Неизвестная программа (майнинга?) была установлена скрытым пользователем

@Ranger · Регистрация: 03.10.2008

Author24 — интернет-сервис помощи студентам

Имеется VDS, ОС Windows server 2012 на котором запущены:
- Apache (Appserv) с парой простых HTML-страниц
- Ptokax (NMDC++ сервер с набором Lua-скриптов), сам клиент отсутствует
- Spigot с набором Java-плагинов, который запускается лаунчером BukkitGUI (сервер игры Minecraft), сам клиент Minecraft отсутствует
Антивирус отсутствует.
В Appserv и Ptokax я уверен, так как сам их настраивал и уже долгое время работал с этими же файлами.

За день до появления вредоносного ПО я ставил на spigot java-плагины для игрового сервера, взятые с интернета, возможно в каком-то плагине был вредоносный код.

На следующий день вечером VDS блокируется хостером, ответ техподдержки цитирую:

Ваш сервере был заблокирован по причине размещения на сервере программы "taskmgrs.exe", пользователем "СИСТЕМА" в папке "C:\Intel\System" деятельность которой, запрещена в соответствии с условиями Договора публичной оферты, Приложение 1, пункты:
2.3. На хостинге запрещаются следующие виды деятельности:
2.3.7. Размещение систем или служб, связанных с заработком (майнингом) криптовалют.
Сервер разблокировали, не включали.
Данную программу удалите.
Обратите так же Ваше внимание что пользователь СИСТЕМА не является пользователем используемым по-умолчанию. В данном случае это может быть следствие работы вредоносного ПО. Перепроверьте сервер на наличие вредоносных программ и удалите или заблокируйте данного пользователя.

Папка Intel с вредоносным ПО в rar-архиве в аттачах.
Так же при просмотре свойств файлов показывается пользователь "СИСТЕМА" (см скрин)
Но как его удалить - не понятно, в Панели управления/учетный записи пользователей он отсутствует, в Управлении компьютером/пользователи и группы тоже, в системном реестре кроме Администратора тоже все чисто.

@Ranger · 05.03.2018, 18:58 **[ТС]**

Сообщение от Sandor

Эта папка Вам известна?
C:\WINDOWS\SYSTEM32\VMMANAGER\

нет

@Sandor · 06.03.2018, 10:17

Описание программы, которая находится в этой папке

Hyper-V Server Manager

производитель

MT FINANCE LLC

По-прежнему Вам ни о чем не говорит? Что-то, связанное с виртуальной машиной.

@Ranger · 16.10.2018, 22:06 **[ТС]**

Почему-то пропали последние сообщения из этой темы, напишу еще раз, как я нашел проблему.
На VDS стоял AppServ со стандартным phpmyadmin, через него вирус и попал на VDS (узнал из логов вебсервера).
Убрал папку phpmyadmin с вебсервера, вирус больше не появлялся.

@Ranger 12 / 12 / 2 Регистрация: 03.10.2008 Сообщений: 436
	05.03.2018, 18:58 [ТС]	21
	Сообщение от Sandor Эта папка Вам известна? C:\WINDOWS\SYSTEM32\VMMANAGER\ нет 0

@Ranger 12 / 12 / 2 Регистрация: 03.10.2008 Сообщений: 436
	16.10.2018, 22:06 [ТС]	23
	Почему-то пропали последние сообщения из этой темы, напишу еще раз, как я нашел проблему. На VDS стоял AppServ со стандартным phpmyadmin, через него вирус и попал на VDS (узнал из логов вебсервера). Убрал папку phpmyadmin с вебсервера, вирус больше не появлялся. 1

@Sandor 21564 / 15514 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	06.03.2018, 10:17	22
	Описание программы, которая находится в этой папке Hyper-V Server Manager производитель MT FINANCE LLC По-прежнему Вам ни о чем не говорит? Что-то, связанное с виртуальной машиной. 0