Перейти к содержанию

Как найти зараженные машины трояном HEUR:Trojan.NSIS.BitMin.gen


Баир Мангутов

Рекомендуемые сообщения

Работаю в организации с количеством машин около 90 и на половине есть антивирус. AD не работает, учетки только на машинах и все имеют доступ к сетевым папкам На серваке Win Server 2008 стоит KES10 с самого утра начинает ловить вирус в папках до конца рабочего дня. В начале рабочего дня запускается эти машины и вирус записывает себя в сетевые папки этого сервера. Как обнаружить зараженные машины? можно в KES по логу найти с какой машины пришел вирус в расшаренную папку?

Прикрепляю отчет KES з

Отчет.txt

Ссылка на комментарий
Поделиться на другие сайты

@Баир Мангутов, что-то даже идей нет.

Закрыть доступ гостю. Создать около 10 учеток, дать права. Какая учетка руганетя - на той поменять пароль и выдать новый пароль 5м, а остальным 5м - другую учетку. Так в 3-4 этапа найдете злодея.

KSC понимаю нет?

Ссылка на комментарий
Поделиться на другие сайты

@Баир Мангутов

KSC понимаю нет?

Гостя уже отключил. Стоит KSC10  но ключей у меня всего на 55 машин + агент администрирования не на всех стоит тк есть старые компы на XP мож по ним пробежаться? В касперском можно как- нибудь сетевую фильтрацию настроить и найти по ip зараженные машины или с помощью другого софта?

Ссылка на комментарий
Поделиться на другие сайты

@Баир Мангутов, а в KSC в меню Карантин/Резервное хранилище не фигурируют клиентские машины?

Такого не меню не нашел. Зато зашел в меню отчеты-отчет о пользователях  зараженных компьютеров и Отчет о наиболее заражаемых компьютерах

и вижу одну машину ECON4 завтра ее проверю
Ссылка на комментарий
Поделиться на другие сайты

@Баир Мангутов, вот и проверяйте все, кот орые в Карантине, я так понимаю, вас не интересует not-a-virus.


*а по сути, у вас скорее большинство заражено и вирус распространяется через шары друг друг на компы. Скорее всего, у вас на компах шары открыты для всех - пока их не прикроете, не избавитесь - рекурсивно будут заражать друг друга.

Ссылка на комментарий
Поделиться на другие сайты

Работаю в организации с количеством машин около 90 и на половине есть антивирус. AD не работает, учетки только на машинах и все имеют доступ к сетевым папкам На серваке Win Server 2008 стоит KES10 с самого утра начинает ловить вирус в папках до конца рабочего дня. В начале рабочего дня запускается эти машины и вирус записывает себя в сетевые папки этого сервера. Как обнаружить зараженные машины? можно в KES по логу найти с какой машины пришел вирус в расшаренную папку?

Прикрепляю отчет KES з

 

Здравствуйте,

 

на серверных ОС рекомендуется использовать KSWS.

В этом продукте есть компонент - Untrusted Hosts Blocking

Он поможет в вашей ситуации.

Спасибо.

Ссылка на комментарий
Поделиться на другие сайты

@Баир Мангутов, также можно включить расширенный набор баз: http://support.kaspersky.ru/12613, затем все обновить и запустить проверку.

По скринам видно, что виновник "счастья" пользователь "ЗОЯ". :)

Ссылка на комментарий
Поделиться на другие сайты

Глянул автозагрузку, запущенные процессы  и отчеты антивируса на замглавбуха,econ4, zakupki2, юрист-пк  и антивирус их удалил. Троян сидел в сетевых папках 192,168,1,137 а не на компе. Короче проблема осталась, где-то  зараженная машина продолжает записывать  троян в шаренные папки. Думаю сделать как советует eremeev

Ссылка на комментарий
Поделиться на другие сайты

Троян сидел в сетевых папках 192,168,1,137 а не на компе

Ну насколько я понял это IP адрес зараженного ПК или???

Да, и на каком ПК стоит Eset ???

Изменено пользователем eco
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • LorianThet
      От LorianThet
      Добрый день, ПК заразился трояном
      После попытки полечить с помощью kaspersky ghb gthtpfuheprt Windows выдаёт ошибку, после включения ПК троян появился снова
      Прилагаю логи, отчёт по трояну из антивируса Касперского и образ автозапуска системы uVS
      CollectionLog-2024.12.08-21.50.zip HOME-PC_2024-12-08_21-41-10_v4.99.4v x64.7z антивируса Касперского отчёт.txt
    • Asya
      От Asya
      Здравствуйте, уважаемые консультанты. Появилась необходимость обратиться к вам за советом. Очень надеюсь на вашу помощь. 
      Ситуация следующая:
      На смартфон в телеге было скачано два файла epub (электронные книги) из чата по англо-китайским книжкам. После, через соцсети файлы переброшены на ноутбук. 
      27.09 - скачана первая книга. Проверка Kaspersky Security Cloud дала добро, и файл был открыт. 
      20.10 - скачана вторая книга. Проверка Касперского - окей, но ещё закидываю файл на Virustotal - и вот тут обнаруживается единственное (1/64) срабатывание у китайского Kingsoft - пишет что в файле HTA trojan. Сразу удаляю файл и перепроверяю первую книгу - результат такой же, Kingsoft ругается, остальные антивирусы молчат.
      Другие файлы, из того же чата, скачанные ранее - все целиком чистые, реакт есть только на те два файла.     
      Я бы подумала на ложное срабатывание, но вдруг вспомнила, что:
      15.10 - на мой номер телефона пришло смс с кодом верификации от китайского Wechat (которым не пользуюсь уже 10 лет) и который, естественно, не запрашивала. 
      Плюсом последние несколько дней на одну из почт (моего основного гугл-аккаунта) сыпется нервирующий иностранный спам (раньше такого не было). 

      Ноутбук проверяла своим Kaspersky Security Cloud, KVRT, Dr.Web Cureit - в них всё чисто, ничего не обнаруживается. 
       
      И теперь сомневаюсь, то ли это просто совпадение, то ли мне попался какой-то хитрый китайский вирус, который ещё никто из антивирусов не видит. И где его теперь искать: на компьютере или на смартфоне (и вот с последним я вообще не знаю, что делать)? Не очень хочется думать, что какие-то китайцы таскают мои данные. 
      Буду очень благодарна, если сможете помочь и подсказать, есть ли следы вирусной активности. Заранее спасибо за уделённое время. 
      CollectionLog-2024.11.02-23.04.zip
    • Александр Лаптев
      От Александр Лаптев
      Добрый день ноутбук заразился трояном
      После попытки полечить с помощью kaspersky и последующей перезагрузкой троян появился снова

      Читал темы на форуме, сразу приложу отчетыAddition.txtFRST.txt
      сделанные с помощью программы Farbar Recovery Scan Tool
    • chebroller
      От chebroller
      Здравствуйте! Kaspersky Internet Security нашел на компьютере троян MEM:Trojan.Win32.SEPEH.gen. Лечение с перезагрузкой не помогает. Очень надеюсь на вашу помощь.
      CollectionLog-2024.09.23-21.42.zip
    • vlanzzy
      От vlanzzy
      CollectionLog-2024.12.19-19.35.zip
      Произошло заражение вирусом, выполнял проверку через KVRT и смог удалить вирусы, но теперь запускается task.vbs
       
×
×
  • Создать...