Перейти к содержимому


Alex_Atuan

Дата рег: 04 Ноя 2019
Оффлайн Был(а) онлайн: Ноя 05 2019 21:57
-----

Темы пользователя

Вирус Майнер Trojan.BTCMINE.3134

04 Ноябрь 2019 - 20:59

Доброго времени суток. Возникла такая проблема. сервер с ОС Windows Server 2016. Есть опубликованная через IIS база 1С.на сервер по rdp заходит только один пользователь Administrator,работает с 1С. Остальные работают с 1С через установленные на своих компьютерах платформы,не подключаясь к серверу. Был установлен Mobile Smart server,но сегодня я его удалил когда почитал ветки на этом форуме. 02.11.2019 начались проблемы со входом на сервер по рдп,но разбираться начал с этим только сегодня. сам сервер пингуется нормально,но при подключении либо сразу выдает что сервер не включен,либо после ввода логина и пароля выдает это сообщение.Начал грешить на взлом сервера. Зашел в журнал событий Windows во вкладку безопасность и обнаружил там огромное количество ежесекундно и ежеминутно создаваемых неудачных попыток входа на сервер под совершенно разными пользователями,я насчитал около полутора десятков,среди которых даже есть пользователь с иероглифами в имени. И они постоянно пытаются зайти. решил проверить систему утилитой DrWeb CureIT. она обнаружила вирус по адресу C:\Windows\ServiceProfiles\NetworkService\WmiPrvSe.exe под названием Trojan.BtcMine.3134.Я его вылечил утилитой (вирус она переместила в карантин). перезагрузил компьютер,проверил еще раз на вирусы,ничего обнаружено не было,но пользователи все еще пытаются зайти на сервер. Как вычистить его окончательно?

Из подмеченного: 1. 2 числа судя по всему прошло обновление office click to run мог ли вирус попасть с ним?на всякий случай офис я снес. 2. В журнале событий периодически появляются удачные попытки входа на сервер под Анонимным пользователем (так и написано) где то на минуту или две,потом выходит. На самом сервере пользователь сейчас один,всех остальных отключил,пароль пользователю и имя тоже поменял. И еще один момент, если это майнер то систему он почему то совсем не загружал.

Логи CureIt, HijackThis и DrWeb SysInfo прилагаю (логи и архив весили около 30 мб,но целиком почему то не загружаются пришлось разбить на части)