Перейти к содержанию
Правила раздела

Прошу помощи по удалению вируса Worm.Win32.AutoRun.iea

bvr76@mail.ru

Автор bvr76@mail.ru
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

bvr76@mail.ru

bvr76@mail.ru

Опубликовано
Опубликовано

Здравствуйте! Прошу Вашей помощи.

Третий день бьюсь с с этим червяком с именем Worm.Win32.AutoRun.ieaкак его обзывает KES . Всего отчет показывает наличие в сети 3 - х компов, пораженных вирусом.

Имея полный физический доступ к одному из них, пробовал традиционные способы:

1. полное сканирование

2. Загрузка с Kaspesky Rescue Disk и сканирование с диска

 

В обоих методах отыскиваются и уничтожаются тысячи следов вируса, файлы с расширениями: bat, exe, scr, pif. 

 

После загрузки, хватает буквально минут 10-30, после чего снова плодятся файлы.

 

Что еще могу сказать. Система - Windows Server 2008 R2, обновления и патчи системы все установлены. Сервер достался в наследство вместе с вирусами.

Сразу прикладываю отчеты сканирования FRST64.

 

Пожалуйста, помогите. 

FRST.txt

Shortcut.txt

Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Сразу прикладываю отчеты сканирования FRST64

Начните с отчетов по правилам:

Порядок оформления запроса о помощи

Ссылка на комментарий
Поделиться на другие сайты
regist

regist

Опубликовано
Опубликовано (изменено)

Ammy Admin и 3proxy как понимаю ваше?

 

 


После загрузки, хватает буквально минут 10-30, после чего снова плодятся файлы.

скорее всего лезет по сети. Для теста можете временно отключить одну из машин от сети и посмотреть вернутся ли вирусы или нет. А для решения проблемы

1) Поставить пароли на доступ к сетевым папкам и пересмотреть список рассшаренных папок. Сейчас у вас на сервере общий доступ к папкам

H:\Drivers	  
E:\Install	  
E:\Install2	  
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center\Share	  
G:\Папка Обмена	  
H:\Переписка	  
E:\
G:\
H:\
C:\
C:\Windows

а также на всех маших в сети стоит касперский и актуальные базы? Скорее всего с какой-то машины, которую вы не пролечиваете эта зараза лезет повторно. Ищите её.

 

+  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты
bvr76@mail.ru

bvr76@mail.ru

Опубликовано
  • Автор
Опубликовано

Спасибо! Действительно, источник заразы обнаружен на ином компе, на нем даже простейшего антивируса не было. Заразу узнал по характерным процессам в диспетчере задач. Зараженный комп пролечен, атака закончилась. Возможно после выходных начнется снова, когда включатся прочие станции. 

Закрою лишние сетевые папки. С Вашего позволения, отложим прочие процедуры до понедельника, возможно они даже и не потребуются.

Ссылка на комментарий
Поделиться на другие сайты
regist

regist

Опубликовано
Опубликовано

 

 


С Вашего позволения, отложим прочие процедуры до понедельника
Для другого компьютера надо будет создать отдельную тему. А здесь чисто.

 

+ Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Вадим_АнтиВирус
      Помощь в удаленнии вируса
      Автор Вадим_АнтиВирус
      Здравствуйте.
      Вчера я скачал программу, под названием FataHook.exe
      Я ее запустил, вроде все замечательно работало. Потом в неожиданный момент пишу в браузере Microsoft Edge: Что делать, если вирус на компьютере?
      Проходит секунд 5-6 и вирус сразу закрывает браузер.
      Папка hosts отсутствует из за ее блокировки вирусом.
      Не могу запустить ни один антивирус под любым названием (даже с измененным).
      Если перейду в параметры, то там вообще отсутствует кнопка безопасности Windows.
      Если в поиске написать: Защита от вирусов и угроз, то выдает ошибку: Вам понадобится новое приложение, чтобы открыть эту ссылку windowsdefender.
       
      Помогите пожалуйста удалить данный вирус!!!
    • Alexey82
      [РЕШЕНО] Прошу помощи с удалением Trojan:Win32/Kepavll!rfn
      Автор Alexey82
      Добрый день.
      Прошу помощи в удалении Trojan:Win32/Kepavll!rfn.
       
      Сработал стандартный Защитник Windows (Windows 10) Microsoft Defender.
      В папке ProgramData появилось много папок с названиями всех известных антивирусов, при попытке открыть страницы в браузере с упоминанием о удалении троянов - браузер закрывается.
      Прогнал CureIt, нашел угрозы, удалил не всё, лог приложил.
      Объясню сразу момент - приложение GPP Remote Service установлено мной лично для доступа к домашнему ноуту.
      Собственно все началось после того, как захотел ознакомиться с игрой Wizardum, как ни странно скачивал торрент отсюда (h__s://bуrutgаmе.оrg/41154-wizоrdum.htmI), в момент запуска установщика, на него выругался Microsoft Defender.
       
      Прошу помощи с удалением.
       
      Заранее спасибо откликнувшимся специалистам.
      CollectionLog-2025.06.27-06.20.zip cureit.rar
    • Helsing13
      Прошу помощи с расшифровкой Trojan.Encoder.31074
      Автор Helsing13
      Добрый день! В результате атаки была зашифрована система. Все файлы стали с расширением lpdVIpAg7.
      После перезагрузки система работает но не все программы запускаются.
      Во вложении: письмо требование, пример зашифрованных файлов, отчеты о работе FRST, и несколько подозрительных исполняемых файлов.
       
      Пароль на оба архива: 1234
       
      virus.zip lpdVIpAg7.README.txt Addition.txt FRST.txt files.zip
    • Durb
      [РЕШЕНО] Нужна помощь в удалении вируса Tool.BtcMine.2812
      Автор Durb
      Никак не могу удалить. Майнер возвращается после перезапуска системы
      CollectionLog-2025.07.18-15.25.zip
    • Роман Суслов
      Прошу помощи в восстановлении данных после шифровальщика KREMLIN
      Автор Роман Суслов
      Добрый день! В результате RDP атаки была зашифрована система. Все файлы стали с расширением KREMLIN.
      После перезагрузки система мертва, т.к. зашифрованы и системные файлы тоже. 
      Нашел некий cryptor.exe на рабочем столе.
      Во вложении: письмо требование, пример зашифрованного файла и его незашифрованная версия, cryptor.exe в архиве (пароль virus).
       
      Письмо требование:
      ID: 3TpvNLVFm8BEBn58soumz8cf2sz2dzWN 
       Need restore files? Contact us in telegram(desktop.telegram.org) - @KremlinRestore
       
       
      README.txt cryptor.zip зашифрованный файл.zip
      Исходный файл для сравнения, не влез в тему.
      исходник.zip
×
×
  • Создать...