[Anton04]

Цитата nikhop:

Можно ли следить за папкой, кто его туда ложит вообще? »

Можно, но это Вам ничего не даст.

Цитата nikhop:

Или другой способ..? »

1. Изолировать сервер от сети.
2. Обратиться в тему Лечение систем от вредоносных программ.
3. Описать свою проблему и максимально точно выполнить рекомендации.
4. После этого. настроит брандмауэр (отключить все не используемое). Разрешить только то что нужно.
5. Установить обновления.
6. Установить антивирусник (что-то лучше microsoft essential security) и настроить его как следует.
7. Выпустить сервер в сеть.
8. Наблюдать за результатом.

[nikhop]

Anton04,
1. В работе круглосуточно, отключать от сети нельзя.
2, 3. Попробую.
4. Сделано.
5. Сделано.
6. В бюджет не заложили, сейчас мучаемся. Надо пробить. Какой посоветуете?

[Anton04]

Цитата nikhop:

1. В работе круглосуточно, отключать от сети нельзя. »

В противном случае вылечить его будет проблематично, нужно тогда жёстко ограничить все его общение с сетью (не разрешать исключений). Если у Вас ещё там есть и AD это будет ещё та головная боль.

Цитата nikhop:

6. В бюджет не заложили, сейчас мучаемся. Надо пробить. Какой посоветуете? »

Советовать тут себе дороже, например я не переношу касперского, но это не значит что он плохой антивирусник и всё такое, просто я не умею его готовить и логика его работы мне чужда. Поэтому если мне нужно то пользуюсь drweb`ом, одинокие сервера у меня редкость поэтому использую Dr.Web Server Security Suite, в вашем случае возможно подойдёт Dr.Web для Windows Server.

Но устанавливать антивирусник на заранее скомпрометированную систему это не верно, притом в корне.

[paranoya]

Настроить SRP в режиме белого списка.
Включить аудит на файловой системе.
Использовать Process Monitor, ибо smss.exe критический важная часть системы
Использовать Process Explorer
Использовать AVZ.
Но лучше всего поднять новый сервер, так как имеющийся уже скомпрометирован и вирус может сидеть где угодно, и даже в ядре.

[nikhop]

Цитата paranoya:

вирус может сидеть где угодно, и даже в ядре. »

Если я правильно понял отчёт с вирустотала, то действительно в ядре может сидеть.

И sfc не запускается, "не является внутренней или внешней командой".

[Anton04]

nikhop,

Ничто не мешает Вам загрузиться через любой WinPE и банально скопировать несколько файлов с установочного дистрибутива. Как первая часть лечения вполне прокатит...

P.S. Хотя судя по нулевой активности в теме по лечению, Вам это совсем не интересно...

[nikhop]

Цитата Anton04:

P.S. Хотя судя по нулевой активности в теме по лечению, Вам это совсем не интересно... »

Фишка в том, что после выгрузки-удаления майнера он исчезает на пару-тройку недель. Сложно собирать статистику из ничего )

[Anton04]

Цитата nikhop:

Сложно собирать статистику из ничего »

Сложно, но не невозможно

У меня как-то было похожая ситуация, с начало банально запретил главному файлу майнера выход в интернет штатными средствами Windows, потом отследил пути (куда конектится по каким протоколам и т.п.) и заблочил это всё на роутере, а уже потом вычистил его из системы (AVZ+autoruns+procexp).