Майнер заразил System Idle Process
 

Сразу предупреждаю, у меня опыт общения в основном с линуксом
Изначально был заражен другой сервер, его очистили bitdefender-ом, а до этого - microsoft essentials, но оно похерило активацию после того, как bitdefender снес essentials.
Файлы веб-сайта перенесли на другой сервер, чтобы переустановить систему на старом, - и вуаля, он тоже заражен (огромная глупость, но это было очень срочно, увы, теперь отдуваться)
Сервер удаленный, IPMI/доступа нет есть - 2008r2
На сервере вертится веб-ресурс на ASP.NET (IIS). Application pool был от юзера Administrator - подозреваю это и помогло малвари проникнуть внутрь, учитывая что зараженный процесс имеет parent-а C:\Windows\Microsoft.NET\Framework64\v4.0.30319\windeb.exe
Пытаюсь установить bitdefender на сервер, но он выдает ошибку аля "веб-установщик не может скачать файлы". AVZ находит какой-то нетривиальный ключ для svchost.exe, но ничего с ним не поделать...
Windeb.exe ни загрузить куда-то ни удалить не могу, даже после выставления себя овнером.
Помогите пожалуйста избавиться от малвари, а так же поясните - у меня много работы с файлами (загрузка/создание файлов) на веб-ресурсе, как настроить iis чтобы себя обезопасить?
Заранее спасибо..

Вероятно я слегка сумбурно все описал.
Чтобы было понятно - на сервере сейчас два System Idle Process - настоящий и фейковый, но при попытке закрыть фейковый система все равно хочет уйти в шатдаун. То же самое и при попытке закрыть windeb.exe
Если проблема серьезная и так просто не разберешься, то могу конечно оплатить работу, но текущего бюджета у меня к сожалению хватит примерно лишь на 4 часа работы.

Здравствуйте!

Логи нужны из консоли, а не из терминала. (Хотя бы через TeamViewer).

Прикрепляю

Времени немного осталось :/ Если кто-то готов уделить время - пожалуйста отпишитесь, оплата через paypal

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Пожалуйста, перезагрузите компьютер вручную.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Вот на этом все и заканчивается :( Система уходит в даун, далее ничего не исполняется

Может кто по доброте душевной тыкнет лицом в статью, где описано как безопасно настроить IIS? Или такого понятия нет вообще? Оградить свой веб-сервер фаерволом я увы полноценно не могу

Запустил сначала первоначальный (quarantine.zip 288117 байт), затем немного модифицированный скрипт (quarantine.zip 532987 байт) из safe mode
Выложил оба варианта на форму. Выкладываю логи. Процесс все еще там.

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.

   !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.

Выкладываю лог.

Файловое заражение neshta.

Пожалуйста, пролечитесь как указано в этой теме: Как вылечить систему от файлового вируса?, а после этого сделайте и прикрепите новый CollectionLog.

У Dr.WEB категорически не запускается X-сервер, Avira не может обновиться и ничего не лечит (special windows alert/no action taken), остальные - 404. Есть ли еще методы, как вылечиться? Сейчас еще раз попробую Cureit, но не думаю что получится...
Может, проблема в том, что я скачиваю не с ftp что указано на странице, а с веб-страницы https://free.drweb.ru/aid_admin/ ?

Пробуйте KRD.

Не годится, нужно именно с LiveCD.

KRD настолько долго выгружал свои базы из образа (несколько часов), что у меня успевал отваливаться VPN тоннель, по которому этот образ и был подключен.
По итогу очистил с помощью bitdefender resque cd, (тоже бесплатная утилита, на gentoo, единственное что - по умолчанию меня выкинуло в шелл приглашение пройти аутентификацию - там login 'livecd', пароля нет, X стартуется простым startx без приключений), прикладываю логи.

P.S.
Надеюсь не сочтете за рекламу, но может стоит включить эту тулзу в список?

Логи выглядят значительно лучше. Что сейчас с проблемой?

Вроде как все в порядке, спасибо Вам - единственное что, беспокоит Trusted Installer, периодически отъедающий 25% CPU, но это судя по всему Windows Update или моя паранойя.

Да, вероятно.

Проверьте уязвимые места:
Выполните скрипт в AVZ при наличии доступа в интернет:

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Рекомендации после лечения.

Не обрнаружено, спасибо Вам еще раз за помощь!