Перейти к содержанию

Как найти зараженные машины трояном HEUR:Trojan.NSIS.BitMin.gen


Баир Мангутов

Рекомендуемые сообщения

Глянул автозагрузку, запущенные процессы  и отчеты антивируса на замглавбуха,econ4, zakupki2, юрист-пк  и антивирус их удалил. Троян сидел в сетевых папках 192,168,1,137 а не на компе. Короче проблема осталась, где-то  зараженная машина продолжает записывать  троян в шаренные папки. Думаю сделать как советует eremeev

 

Ждём от вас результатов после того как последуете совету.

Спасибо.

Ссылка на комментарий
Поделиться на другие сайты

 

Троян сидел в сетевых папках 192,168,1,137 а не на компе

Ну насколько я понял это IP адрес зараженного ПК или???

Да, и на каком ПК стоит Eset ???

 

1) 192.168.1.137 это сервак. в его  в его открытых сетевых папках сидит троян а записывает троян зараженный комп в сети. 

2) нету ни на одной из этих машин есета, установлен агент админ. и kes10

Ссылка на комментарий
Поделиться на другие сайты

А попробуйте эту програмку:

http://sputnik70.narod.ru/lanwork.html

Обратите внимание, последние обновления на главной странице сайта: http://sputnik70.narod.ru/

Ссылка на комментарий
Поделиться на другие сайты

 

Глянул автозагрузку, запущенные процессы  и отчеты антивируса на замглавбуха,econ4, zakupki2, юрист-пк  и антивирус их удалил. Троян сидел в сетевых папках 192,168,1,137 а не на компе. Короче проблема осталась, где-то  зараженная машина продолжает записывать  троян в шаренные папки. Думаю сделать как советует eremeev

 

Ждём от вас результатов после того как последуете совету.

Спасибо.

 

Установил на сервак. Утром 21.02.17 сразу позвонили и сказали что обмен не работает. пришел на арм оказывается на нем антивирус каспкрского 6 версии с просроченным ключом.  попытался сам зайти в сетевую папку сервера 192,168,1,222 выскакивает окно что нет доступа, тут я сразу и догнал  проверил автозагрузку и вот тебе этот троян. В безопасном режиме все ручками почистил удалил каспер6 и поставил kes10 и агента. Зашел в логи в касперского на серваке чтоб узнать какие еще машины попались. У него в бане было 3 машины одна часто с переодичностью попадала видимо интнрвал в 30 мин бана. Переделал на 1 сутки чтоб остальные найти ведь пользователи позвонят если не будет доступа на сервак :help: тк  имя блокированных машин не понятное. нету ни сетевого адреса машины не имя ее. Блин так еще и журнал заблокированных машин удалил :facepalm: Сейчас буду опять после праздников искать остальные

А попробуйте эту програмку:

http://sputnik70.narod.ru/lanwork.html

Обратите внимание, последние обновления на главной странице сайта: http://sputnik70.narod.ru/

А как по ней найти зараженную машину? Ограничение доступа с нежелательных компьютеров и для нежелательных пользователей. Как оно работает.

Сейчас еще глянул логи 2 сервака на нем пока стоит KES10 на него пока что прекратились атаки последнее число 21.02.2017 время 9.40

Изменено пользователем Баир Мангутов
Ссылка на комментарий
Поделиться на другие сайты

Насколько я понял, она умеет вести логи доступа к сетевым папкам. Кто к каким файлам обращался. По идее можно понять, кто записывает троян.

Но сам я ей не пользовался.

Ссылка на комментарий
Поделиться на другие сайты

Насколько я понял, она умеет вести логи доступа к сетевым папкам. Кто к каким файлам обращался. По идее можно понять, кто записывает троян.

Но сам я ей не пользовался.

:byebye:   Ладно я еще не супер админ, но вы то блин должны тут всех собак съесть :facepalm:

Ссылка на комментарий
Поделиться на другие сайты

Я такой же пользователь как и вы.

И тоже не супер админ )

Поэтому я и не лезу с советами по корпоративным продуктам, а предлагаю попробовать решить проблему сторонними средствами.

Ссылка на комментарий
Поделиться на другие сайты

Я такой же пользователь как и вы.

И тоже не супер админ )

Поэтому я и не лезу с советами по корпоративным продуктам, а предлагаю попробовать решить проблему сторонними средствами.

Ясно, попробую, посмотрю как она работает. 

Ссылка на комментарий
Поделиться на другие сайты

Ну что ж неделя заканчивается, по отчетам в бан компы не попались, пользователи не звали с проблемой доступа к сетевым папкам. Прикол с той зараженной машиной  стоит она в кабинете врача по венере) Так что друзья всегда предохраняйтесь)

Изменено пользователем Баир Мангутов
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • LorianThet
      От LorianThet
      Добрый день, ПК заразился трояном
      После попытки полечить с помощью kaspersky ghb gthtpfuheprt Windows выдаёт ошибку, после включения ПК троян появился снова
      Прилагаю логи, отчёт по трояну из антивируса Касперского и образ автозапуска системы uVS
      CollectionLog-2024.12.08-21.50.zip HOME-PC_2024-12-08_21-41-10_v4.99.4v x64.7z антивируса Касперского отчёт.txt
    • Asya
      От Asya
      Здравствуйте, уважаемые консультанты. Появилась необходимость обратиться к вам за советом. Очень надеюсь на вашу помощь. 
      Ситуация следующая:
      На смартфон в телеге было скачано два файла epub (электронные книги) из чата по англо-китайским книжкам. После, через соцсети файлы переброшены на ноутбук. 
      27.09 - скачана первая книга. Проверка Kaspersky Security Cloud дала добро, и файл был открыт. 
      20.10 - скачана вторая книга. Проверка Касперского - окей, но ещё закидываю файл на Virustotal - и вот тут обнаруживается единственное (1/64) срабатывание у китайского Kingsoft - пишет что в файле HTA trojan. Сразу удаляю файл и перепроверяю первую книгу - результат такой же, Kingsoft ругается, остальные антивирусы молчат.
      Другие файлы, из того же чата, скачанные ранее - все целиком чистые, реакт есть только на те два файла.     
      Я бы подумала на ложное срабатывание, но вдруг вспомнила, что:
      15.10 - на мой номер телефона пришло смс с кодом верификации от китайского Wechat (которым не пользуюсь уже 10 лет) и который, естественно, не запрашивала. 
      Плюсом последние несколько дней на одну из почт (моего основного гугл-аккаунта) сыпется нервирующий иностранный спам (раньше такого не было). 

      Ноутбук проверяла своим Kaspersky Security Cloud, KVRT, Dr.Web Cureit - в них всё чисто, ничего не обнаруживается. 
       
      И теперь сомневаюсь, то ли это просто совпадение, то ли мне попался какой-то хитрый китайский вирус, который ещё никто из антивирусов не видит. И где его теперь искать: на компьютере или на смартфоне (и вот с последним я вообще не знаю, что делать)? Не очень хочется думать, что какие-то китайцы таскают мои данные. 
      Буду очень благодарна, если сможете помочь и подсказать, есть ли следы вирусной активности. Заранее спасибо за уделённое время. 
      CollectionLog-2024.11.02-23.04.zip
    • Александр Лаптев
      От Александр Лаптев
      Добрый день ноутбук заразился трояном
      После попытки полечить с помощью kaspersky и последующей перезагрузкой троян появился снова

      Читал темы на форуме, сразу приложу отчетыAddition.txtFRST.txt
      сделанные с помощью программы Farbar Recovery Scan Tool
    • chebroller
      От chebroller
      Здравствуйте! Kaspersky Internet Security нашел на компьютере троян MEM:Trojan.Win32.SEPEH.gen. Лечение с перезагрузкой не помогает. Очень надеюсь на вашу помощь.
      CollectionLog-2024.09.23-21.42.zip
    • vlanzzy
      От vlanzzy
      CollectionLog-2024.12.19-19.35.zip
      Произошло заражение вирусом, выполнял проверку через KVRT и смог удалить вирусы, но теперь запускается task.vbs
       
×
×
  • Создать...