Прошу помощи по удалению вируса Worm.Win32.AutoRun.iea

[bvr76@mail.ru]

Здравствуйте! Прошу Вашей помощи.

Третий день бьюсь с с этим червяком с именем Worm.Win32.AutoRun.ieaкак его обзывает KES . Всего отчет показывает наличие в сети 3 - х компов, пораженных вирусом.

Имея полный физический доступ к одному из них, пробовал традиционные способы:

1. полное сканирование

2. Загрузка с Kaspesky Rescue Disk и сканирование с диска

 

В обоих методах отыскиваются и уничтожаются тысячи следов вируса, файлы с расширениями: bat, exe, scr, pif. 

 

После загрузки, хватает буквально минут 10-30, после чего снова плодятся файлы.

 

Что еще могу сказать. Система - Windows Server 2008 R2, обновления и патчи системы все установлены. Сервер достался в наследство вместе с вирусами.

Сразу прикладываю отчеты сканирования FRST64.

 

Пожалуйста, помогите. 

FRST.txt

Shortcut.txt

Addition.txt

[Sandor]

Здравствуйте!

 

Сразу прикладываю отчеты сканирования FRST64

Начните с отчетов по правилам:

Порядок оформления запроса о помощи

[bvr76@mail.ru]

Спасибо! Я совсем упустил это из виду. Конечно, сейчас этим и займусь.

[bvr76@mail.ru]

Собрал логи с помощью AutoLogger

CollectionLog-2018.05.05-10.48.zip

Изменено 5 мая, 2018 пользователем bvr76@mail.ru

[regist]

Логи сделаны в терминальной сессии, сделайте их из консоли.
 

[bvr76@mail.ru]

Первый раз обращаюсь, простите. Вот логи, собранные с консоли.

CollectionLog-2018.05.05-15.24.zip

[regist]

Ammy Admin и 3proxy как понимаю ваше?

 

 

После загрузки, хватает буквально минут 10-30, после чего снова плодятся файлы.

скорее всего лезет по сети. Для теста можете временно отключить одну из машин от сети и посмотреть вернутся ли вирусы или нет. А для решения проблемы

1) Поставить пароли на доступ к сетевым папкам и пересмотреть список рассшаренных папок. Сейчас у вас на сервере общий доступ к папкам

H:\Drivers	  
E:\Install	  
E:\Install2	  
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center\Share	  
G:\Папка Обмена	  
H:\Переписка	  
E:\
G:\
H:\
C:\
C:\Windows

а также на всех маших в сети стоит касперский и актуальные базы? Скорее всего с какой-то машины, которую вы не пролечиваете эта зараза лезет повторно. Ищите её.

 

+  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

Изменено 5 мая, 2018 пользователем regist

[bvr76@mail.ru]

Спасибо! Действительно, источник заразы обнаружен на ином компе, на нем даже простейшего антивируса не было. Заразу узнал по характерным процессам в диспетчере задач. Зараженный комп пролечен, атака закончилась. Возможно после выходных начнется снова, когда включатся прочие станции. 

Закрою лишние сетевые папки. С Вашего позволения, отложим прочие процедуры до понедельника, возможно они даже и не потребуются.

[regist]

 

 

С Вашего позволения, отложим прочие процедуры до понедельника

Для другого компьютера надо будет создать отдельную тему. А здесь чисто.

 

+ Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.