Ten server je můj , respektive provozujeme ho s kolegou jako čistě altruistický projekt , běží na něm databázový stroj napsaný ještě ve foxpru s knihami a materiály pro nadšence do staré techniky, dokonce na tom nejede ani žádná reklama, kvůli rychlé přípojce na internet server máme u kamaráda ve firmě to je celé. Čili bod 6 podmínek, podle mého neporušujeme, tohle není komerce jen nás to stojí čas a peníze, proto to celé jede na Windows Server 2003.
K věci. Smazat to není problém.
Problém poznám podle vytížení, procesoru.
Není problém najít ani smss.exe který se zpravidla skrývá v Windows /temp/neco nebo Recycler/něco ani samotný nvxmrsync.exe .
smss.exe
https://www.virustotal.com/#/file/36cc7 ... /detection
nvxmrsync.exe
https://www.virustotal.com/#/file/0972e ... /detection
Proces sestřelím v Process exploreru, v adresařich kde se skrývá smažu, pro jistotu ještě smaznu v po spuštěná (msconfig) kam se smss.exe přidáva, aby přežil restart.
Prohlednu celý server nějakým antimalware vše se zdá Ok
tedy všiml jsme si jedné věci proces explorer ukazuje běžící smss.exe ale je to ten správný z C:\WINDOWS\system32\smss.exe a podle virus total je to original MS soubor bez malware.
Nicmeně RSIT ho ve výpisu spuštěných programů ukazuje jako
Running processes:
C:\Documents and Settings\SPRAVCE\WINDOWS\System32\smss.exe
Přičemž v adresáři C:\Documents and Settings\SPRAVCE\WINDOWS\ již adresář systém32 není a není ani skryty.
V tomto okamžiku se vše zdá OK, ale je jen otázka času kdy se tyto dva programy opět na serveru objeví, a začne těžba ve prospěch uživatele 3xgYADhvfAKDig ve prospěch jeo učtu na miner.fcbpool.com těžba probíhá. Až mě napadá zda dotyčný nepoužívá nějakou nezapláclou díru v IIS7 nebo samotném SW 2003 přes kterou server napadá. Všechny aktualizace, které MS kdy vydal máme nainstalované.