondratevn** · 28.06.2017, 18:28

Добрый день.
Майнер самопроизвольно устанавливается в папку и тащит с собой
libcurl.dll
libeay32.dll
libwinpthread-1.dll
ssleay32.dll
zlib1.dll
пробовал в безопасном режиме удалить, после перезагрузки через некоторое время опять появляется.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 28.06.2017, 18:37

Уважаемый(ая) kondratevn, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 01.07.2017, 13:34

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\system32\wmiApSvc.exe','');
 TerminateProcessByName('C:\Users\svchost.exe');
 QuarantineFile('C:\Users\svchost.exe','');
 DeleteFile('C:\Users\svchost.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

**kondratevn** · 01.07.2017, 18:10

Новые логи выкладываю.

**thyrex** · 02.07.2017, 00:01

C:\Windows\system32\wmiApSvc.exe проверьте на https://virustotal.com и пришлите ссылку на результат проверки

**kondratevn** · 02.07.2017, 15:25

Сообщение от thyrex

C:\Windows\system32\wmiApSvc.exe проверьте на https://virustotal.com и пришлите ссылку на результат проверки

нет такого файла по этому пути

**thyrex** · 02.07.2017, 16:34

Показ скрытых и системных файлов включите и увидите его

**kondratevn** · 02.07.2017, 17:21

результаты virustotal
https://virustotal.com/ru/file/da376...is/1499005208/

**thyrex** · 04.07.2017, 15:27

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteService('wmiApSvc');
 DeleteFile('C:\Windows\system32\wmiApSvc.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

**kondratevn** · 09.07.2017, 22:55

Новые логи во вложении. файл теперь по пути C:\Config.Msi

**Vvvyg** · 11.07.2017, 22:59

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('C:\Config.Msi\svchost.exe');
 QuarantineFile('C:\Config.Msi\svchost.exe', '');
 QuarantineFile('C:\Windows\System32\svchоst.exe', '');
 DeleteFile('C:\Config.Msi\svchost.exe', '32');
 DeleteFile('C:\Windows\System32\svchоst.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\PLA\System\PLA Optimize" /F', 0, 15000, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.

Перезагрузите сервер вручную.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Кроме уже установленных, отметьте галочками также "90 Days Files".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше все в одном архиве).

**kondratevn** · 12.07.2017, 19:00

Добрый вечер.
карантин прикрепил.
отчет FRST прикладываю

**Vvvyg** · 12.07.2017, 21:59

Если ещё не устранили уязвимость, которую используют нашумевшие шифровальщики WannaCry и Petya - MS17-010: Описание обновления безопасности для Windows SMB Server срочно устанавливайте, причём на всех компьютерах в сети.

Запустите FRST/FRST64. Нажмите комбинацию Ctrl+Y - откроется Блокнот. Скопируйте в него следующий код:

Код:

Task: {C6F26B5C-2CCC-4807-91EB-92611623492D} - \Microsoft\Windows\PLA\System\PLA Optimize11 -> No File <==== ATTENTION
Task: {E6D0DE5A-DD23-448A-BB0F-CF6E3EF9B9E3} - \Microsoft\Windows\PLA\System\PLA Optimize1 -> No File <==== ATTENTION
2017-06-29 20:04 - 2017-06-29 20:04 - 01447424 _____ (The OpenSSL Project, hxxp://www.openssl.org/) C:\Users\libeay32.dll
2017-06-29 20:04 - 2017-06-29 20:04 - 00572416 _____ (The cURL library, hxxp://curl.haxx.se/) C:\Users\libcurl.dll
2017-06-29 20:04 - 2017-06-29 20:04 - 00314880 _____ (The OpenSSL Project, hxxp://www.openssl.org/) C:\Users\ssleay32.dll
2017-06-29 20:04 - 2017-06-29 20:04 - 00089600 _____ C:\Users\zlib1.dll
2017-06-29 20:04 - 2017-06-29 20:04 - 00079637 _____ (MingW-W64 Project. All rights reserved.) C:\Users\libwinpthread-1.dll
2017-06-21 12:05 - 2017-06-21 22:38 - 648164115 _____ C:\Windows\MEMORY.DMP
2017-06-21 12:05 - 2017-06-21 12:05 - 00277400 _____ C:\Windows\Minidump\062117-5328-01.dmp

Сохраните (Ctrl+S) и закройте.
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Сообщите, что с проблемой.

**kondratevn** · 13.07.2017, 10:41

выполнил

**thyrex** · 13.07.2017, 11:23

Проигнорировали

Сообщение от Vvvyg

Сообщите, что с проблемой.

**kondratevn** · 13.07.2017, 11:59

Сообщение от thyrex

Проигнорировали

проверял. проблема все там же. опять создаются файлы в c:/users
обновления в процессе установки пока

**Vvvyg** · 14.07.2017, 06:52

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

**kondratevn** · 14.07.2017, 16:11

сделал

**Vvvyg** · 14.07.2017, 22:05

Завершите на сервере все сеансы пользователей, 1С, SQL, Mobile SMARTS сервер, сожалению, тут без вариантов будет автоматическая перезагрузка.
Или, если есть возможность, выполняйте из безопасного режима с поддержкой сети.

Скопируйте скрипт из окна "код" ниже в буфер обмена:

Код:

;uVS v4.0.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure

sreg

zoo %Sys32%\SACSVR.DLL
addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B841724C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C4F05AD038CAEEBF 58 Trojan.BtcMine.1324 [DrWeb] 4

zoo %SystemDrive%\USERS\SVCHOST.EXE
addsgn A7A4F676C56A4C724359C2954C809B703DC2758BA9B29625858F4CF9789AF801135B4A02061914146BCC0DFA0E5AC0972D9361070D9639514D3F2D62CF4EAB26 8 Win32.BitCoinMiner.ibto [Kaspersky] 6

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\SVCHOST.EXE
chklst
delvir
deltmp
apply

areg

Запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".
Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Была подменена системная DLL, для её востановления выполните в UVS скрипт:

Код:

;uVS v4.0.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
sfc %Sys32%\SACSVR.DLL

Вас взламывают, видимо, всё же через RDP, хоть и порт нестандартный. Уберите права администратора у всех юзеров, у кого можно, при грамотной настройке прав всем они не нужны. Смените всем, у кого есть права входа по RDP, пароли, установите сложные. Учётке Администратор запретите удалённый доступ, для администрирования через терминал пользуйтесь другой, с нетипичным именем и сложным паролем. Есть, кстати, хорошее правило - сразу после установки серверной ОС переименовывать администратора по умолчанию.

**kondratevn** · 16.07.2017, 18:56

Проблема решена.
не могу правда найти в папке uVS запрошенных Вами файлов.

майнер svchost.exe [not-a-virus:RiskTool.Win32.BitCoinMiner.ibto, not-a-virus:RiskTool.Win64.BitCoinMiner.cxz ] (заявка № 213423)

Опции темы