Неизвестная программа (майнинга?) была установлена скрытым пользователем

@Ranger · Регистрация: 03.10.2008

Студворк — интернет-сервис помощи студентам

Имеется VDS, ОС Windows server 2012 на котором запущены:
- Apache (Appserv) с парой простых HTML-страниц
- Ptokax (NMDC++ сервер с набором Lua-скриптов), сам клиент отсутствует
- Spigot с набором Java-плагинов, который запускается лаунчером BukkitGUI (сервер игры Minecraft), сам клиент Minecraft отсутствует
Антивирус отсутствует.
В Appserv и Ptokax я уверен, так как сам их настраивал и уже долгое время работал с этими же файлами.

За день до появления вредоносного ПО я ставил на spigot java-плагины для игрового сервера, взятые с интернета, возможно в каком-то плагине был вредоносный код.

На следующий день вечером VDS блокируется хостером, ответ техподдержки цитирую:

Ваш сервере был заблокирован по причине размещения на сервере программы "taskmgrs.exe", пользователем "СИСТЕМА" в папке "C:\Intel\System" деятельность которой, запрещена в соответствии с условиями Договора публичной оферты, Приложение 1, пункты:
2.3. На хостинге запрещаются следующие виды деятельности:
2.3.7. Размещение систем или служб, связанных с заработком (майнингом) криптовалют.
Сервер разблокировали, не включали.
Данную программу удалите.
Обратите так же Ваше внимание что пользователь СИСТЕМА не является пользователем используемым по-умолчанию. В данном случае это может быть следствие работы вредоносного ПО. Перепроверьте сервер на наличие вредоносных программ и удалите или заблокируйте данного пользователя.

Папка Intel с вредоносным ПО в rar-архиве в аттачах.
Так же при просмотре свойств файлов показывается пользователь "СИСТЕМА" (см скрин)
Но как его удалить - не понятно, в Панели управления/учетный записи пользователей он отсутствует, в Управлении компьютером/пользователи и группы тоже, в системном реестре кроме Администратора тоже все чисто.

@Ranger · 05.03.2018, 18:58 **[ТС]**

Сообщение от Sandor

Эта папка Вам известна?
C:\WINDOWS\SYSTEM32\VMMANAGER\

нет

@Sandor · 06.03.2018, 10:17

Описание программы, которая находится в этой папке

Hyper-V Server Manager

производитель

MT FINANCE LLC

По-прежнему Вам ни о чем не говорит? Что-то, связанное с виртуальной машиной.

@Ranger · 16.10.2018, 22:06 **[ТС]**

Почему-то пропали последние сообщения из этой темы, напишу еще раз, как я нашел проблему.
На VDS стоял AppServ со стандартным phpmyadmin, через него вирус и попал на VDS (узнал из логов вебсервера).
Убрал папку phpmyadmin с вебсервера, вирус больше не появлялся.

Новые блоги и статьи Все статьи Все блоги /
FSharp: interface of module DevAlt 16.05.2026 Интерфейс модуля F# позволяет управлять доступностью членов, содержащихся в реализации модуля. По-умолчанию все члены модуля доступны: module Foo let x = 10 let boo () = printfn "boo" . . .	Хитросплетение родственных связей пантеона греческих богов. russiannick 14.05.2026 Однооконник, позволяющий узреть и изучить отдельных героев древней Греции. <!DOCTYPE html> <html lang="ru"> <head> <meta charset="UTF-8"> <meta http-equiv="X-UA-Compatible". . .	[golang] Угол между стрелками часов alhaos 12.05.2026 По заданным значениям часа и минуты необходимо определить значение меньшего угла между стрелками аналогового циферблата часов. import "math" func angleClock(hour int, minutes int) float64 { . . .	Debian 13: Установка Lazarus QT5 ВитГо 09.05.2026 Эта инструкция моя компиляция инструкций volvo https:/ / www. cyberforum. ru/ blogs/ 203668/ 10753. html и его же старой инструкции по установке Lazarus с gtk2. . .
Нейросеть на алгоритме "эстафета хвоста" как перспектива. Hrethgir 06.05.2026 На десерт, когда запущу сервер. Статья тут https:/ / habr. com/ ru/ articles/ 1030914/ . Автор я сам, нейросеть только помогает в вопросах которые мне не известны - не знаю людей которые знали-бы. . .	Асинхронный приём данных из COM-порта Argus19 01.05.2026 Асинхронный приём данных из COM-порта Купил на aliexpress термопринтер QR701. Он оказался странным. Поключил к Arduino Nano. Был очень удивлён. Наотрез отказывается печатать русские буквы. Чтобы. . .	попытка написать игровой сервер на C++ pyirrlicht 29.04.2026 попытка написать игровой сервер на плюсах с открытым бесконечным миром. возможно получится прикрутить интерпретатор питон для кастомизации игровой логики. что есть на текущий момент:. . .	Контроль уникальности выбранного документа-основания при изменении реквизита Maks 28.04.2026 Алгоритм из решения ниже разработан на примере нетипового документа "ЗаявкаНаРемонтСпецтехники", разработанного в КА2. Задача: уведомлять пользователя, если указанная заявка (документ-основание). . .

@Ranger 12 / 12 / 2 Регистрация: 03.10.2008 Сообщений: 437
	16.10.2018, 22:06 [ТС]
	Почему-то пропали последние сообщения из этой темы, напишу еще раз, как я нашел проблему. На VDS стоял AppServ со стандартным phpmyadmin, через него вирус и попал на VDS (узнал из логов вебсервера). Убрал папку phpmyadmin с вебсервера, вирус больше не появлялся. 1