Odvirování PC, zrychlení počítače, vzdálená pomoc prostřednictvím služby neslape.cz
Generic.Application.CoinMiner jak odstrnit respektive ...
Moderátor: Moderátoři
Pravidla fóra
Pokud chcete pomoc, vložte log z FRST [návod zde] nebo RSIT [návod zde]
Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.
!NOVINKA!
Nově lze využívat služby vzdálené pomoci, kdy se k vašemu počítači připojí odborník a bližší informace o problému si od vás získá telefonicky! Více na www.neslape.cz
Pokud chcete pomoc, vložte log z FRST [návod zde] nebo RSIT [návod zde]
Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.
!NOVINKA!
Nově lze využívat služby vzdálené pomoci, kdy se k vašemu počítači připojí odborník a bližší informace o problému si od vás získá telefonicky! Více na www.neslape.cz
-
Rudy
- Site Admin
- Příspěvky: 119428
- Registrován: 30 říj 2003 13:42
- Bydliště: Plzeň
- Kontaktovat uživatele:
Re: Generic.Application.CoinMiner jak odstrnit respektive ..
Ve firmě? Víte o tom, že toto fórum je určeno pouze home userům: https://forum.viry.cz/viewtopic.php?f=12&t=5601 (bod 6). Zkoušel jste ty soubory smazat?
Dotazy a logy vkládejte pouze do vašich threadů. Soukromé zprávy, icq a e-maily neslouží k řešení vašich problémů.
Podpořte, prosím, naše fórum : https://platba.viry.cz/payment/.
Navštivte:
e-mail: rudy(zavináč)forum.viry.cz
Varování: Před odvirováním PC si udělejte zálohy svých důležitých dat (pošta, kontakty, dokumenty, fotografie, videa, hudba apod.). Virus mimo svých "viditelných" aktivit může poškodit systém!
Po dořešení vašeho problému bude vlákno zamknuto. Stejně tak tehdy, pokud bude nečinné více než 14dnů. Pokud budete chtít vlákno aktivovat, napište mi na mail uvedený výše.
Podpořte, prosím, naše fórum : https://platba.viry.cz/payment/.
Navštivte:
e-mail: rudy(zavináč)forum.viry.cz
Varování: Před odvirováním PC si udělejte zálohy svých důležitých dat (pošta, kontakty, dokumenty, fotografie, videa, hudba apod.). Virus mimo svých "viditelných" aktivit může poškodit systém!
Po dořešení vašeho problému bude vlákno zamknuto. Stejně tak tehdy, pokud bude nečinné více než 14dnů. Pokud budete chtít vlákno aktivovat, napište mi na mail uvedený výše.
Re: Generic.Application.CoinMiner jak odstrnit respektive ..
Ten server je můj , respektive provozujeme ho s kolegou jako čistě altruistický projekt , běží na něm databázový stroj napsaný ještě ve foxpru s knihami a materiály pro nadšence do staré techniky, dokonce na tom nejede ani žádná reklama, kvůli rychlé přípojce na internet server máme u kamaráda ve firmě to je celé. Čili bod 6 podmínek, podle mého neporušujeme, tohle není komerce jen nás to stojí čas a peníze, proto to celé jede na Windows Server 2003.Rudy píše:Ve firmě? Víte o tom, že toto fórum je určeno pouze home userům: https://forum.viry.cz/viewtopic.php?f=12&t=5601 (bod 6). Zkoušel jste ty soubory smazat?
K věci. Smazat to není problém.
Problém poznám podle vytížení, procesoru.
Není problém najít ani smss.exe který se zpravidla skrývá v Windows /temp/neco nebo Recycler/něco ani samotný nvxmrsync.exe .
smss.exe https://www.virustotal.com/#/file/36cc7 ... /detection
nvxmrsync.exe
https://www.virustotal.com/#/file/0972e ... /detection
Proces sestřelím v Process exploreru, v adresařich kde se skrývá smažu, pro jistotu ještě smaznu v po spuštěná (msconfig) kam se smss.exe přidáva, aby přežil restart.
Prohlednu celý server nějakým antimalware vše se zdá Ok
tedy všiml jsme si jedné věci proces explorer ukazuje běžící smss.exe ale je to ten správný z C:\WINDOWS\system32\smss.exe a podle virus total je to original MS soubor bez malware.
Nicmeně RSIT ho ve výpisu spuštěných programů ukazuje jako
Running processes:
C:\Documents and Settings\SPRAVCE\WINDOWS\System32\smss.exe
Přičemž v adresáři C:\Documents and Settings\SPRAVCE\WINDOWS\ již adresář systém32 není a není ani skryty.
V tomto okamžiku se vše zdá OK, ale je jen otázka času kdy se tyto dva programy opět na serveru objeví, a začne těžba ve prospěch uživatele 3xgYADhvfAKDig ve prospěch jeo učtu na miner.fcbpool.com těžba probíhá. Až mě napadá zda dotyčný nepoužívá nějakou nezapláclou díru v IIS7 nebo samotném SW 2003 přes kterou server napadá. Všechny aktualizace, které MS kdy vydal máme nainstalované.
-
Rudy
- Site Admin
- Příspěvky: 119428
- Registrován: 30 říj 2003 13:42
- Bydliště: Plzeň
- Kontaktovat uživatele:
Re: Generic.Application.CoinMiner jak odstrnit respektive ..
V system32 se skrývá ten "pravý" smss. Kdekoliv jinde je to šmejd a musí být smazán. Pravděpodobně se na server připojují nějací těžaři bitcoinů, kteří ho využívaní jeko pracovní kapacitu (stejně může být využit kterýkoliv workstation. Kdybychom znali IP, blokli bychom ji ve firewallu a bylo by vymalováno. Jinak s tou firmou jsem to správně pochopil až teď.
Dotazy a logy vkládejte pouze do vašich threadů. Soukromé zprávy, icq a e-maily neslouží k řešení vašich problémů.
Podpořte, prosím, naše fórum : https://platba.viry.cz/payment/.
Navštivte:
e-mail: rudy(zavináč)forum.viry.cz
Varování: Před odvirováním PC si udělejte zálohy svých důležitých dat (pošta, kontakty, dokumenty, fotografie, videa, hudba apod.). Virus mimo svých "viditelných" aktivit může poškodit systém!
Po dořešení vašeho problému bude vlákno zamknuto. Stejně tak tehdy, pokud bude nečinné více než 14dnů. Pokud budete chtít vlákno aktivovat, napište mi na mail uvedený výše.
Podpořte, prosím, naše fórum : https://platba.viry.cz/payment/.
Navštivte:
e-mail: rudy(zavináč)forum.viry.cz
Varování: Před odvirováním PC si udělejte zálohy svých důležitých dat (pošta, kontakty, dokumenty, fotografie, videa, hudba apod.). Virus mimo svých "viditelných" aktivit může poškodit systém!
Po dořešení vašeho problému bude vlákno zamknuto. Stejně tak tehdy, pokud bude nečinné více než 14dnů. Pokud budete chtít vlákno aktivovat, napište mi na mail uvedený výše.
Přispějete na provoz fóra?