Перейти к содержанию

HEUR:Trojan-Ransom.Win32.Wanna.a


Рекомендуемые сообщения

Здравствуйте. Периодически выползают такие вот вещи.
 

29.08.2017 22.14.16 Обнаруженный объект (файл) удален C:\Windows\mssecsvc.exe Файл: C:\Windows\mssecsvc.exe Название объекта: HEUR:Trojan-Ransom.Win32.Wanna.a Тип объекта: Троянская программа Время: 29.08.2017 22:14 
29.08.2017 20.26.35 Ложное срабатывание на объект (системная память) System Memory Системная память: System Memory Время: 29.08.2017 20:26
29.08.2017 22.36.36 Обнаруженный объект (системная память) не обработан System Memory Системная память: System Memory Название объекта: MEM:Trojan.Win64.EquationDrug.gen Тип объекта: Троянская программа Время: 29.08.2017 22:36 
29.08.2017 22.14.16 Обнаруженный объект (файл) удален C:\Windows\mssecsvc.exe Файл: C:\Windows\mssecsvc.exe Название объекта: HEUR:Trojan-Ransom.Win32.Wanna.a

Kaspersky free блокирует , удаляет. Но через некоторое время возникает то же самое. Прошелся cureit'ом, combofix'ом, malewarebytes, avz. Никто ничего не находит. Чистая система, сижу смотрю сериал и бац снова те же объекты найдены антивирусом. smb порты закрыл по гайдам с инета. Что можно еще можно сделать ? Заранее спасибо.

Лог

CollectionLog-2017.08.31-22.13.zip

Ссылка на комментарий
Поделиться на другие сайты

 

 


Что можно еще можно сделать ?
Поставьте обновление http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
И в будущем не забывайте своевременно обновляться.

+

C:\ComboFix.txt прикрепите.

  • Согласен 2
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • bakanov
      От bakanov
      Добрый день , поймали шифровальщик HEUR:Trojan-Ransom.Win32.Mimic.gen. Залез судя по всему через RDP , отсканировал домен, получил доступы к администратору домена domain\administrator и начал все шифровать куда есть доступы админа. Машину вырубили, загрузился с livecd , нашел хвосты , временные файлы и т.д. Есть варианты файлов до шифровки и после шифровки , есть ли возможность найти ключик для дешифровки для конкретно это машины ?
    • DoctorRS
      От DoctorRS
      Добрый день. Зашифровали файлы Trojan-Ransom.Win32.Mimic, не работает 1С и файлы офис. Помогите пожалуйста есть ли варианты дешифрации ? 
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
    • foroven
      От foroven
      Добрый день. Схватили шифровальщик. Кажется что взломали RDP доступ т.к был открыт наружу с слабым паролем. Зашифрованные файлы имеют расширение *.er
      Файлы с обычным расширением где есть файл *.er не открываются. В основном зашифрованы базы 1С и полностью пропал из системы один диск, отображается в диспетчере дисков, как нераспределенный. Но программой восстановления удалось восстановит все файлы, но они также зашифрованы.

      Копии.7z
    • Dmitrij777
      От Dmitrij777
      После загрузки образов и редактора, появилась проблема. Kaspersky Total Security выявил трояна MEM:Trojan.Win32.SEPEH.gen , после сканирования  через Virus Removal Tool выявило ещё два, удаление и лечение не помогло.
      CollectionLog-2024.10.30-19.02.zip
    • Zafod
      От Zafod
      Произошло шифрование файлом Locker.exe из под учётной записи администратора домена admin$ (создан вирусом). Время когда учётка админа (admin$) была создана удалено из логов (из логов пропали сутки). На сервере установлен Kaspersky Endpoint Security под управлением KSC, вирус был обнаружен, скопирован в карантин, удалён, но данные всё равно зашифрованы. Машина с KSC так же зашифрована и не стартует.
      1.zip
×
×
  • Создать...