майнер svchost.exe (not-a-virus:RiskTool.Win32.BitCoinMiner.ibto) [not-a-virus:RiskTool.Win32.BitCoinMiner.iaaf ]

[Vvvyg]

Хорошо, ждём.

[DIShat]

Опять всплыл. Теперь в новой папке и под обычным пользователем. Новых пользователей администраторов нет..

[Vvvyg]

Сделайте новый полный образ автозапуска uVS, загрузите в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку.

[DIShat]

Я снес процесс и он не проявляется больше. Есть смысл делать логи или подождать пока он снова вылезет?

[Vvvyg]

Если под обычным пользователем - может, и не появится. Под каким именно, как/откуда мог попасть в систему, есть идеи?

[DIShat]

Раньше он запускался и висел в процессах от имени СИСТЕМА. После вашей помощи он запустился из другой папки и под именем рядового пользователя АСЕЕВА. Я проверил все компьютеры, имеющие доступ к серверу, там все чисто.. У меня вариантов нет... Есть олна призрачная идея, что вирус находится на одном из Терминалов Сбора Данных (Прибор работает на Андройд 4.4.2 и обращается к серверу через Smart Mobile службу).. Сейчас майнера нет. НО мы так и не нашли откуда он приходит, вот и не знаю, что сейчас лучше сделать....
У меня сейчас отключена учетка Администратора и отключена служба. И то и другое нужно будет включать. ПО Smart Mobile я переустановлю на новую версию, с сайта производителя. А вот Администратора почистить я не могу..

[Vvvyg]

Про Smart Mobile были подозрения. К серверу этому есть доступ из интернета, могут через него ломать.
Ждём новостей.

[DIShat]

Вообщем вылез опять
http://rgho.st/7SGSmqbR8
под рядовым пользователем без прав администратора работает

[Vvvyg]

Выполните скрипт в UVS:

Код:

;uVS v4.0.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemDrive%\TEMP\SVCHOST.EXE
addsgn BA6F9BB2926FEE7206D4AEB164C8FA583081FC1E3106E08715538D3F94FEB2DC705F40BB1ED054C0E0F4AC6053317BF77D97657F4D01BB2C61FAEC4F86BE0873 8 Tool.BtcMine.389 [DrWeb] 7

chklst
delvir

delref HTTP://WWW.MAIL.RU/CNT/7829
delref KERNCAP.VBS
czoo

Новый лог выполнения скрипта прикрепите.

Свежий ZOO_ отправьте в карантин. Другой несколько майнер. Файл создан 17.07.2017 в 11:28:16, запускался из explorer.exe под юзером Игаунь - он в терминале работает? Можно с его компьютера полный образ автозапуска uVS?

[DIShat]

Файл отправил в карантин
Лог выполнения скрипта: http://rgho.st/private/6nfHWqfPc/122...6ef9eeb4c7b058

Прикладываю два сканирования.
Первое это компьютер пользователя Асеева, под которым вылез вирус после чистки
http://rgho.st/75wPbKLkx
Второе это пользователь Игуань
http://rgho.st/8rGRp5zbD

- - - - -Добавлено - - - - -

снова появился под пользователем Асеева

[Vvvyg]

На каких ещё компьютерах есть этот пользователь? Смените ему пароль.
Есть ли у него доступ по RDP снаружи?
Время создания файла майнера - что-то подозрительное есть в журналах сервера? Работал ли в это время пользователь Асеева в терминале на сервере?
У вас там Mikrotik? Запретите на нём доступ к адресам хотя бы этого сервера майнинга: xmr-eu.dwarfpool.com

Addresses: 178.32.145.31
178.32.196.217
79.137.57.106
А ещё лучше и доступ наружу по порту 8080, на нём сервера майнинга и прокси.

Оба компьютера чисты. Всео бновления на них установлены?

[DIShat]

Каждый пользователь работает сугубо под своим именем и только на одном комьютере. И пользователь Игуань и пользователь Асеева находятся за пределами физического расположения сервера и подключаются к нему через интернет по РДП.
Вчера майнер висел под пользователем Асеева. Но как только Асеева завершила сеанс, майнер соотвественно исчез. Сегодня Асеева работает уже два часа по РДП и майнер не появляется... По какому принципу идет его запуск от этих двух пользователей я не пойму... Нет никакой привязки по времени и никакой последовательности...
В журналах по времени создания ничего интересного нет

Микротика у нас нет, но на роутере можно заблокировать айпи. Заблокировал все тсп соединения по этим трем айпишникам, ну и на всякий случай еще в хостс их прописал. Сейчас сменю паролю обоим пользователям. Их компьютеры чисты, я несколько раз разными антивирусами проверял, обновления все стоят.. Будем смотреть ((

[Vvvyg]

Хорошо, ждём-с...

[DIShat]

Опять запустился под пользователем Игуань.
Причем самого пользователя физически нет сегодня, НО север показывает, что он был активен 5 часов назад. Пароли у пользователя для доступа к серверу были сменены...
Куда копать и что делать...

[Vvvyg]

Задача чисто админская, не думаю, что новый. никому неизвестный эксплоит используют для банального и малоэффективного майнинга.
В логах есть информация, откуда подклбчался пользователь?

[DIShat]

И так в логах стоит айпишник
176.15.98.220
Это крайне далеко от моего города
С этого айпи подключается по нескольким моим пользователям. Всех их удалил
http://rgho.st/8GVTYNt7S
Новый лог автозагрузки... Теперь два процесса и полная блокировка доступа к компу....

Сразу предупрежу, снять процессы не могу, сразу синий экран
В безопасный режим не могу зайти, сразу синий экран

Вопрос, как он подключается ко мне, каким образом под логинами нескольких пользователей? Троян? Скомпрометирован весь список паролей?

[Vvvyg]

Запретите в маршрутизаторе, либо в системном брандмауэре доступ из левых подсетей, разрешите только для нужных.

Полечим мягко, без снятия процессов. Скрипт:

Код:

;uVS v4.0.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE

sreg

zoo %Sys32%\SACSVR.DLL
addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B841724C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C4F05AD038CAEEBF 58 Trojan.BtcMine.1324 [DrWeb] 4

zoo %Sys32%\MMCSS.DLL
zoo E:\CONSUSERDATA\SVCHOST.EXE
addsgn A7A4F676C56A4C724359C2954C809B703DC2758BA9B29625858F4CF9789AF801135B4A02061914146BCC0DFA0E5AC0972D9361070D9639514D3F2D62CF4EAB26 8 Win32.BitCoinMiner.ibto [Kaspersky] 6

chklst
delvir
czoo
apply

areg

И после перезагрузки восстановление системных DLL:

Код:

;uVS v4.0.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
sfc %Sys32%\MMCSS.DLL
sfc %Sys32%\SACSVR.DLL

Закрывайте доступ по RDP полностью, пока не разберётесь в утечке учётных данных.
Есть ip адрес и время подключения паскудника - есть повод обратиться в полицию, отдел "К", говорят, иногда даже выполняет свои функции. Или хотя бы на Корбину/Билайн с жалобой выйти на их пользователя.

[Vvvyg]

http://www.securitylab.ru/news/487311.php - не тот ли самый случай?

[DIShat]

Вполне возможно.. Я меняю пользователю пароль, а уже через час под ним заходят с левого айпи
РДП закрыли своей подсетью, поменяли внешние айпи и порты, сменили всем пользоватлеям пароли. Щас будем смотреть

[Vvvyg]

У меня явное чувство, что Mobile SMARTS Сервер тут причём. Нет у меня данных чтобы выступить с обоснованными обвинениями - но, извините, это уже не просто совпадение. На этом форуме ещё тема с тем же непонятно откуда берущимся майнером, на форуме Dr. Web то же самое, да ещё в частном порядке ко мне обратился человек - и, не поверите, и у него на сервере эта же программа установлена.
"Совпадение? Не думаю"(С)

Кстати, на форуме зелёного антивируса тоже спрашивали:

Вопрос к пострадавшим, софт Cleverence Mobile SMARTS Server присутствует на сервере? сами ставили на сервер? Какая версия установленна?

Так что, либо в этом софте уязвимость, замеченная и эксплуатируемая кем-то, либо закладочка-бэкдор, оставленная одним из разработчиков. Как вариант - фирма-установщик софта постаралась. 2-й вариант мне кажется более вероятным.
Оговорюсь ещё раз - это лишь мои личные предположения, а не клевета/очернение и т. п. Но в ТП Клеверенс я бы рекомендовал обратиться за разъяснениями, оснований для проверки кода программы и внутреннего расследования достаточно. Да и засранца, который майнер запускает, это спугнёт наверняка.