Самораспространяющийся троян

[ld2frvr]

Добрый день. Пару дней назад в локальной сети компании был замечен троян. Присутствует уже на большинстве машин. Определяется антивирусным ПО как Trojan.Emotet, Trojan.Fuerboos и пр. Исполняемые файлы с именем, состоящим из рандомных цифр и букв, сами создаются в каталогах "windows", "windows/temp", "windows/SysWOW64". Также создаются службы.

Удаление антивирусом помогает лишь на время, затем файлы снова появляются.

Посоветуйте пожалуйста как с этим бороться и что это за вирус. 

Спасибо!

CollectionLog-2018.09.30-20.07.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);

 DeleteService('awhoiwrc');

 DeleteService('dnydqcct');

 DeleteService('utgovffc');

 DeleteService('sexolwxp');

 DeleteService('yeuqfdid');

 DeleteService('xzhdjcmv');

 DeleteService('xyragxty');

 DeleteService('xkxohiuo');

 DeleteService('wuwkiavc');

 DeleteService('vekjhnsw');

 DeleteService('uyuskldr');

 DeleteService('utoybxdl');

 DeleteService('usqikawz');

 DeleteService('ugbmnnsu');

 DeleteService('tndmhmfc');

 DeleteService('tkhclgby');

 DeleteService('shkiacsr');

 DeleteService('sgpfdswn');

 DeleteService('qxwitfga');

 DeleteService('qucablnt');

 DeleteService('oydocjym');

 DeleteService('omncvlis');

 DeleteService('oguhcugf');

 DeleteService('oexssixo');

 DeleteService('mxvbtsqe');

 DeleteService('mviyzbea');

 DeleteService('muiamdoo');

 DeleteService('lishtclp');

 DeleteService('kvjvyvju');

 DeleteService('iormpszj');

 DeleteService('ilfiielh');

 DeleteService('ifxqybxq');

 DeleteService('idsfsdkd');

 DeleteService('hwejrdlc');

 DeleteService('himfpezx');

 DeleteService('hhcnvqlc');

 DeleteService('hdhxeimm');

 DeleteService('gzfittyc');

 DeleteService('eazlvoik');

 DeleteService('dyiimhpf');

 DeleteService('diqyxqvb');

 DeleteService('csqfjnwj');

 DeleteService('bywvaiay');

 DeleteService('byujupwl');

 DeleteService('bnbimapf');

 DeleteService('bmwyjjiv');

 DeleteService('bidaplpe');

 DeleteService('atsigggd');

 DeleteService('afbxcunm');

 DeleteService('1061731463');

 DeleteService('1058311001');

 DeleteService('1054818778');

 DeleteService('1051068904');

 DeleteFile('C:\WINDOWS\16574936.exe','64');

 DeleteFile('C:\WINDOWS\19917272.exe','64');

 DeleteFile('C:\WINDOWS\19261912.exe','64');

 DeleteFile('C:\WINDOWS\23587288.exe','64');

ExecuteWizard('TSW',2,3,true);

ExecuteSysClean;

RebootWindows(true);

end.

 

Внимание! Будет выполнена перезагрузка компьютера. 

 

Пофиксите следующие строчки в HiJackThis

 

04 HKLM\..\RunOnce: [{C685B743-EC1C-41AC-8313-E935A7E78DAD}] = C:\WINDOWS\system32\cmd.exe /C start /D "C:\Users\skurko\AppData\Local\Temp" /B {C685B743-EC1C-41AC-8313-E935A7E78DAD}.cmd

 

Сделайте новые логи Автологгером. 

 

[ld2frvr]

Скрипт в AVZ выполнил.

Данной строчки после сканирования в HiJackThis не было.

 

CollectionLog-2018.09.30-21.39.zip

[ld2frvr]

Что нибудь еще необходимо? Очень нужна помощь.

[mike 1]

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[ld2frvr]

 

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

• Нажмите кнопку Scan.

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

все выполнил:

FRST.txt

Addition.txt

[mike 1]

На всех рабочих станциях установлен корпоративный антивирус? На этой рабочей станции не вижу антивируса. Windows Defender не в счет. 

[ld2frvr]

Почти везде nod32.

Изменено 2 октября, 2018 пользователем ld2frvr

[mike 1]

Проверьте все рабочие станции на наличие установленного агента и антивируса. Через консоль Eset Remote Administrator запустите полное сканирование на всех ПК в локальной сети. Убедитесь, что на всех ПК установлены актуальные обновления безопасности Windows. 

[ld2frvr]

А подскажите что это за вирус, и как он распространяется по сети. Возможно надо какие-то порты закрыть?

[mike 1]

А подскажите что это за вирус, и как он распространяется по сети. Возможно надо какие-то порты закрыть?

Смотрите https://www.anti-malware.ru/news/2017-07-24/23511. Скорее всего обновления не стоят на каких-то ПК вот и гуляет по сети. Возможно гуляет по сети благодаря эксплойту EternalBlue. Я уже собственно написал что необходимо сделать

 

Проверьте все рабочие станции на наличие установленного агента и антивируса. Через консоль Eset Remote Administrator запустите полное сканирование на всех ПК в локальной сети. Убедитесь, что на всех ПК установлены актуальные обновления безопасности Windows.