[ Закрыто ] Майнер после удаления восстанавливается , Майнер восстанавливается сам как то...

1. Имеется лицензия
2. Eset File Security for Microsoft Windows Server
3. Windows Server 2012 R2 Standart 64-bit (6.3.9600)

Моя проблема в том, что при наличии лицензированного антивируса от Eset на моем сервере все равно крутится майнер, сам себя восстанавливает и снова начинает грузит цп на 100%....
Создалась учетная запись какая-то , создалась папка, в ней приложение... и не важно удаляешь ты или нет ее, чистишь или нет, процесс все равно запускается стабильно 4-6 раз в сутки и грузит цп...
Мне нужна реальная помощь, после которой на моем сервере перестанет запускаться этот майнер...
Eset.jpg (281.62 КБ)
Eset2.jpg (264.34 КБ)
Изменено: Волосников Игорь - 11.01.2018 10:39:57
Цитата
Волосников Игорь написал:
1.
Вы ключ чтоли светите? Потрите его скорее...


ОС актуальная? Все ли обновления установлены? А на АРМ в локальной сети подобные заражения имеются?
Изменено: Мартынов Николай - 10.01.2018 10:07:28
Цитата
Мартынов Николай написал:
Цитата
 Волосников Игорь  написал:
1.
Вы ключ чтоли светите? Потрите его скорее...


ОС актуальная? Все ли обновления установлены? А на АРМ в локальной сети подобные заражения имеются?
Пароля же все равно нет... Потер...  Обновления все стоят. В локальной сети зараженных компьютеров на данный момент не наблюдается. Везде стоят такие же Eset File Security
Волосников Игорь,
добавьте образ автозапуска системы.
Пожалуйста.
Волосников Игорь,
вполне возможно что пробивает вашу зашиту через сервис, который у вас установлен.
CLEVERENCE.MOBILESMARTS.SERVER.EXE

подобная проблема уже была, когда через этот сервис на сервера устанавливался майнер, (впрочем, может быть установлено что угодно)
https://virusinfo.info/showthread.php?t=213761&page=3

проверьте, установлена ли у вас актуальная версия данного сервера.
Проверил. Актуальная. Во всяком случае он не стал обновляться.

Я его удалил прямо сейчас в общем...
Все равно уже не пользуюсь. Кстати как раз проблема возникала месяца 2 назад в первый раз... когда я тока тока тестировал этот сервис для ТСД.... Подозрительно действительно...

И что теперь делать дальше? Ждать пока проявит себя или нет снова?
Изменено: Волосников Игорь - 10.01.2018 11:27:50
да, понаблюдайте за вирусной активностью.
Печально все....
Появились теперь в другой папке....
С утра был замечено что процесс termsvc жрал 63% цп... а остальные 37% PowerPoint О_о у одного из пользователей...
Ночью также что-то засоряло, пока возможности узнать нет... ( я про картинку 111)
termsvc.JPG (14.18 КБ)
eset3.jpg (623.75 КБ)
111.JPG (48.61 КБ)
Изменено: Волосников Игорь - 11.01.2018 09:29:58
доступ к серверу по RDP есть из внешней сети?
меняйте пароль доступа для встроенной учетной записи Администратор, Administrator, установите сложный пароль.
ограничьте доступ к серверу из внешней сети, разрешите доступ по RDP только с ваших рабочих ip адресов.

проверьте результат.
Читают тему (гостей: 1)