Вирус создаёт службы с цифрами вместо названия

[Vitaly Fischer]

Всем привет.

 

Сначала расскажу про сам вирус. Он создаёт службы в Windows, которве запускаются один раз, что-то делают и после чего останавливаются и больше не запускаются. В названии служб всегда цифры. Сами файлы служб лежат в папках C:\ либо C:\Windows либо C:\Windows\System32.

 

Что конкретно он делает мне не совсем ясно, но из того что я заметил на серваках и на клиентских компах это:

 

1. Firefox сам по себе открывается, показывает текст какого-то скрипта и снова сам закрывается. 

2. Похоже вирус также ворует адресныю книгу аутлука. Многие клиенты стали получать СПАМ якобы от нас. Т.е. приходит пьсмо и там написано от Виталия Фишера (т.е. от меня), но сам адрес почты не мой, а какой-то левый и постоянно разный.

3. Windows Firewall постоянно деактивирован. Можно включить вручную, но после рестарта системы он снова отключен.

4. Служба Windows Update деактивирована. Можно её вручную запустить, но Update всё равно не работает. Показывает ошибку, что служба деактивирована, хотя это не так. Решается проблема путём запуска утилиты от Microsoft, диагностика неполадок Windows Update. Это нужно делать вручную на всех компах в локальной сети один раз. После рестарта системы Windows Update работает как надо.

 

При открытии папки Windows или той папки, где лежит файл вируса, антивирус его находит тутже и удаляет. Запускал проверку диска C:\ - Антивир также всё это добро находит и удаляет, но через пару часов/дней на всех компах снова появляются непонятные службы с цифрами в названии и снова приходится включать Firewall вручную. Пробывал разные антивирусы, но всегда всё одно и тоже. Вирус удалёт, но через пару часов/дней непонятные службы снова тут как тут.

 

Про сам Вирус мало что извесно.

1.  Computer: Название компа

        Date: 2018-06-04

        Time: 10:21:41

 Threat name: http://24.217.117.217/

    Category: Malware

         URL:

      Status:

 

 

Проверил, всё что запускается вместе с ситемой, но ни чего так и не нашёл.

 

Прикрепляю сюда скрины самой службы и скрин списка всего того, что запускается на одном из серваков. Может, кто что и увидет, или знает, как с этим добром бороться.

 

На скринах всё на немецком. Не удивляемся. Я просто из Германии. Но там и так думаю всё понятно будет.

 

Скриншоты:

 

 

 

 

 

 

 

 

 

 

 

 

[thyrex]

Порядок оформления запроса о помощи

[Vitaly Fischer]

Читал я порядок оформления. Запуск Kaspersky Virus Removal Tool пока не имеет смысла, т.к. на тех компах, куда у меня удалённо есть дуступ (клиент находится в 6 км от меня и туда ехать надо) вируса пока не видать. Я там всё вручную поудалял и нужно ждать пока появятся. Запустить AutoLogger я тоже не могу, т.к. эти сервера (AD-DC, Exchange Server, Hyper-V Host) нельзя днём перезагружать. Т.к. народ не сможет работать без них. Только ночью я могу это сделать и то желательно находиться при этом там, а не удалённо. Т.к. один из серваков может перезапуститься с синей смертью.

 

Я был бы рад пока услышать тех кто встречал нечто подобное и рассказал бы как он от этого избавился.

 

Заранее спс.

[Soft]

@Vitaly Fischer, "Порядок оформления запроса о помощи" без этой процедуры вам здесь не помогут.

[Vitaly Fischer]

Запустил сейчас KVRT на одном из клиентских компов, на котором долгое время не работал антивирус.

Каспер показал только это

но это я и так знал. Одна из непонятных служб, которую я убиваю вручную.

 

Потом запустил полный скан диска C:\ правда не с помощью каспера а с помощью Авиры. Авира нашла около 200 троянских коней на этом компе.

Прикрепляю сюда Логфайл, в котором Авира записала всё что делала во время сканирования.

gpscan-2018-06-04-15-45-55_scanid-1.log

Изменено 4 июня, 2018 пользователем Vitaly Fischer

[regist]

@Vitaly Fischer, если хотите, чтобы вам помогли, то выполняйте правила, а не то что вам хочется.