http://forum.esetnod32.ru Новое в теме Майнер после удаления восстанавливается форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Wed, 29 Apr 2026 22:54:59 +0300 Майнер после удаления восстанавливается Майнер восстанавливается сам как то... в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Волосников Игорь написал:
В итоге : майнер перестал запускаться. Помогло отключение рдп через внешку и настройка политики безопасности. В логах отображались 4 ай-пи с которых кто-то постоянно пытался заного подобрать пароли , их тоже в перманентный бан навечно добавил. Вроде все стабилизировалось. Спасибо!
=============
хорошо!
закрываю тему.
16.01.2018 07:44:09, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14378/message101624/ http://forum.esetnod32.ru/messages/forum6/topic14378/message101624/ Tue, 16 Jan 2018 07:44:09 +0300 Обнаружение вредоносного кода и ложные срабатывания Майнер после удаления восстанавливается Майнер восстанавливается сам как то... в форуме Обнаружение вредоносного кода и ложные срабатывания.
В итоге : майнер перестал запускаться. Помогло отключение рдп через внешку и настройка политики безопасности. В логах отображались 4 ай-пи с которых кто-то постоянно пытался заного подобрать пароли , их тоже в перманентный бан навечно добавил. Вроде все стабилизировалось. Спасибо!
16.01.2018 07:27:01, Волосников Игорь.]]> http://forum.esetnod32.ru/messages/forum6/topic14378/message101623/ http://forum.esetnod32.ru/messages/forum6/topic14378/message101623/ Tue, 16 Jan 2018 07:27:01 +0300 Обнаружение вредоносного кода и ложные срабатывания Майнер после удаления восстанавливается Майнер восстанавливается сам как то... в форуме Обнаружение вредоносного кода и ложные срабатывания.
посмотрите здесь есть пример настроек,
может быть вам подойдет как пример.
http://tavalik.ru/izmenenie-politiki-parolej-v-windows-server-2012-r2/
12.01.2018 10:09:58, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14378/message101573/ http://forum.esetnod32.ru/messages/forum6/topic14378/message101573/ Fri, 12 Jan 2018 10:09:58 +0300 Обнаружение вредоносного кода и ложные срабатывания Майнер после удаления восстанавливается Майнер восстанавливается сам как то... в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy написал:

====quote====
а политики безопасности настроены по блокировке доступа после нескольких неудачных вводов паролей
=============

=============
Понятия не имею, ни разу даже не подумал об этом... Как то не приходилось сталкиваться с этим... Сейчас найду где это и поставлю. Спасибо за совет.
12.01.2018 09:58:41, Волосников Игорь.]]> http://forum.esetnod32.ru/messages/forum6/topic14378/message101572/ http://forum.esetnod32.ru/messages/forum6/topic14378/message101572/ Fri, 12 Jan 2018 09:58:41 +0300 Обнаружение вредоносного кода и ложные срабатывания Майнер после удаления восстанавливается Майнер восстанавливается сам как то... в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Волосников Игорь написал:
Пароли надежные были, почти уверен что утекли...
Просто из внешки цеплялись...
Обновления стоят все. Отслеживаю всегда.
=============
а политики безопасности настроены по блокировке доступа после нескольких неудачных вводов паролей?
12.01.2018 09:52:27, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14378/message101571/ http://forum.esetnod32.ru/messages/forum6/topic14378/message101571/ Fri, 12 Jan 2018 09:52:27 +0300 Обнаружение вредоносного кода и ложные срабатывания Майнер после удаления восстанавливается Майнер восстанавливается сам как то... в форуме Обнаружение вредоносного кода и ложные срабатывания.
Пароли надежные были, почти уверен что утекли... Никаких логов про подбор не было раньше, а вот сегодня ночью появились, следовательно, тот кто лез раньше, уже знал изначально пароль...
Просто из внешки цеплялись...
Обновления стоят все. Отслеживаю всегда.
Мониторим до ПНД    
12.01.2018 09:48:02, Волосников Игорь.]]> http://forum.esetnod32.ru/messages/forum6/topic14378/message101570/ http://forum.esetnod32.ru/messages/forum6/topic14378/message101570/ Fri, 12 Jan 2018 09:48:02 +0300 Обнаружение вредоносного кода и ложные срабатывания Майнер после удаления восстанавливается Майнер восстанавливается сам как то... в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Волосников Игорь написал:
Тьфу, тьфу,тьфу... Ни разу за сутки пока что ничего не произошло... В логах показывало, были попытки РДП сеансов с 3 ночи до 6 перебирали пароль для "Администратор"...Сволочи...
Будем мониторить и все выходные грядущие .  
=============
стало быть первоначальные пароли были слабые, или каким то образом утекли.
интересно еще с каких ip-ов были подключения? ваши, рабочие, или таки просто внешние, которым вы не ограничили доступ из внешней сети?
+
проверьте, все ли обновления по безопасности системы установлены на сервере
12.01.2018 09:37:20, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14378/message101569/ http://forum.esetnod32.ru/messages/forum6/topic14378/message101569/ Fri, 12 Jan 2018 09:37:20 +0300 Обнаружение вредоносного кода и ложные срабатывания Майнер после удаления восстанавливается Майнер восстанавливается сам как то... в форуме Обнаружение вредоносного кода и ложные срабатывания.
Тьфу, тьфу,тьфу... Ни разу за сутки пока что ничего не произошло... В логах показывало, были попытки РДП сеансов с 3 ночи до 6 перебирали пароль для "Администратор"...Сволочи...
Будем мониторить и все выходные грядущие .  
12.01.2018 09:14:29, Волосников Игорь.]]> http://forum.esetnod32.ru/messages/forum6/topic14378/message101568/ http://forum.esetnod32.ru/messages/forum6/topic14378/message101568/ Fri, 12 Jan 2018 09:14:29 +0300 Обнаружение вредоносного кода и ложные срабатывания Майнер после удаления восстанавливается Майнер восстанавливается сам как то... в форуме Обнаружение вредоносного кода и ложные срабатывания.
судя по логу autoruns в системе, в секции WMI  нет левых обработчиков событий
по всей вероятности, майнер приходит извне сервера.
ждем результатов вашего мониторинга. судя по логу в журнале угроз событие с попыткой установить майнер происходит раз в день
11.01.2018 12:17:38, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14378/message101551/ http://forum.esetnod32.ru/messages/forum6/topic14378/message101551/ Thu, 11 Jan 2018 12:17:38 +0300 Обнаружение вредоносного кода и ложные срабатывания Майнер после удаления восстанавливается Майнер восстанавливается сам как то... в форуме Обнаружение вредоносного кода и ложные срабатывания.
Под учеткой Administrator просто запустил и сохранил. никаких настроек не менял и не ковырялся.
TERMINAL-11.01.2018.rar
11.01.2018 11:48:35, Волосников Игорь.]]> http://forum.esetnod32.ru/messages/forum6/topic14378/message101550/ http://forum.esetnod32.ru/messages/forum6/topic14378/message101550/ Thu, 11 Jan 2018 11:48:35 +0300 Обнаружение вредоносного кода и ложные срабатывания Майнер после удаления восстанавливается Майнер восстанавливается сам как то... в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Дмитрий написал:
Я бы еще WMI секцию глянул, и на всякий случай службы через autoruns sysinternals
=============
судя, по образу, в секции WMI нет обработчиков событий, но согласен,

Игорь,
добавьте еще лог autoruns
https://technet.microsoft.com/ru-ru/sysinternals/bb963902.aspx
11.01.2018 11:03:06, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14378/message101547/ http://forum.esetnod32.ru/messages/forum6/topic14378/message101547/ Thu, 11 Jan 2018 11:03:06 +0300 Обнаружение вредоносного кода и ложные срабатывания Майнер после удаления восстанавливается Майнер восстанавливается сам как то... в форуме Обнаружение вредоносного кода и ложные срабатывания.
Я бы еще WMI секцию глянул, и на всякий случай службы через autoruns sysinternals
11.01.2018 10:57:09, Дмитрий.]]> http://forum.esetnod32.ru/messages/forum6/topic14378/message101546/ http://forum.esetnod32.ru/messages/forum6/topic14378/message101546/ Thu, 11 Jan 2018 10:57:09 +0300 Обнаружение вредоносного кода и ложные срабатывания Майнер после удаления восстанавливается Майнер восстанавливается сам как то... в форуме Обнаружение вредоносного кода и ложные срабатывания.
Нет. Только Администратор и Administrator. Пароль поменял на обоих.
11.01.2018 10:18:45, Волосников Игорь.]]> http://forum.esetnod32.ru/messages/forum6/topic14378/message101545/ http://forum.esetnod32.ru/messages/forum6/topic14378/message101545/ Thu, 11 Jan 2018 10:18:45 +0300 Обнаружение вредоносного кода и ложные срабатывания Майнер после удаления восстанавливается Майнер восстанавливается сам как то... в форуме Обнаружение вредоносного кода и ложные срабатывания.
других учетных записей на сервере с правами администратора больше нет, кроме встроенного Администратора?
11.01.2018 10:14:26, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14378/message101544/ http://forum.esetnod32.ru/messages/forum6/topic14378/message101544/ Thu, 11 Jan 2018 10:14:26 +0300 Обнаружение вредоносного кода и ложные срабатывания Майнер после удаления восстанавливается Майнер восстанавливается сам как то... в форуме Обнаружение вредоносного кода и ложные срабатывания.
Есть, поменял, установил, ограничил. Сегодня буду мониторить.
11.01.2018 10:06:50, Волосников Игорь.]]> http://forum.esetnod32.ru/messages/forum6/topic14378/message101543/ http://forum.esetnod32.ru/messages/forum6/topic14378/message101543/ Thu, 11 Jan 2018 10:06:50 +0300 Обнаружение вредоносного кода и ложные срабатывания Майнер после удаления восстанавливается Майнер восстанавливается сам как то... в форуме Обнаружение вредоносного кода и ложные срабатывания.
доступ к серверу по RDP есть из внешней сети?
меняйте пароль доступа для встроенной учетной записи Администратор, Administrator, установите сложный пароль.
ограничьте доступ к серверу из внешней сети, разрешите доступ по RDP только с ваших рабочих ip адресов.

проверьте результат.
11.01.2018 09:36:42, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14378/message101542/ http://forum.esetnod32.ru/messages/forum6/topic14378/message101542/ Thu, 11 Jan 2018 09:36:42 +0300 Обнаружение вредоносного кода и ложные срабатывания Майнер после удаления восстанавливается Майнер восстанавливается сам как то... в форуме Обнаружение вредоносного кода и ложные срабатывания.
Печально все....
Появились теперь в другой папке....
С утра был замечено что процесс termsvc жрал 63% цп... а остальные 37% PowerPoint О_о у одного из пользователей...
Ночью также что-то засоряло, пока возможности узнать нет... ( я про картинку 111)



11.01.2018 09:07:10, Волосников Игорь.]]> http://forum.esetnod32.ru/messages/forum6/topic14378/message101541/ http://forum.esetnod32.ru/messages/forum6/topic14378/message101541/ Thu, 11 Jan 2018 09:07:10 +0300 Обнаружение вредоносного кода и ложные срабатывания Майнер после удаления восстанавливается Майнер восстанавливается сам как то... в форуме Обнаружение вредоносного кода и ложные срабатывания.
да, понаблюдайте за вирусной активностью.
10.01.2018 11:42:32, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14378/message101538/ http://forum.esetnod32.ru/messages/forum6/topic14378/message101538/ Wed, 10 Jan 2018 11:42:32 +0300 Обнаружение вредоносного кода и ложные срабатывания Майнер после удаления восстанавливается Майнер восстанавливается сам как то... в форуме Обнаружение вредоносного кода и ложные срабатывания.
Проверил. Актуальная. Во всяком случае он не стал обновляться.

Я его удалил прямо сейчас в общем...
Все равно уже не пользуюсь. Кстати как раз проблема возникала месяца 2 назад в первый раз... когда я тока тока тестировал этот сервис для ТСД.... Подозрительно действительно...

И что теперь делать дальше? Ждать пока проявит себя или нет снова?
10.01.2018 11:27:08, Волосников Игорь.]]> http://forum.esetnod32.ru/messages/forum6/topic14378/message101537/ http://forum.esetnod32.ru/messages/forum6/topic14378/message101537/ Wed, 10 Jan 2018 11:27:08 +0300 Обнаружение вредоносного кода и ложные срабатывания Майнер после удаления восстанавливается Майнер восстанавливается сам как то... в форуме Обнаружение вредоносного кода и ложные срабатывания.
Волосников Игорь,
вполне возможно что пробивает вашу зашиту через сервис, который у вас установлен.
CLEVERENCE.MOBILESMARTS.SERVER.EXE

подобная проблема уже была, когда через этот сервис на сервера устанавливался майнер, (впрочем, может быть установлено что угодно)
https://virusinfo.info/showthread.php?t=213761&page=3

проверьте, установлена ли у вас актуальная версия данного сервера.
10.01.2018 10:51:18, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14378/message101536/ http://forum.esetnod32.ru/messages/forum6/topic14378/message101536/ Wed, 10 Jan 2018 10:51:18 +0300 Обнаружение вредоносного кода и ложные срабатывания Майнер после удаления восстанавливается Майнер восстанавливается сам как то... в форуме Обнаружение вредоносного кода и ложные срабатывания.
Пожалуйста.
efsw_logs_terminal.zip
TERMINAL_2018-01-10_11-09-34.rar
10.01.2018 10:33:41, Волосников Игорь.]]> http://forum.esetnod32.ru/messages/forum6/topic14378/message101535/ http://forum.esetnod32.ru/messages/forum6/topic14378/message101535/ Wed, 10 Jan 2018 10:33:41 +0300 Обнаружение вредоносного кода и ложные срабатывания Майнер после удаления восстанавливается Майнер восстанавливается сам как то... в форуме Обнаружение вредоносного кода и ложные срабатывания.
Волосников Игорь,
добавьте образ автозапуска системы.
10.01.2018 10:30:42, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14378/message101534/ http://forum.esetnod32.ru/messages/forum6/topic14378/message101534/ Wed, 10 Jan 2018 10:30:42 +0300 Обнаружение вредоносного кода и ложные срабатывания Майнер после удаления восстанавливается Майнер восстанавливается сам как то... в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Мартынов Николай написал:

====quote====
 Волосников Игорь  написал:
1.
=============
Вы ключ чтоли светите? Потрите его скорее...


ОС актуальная? Все ли обновления установлены? А на АРМ в локальной сети подобные заражения имеются?
=============
Пароля же все равно нет... Потер...  Обновления все стоят. В локальной сети зараженных компьютеров на данный момент не наблюдается. Везде стоят такие же Eset File Security
10.01.2018 10:13:55, Волосников Игорь.]]> http://forum.esetnod32.ru/messages/forum6/topic14378/message101533/ http://forum.esetnod32.ru/messages/forum6/topic14378/message101533/ Wed, 10 Jan 2018 10:13:55 +0300 Обнаружение вредоносного кода и ложные срабатывания Майнер после удаления восстанавливается Майнер восстанавливается сам как то... в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Волосников Игорь написал:
1.
=============
Вы ключ чтоли светите? Потрите его скорее...


ОС актуальная? Все ли обновления установлены? А на АРМ в локальной сети подобные заражения имеются?
10.01.2018 10:05:55, Мартынов Николай.]]> http://forum.esetnod32.ru/messages/forum6/topic14378/message101532/ http://forum.esetnod32.ru/messages/forum6/topic14378/message101532/ Wed, 10 Jan 2018 10:05:55 +0300 Обнаружение вредоносного кода и ложные срабатывания Майнер после удаления восстанавливается Майнер восстанавливается сам как то... в форуме Обнаружение вредоносного кода и ложные срабатывания.
1. Имеется лицензия
2. Eset File Security for Microsoft Windows Server
3. Windows Server 2012 R2 Standart 64-bit (6.3.9600)

Моя проблема в том, что при наличии лицензированного антивируса от Eset на моем сервере все равно крутится майнер, сам себя восстанавливает и снова начинает грузит цп на 100%....
Создалась учетная запись какая-то , создалась папка, в ней приложение... и не важно удаляешь ты или нет ее, чистишь или нет, процесс все равно запускается стабильно 4-6 раз в сутки и грузит цп...
Мне нужна реальная помощь, после которой на моем сервере перестанет запускаться этот майнер...


10.01.2018 08:40:48, Волосников Игорь.]]> http://forum.esetnod32.ru/messages/forum6/topic14378/message101531/ http://forum.esetnod32.ru/messages/forum6/topic14378/message101531/ Wed, 10 Jan 2018 08:40:48 +0300 Обнаружение вредоносного кода и ложные срабатывания