ld2frvr Опубликовано 30 сентября, 2018 Опубликовано 30 сентября, 2018 Добрый день. Пару дней назад в локальной сети компании был замечен троян. Присутствует уже на большинстве машин. Определяется антивирусным ПО как Trojan.Emotet, Trojan.Fuerboos и пр. Исполняемые файлы с именем, состоящим из рандомных цифр и букв, сами создаются в каталогах "windows", "windows/temp", "windows/SysWOW64". Также создаются службы. Удаление антивирусом помогает лишь на время, затем файлы снова появляются. Посоветуйте пожалуйста как с этим бороться и что это за вирус. Спасибо! CollectionLog-2018.09.30-20.07.zip
mike 1 Опубликовано 30 сентября, 2018 Опубликовано 30 сентября, 2018 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0); DeleteService('awhoiwrc'); DeleteService('dnydqcct'); DeleteService('utgovffc'); DeleteService('sexolwxp'); DeleteService('yeuqfdid'); DeleteService('xzhdjcmv'); DeleteService('xyragxty'); DeleteService('xkxohiuo'); DeleteService('wuwkiavc'); DeleteService('vekjhnsw'); DeleteService('uyuskldr'); DeleteService('utoybxdl'); DeleteService('usqikawz'); DeleteService('ugbmnnsu'); DeleteService('tndmhmfc'); DeleteService('tkhclgby'); DeleteService('shkiacsr'); DeleteService('sgpfdswn'); DeleteService('qxwitfga'); DeleteService('qucablnt'); DeleteService('oydocjym'); DeleteService('omncvlis'); DeleteService('oguhcugf'); DeleteService('oexssixo'); DeleteService('mxvbtsqe'); DeleteService('mviyzbea'); DeleteService('muiamdoo'); DeleteService('lishtclp'); DeleteService('kvjvyvju'); DeleteService('iormpszj'); DeleteService('ilfiielh'); DeleteService('ifxqybxq'); DeleteService('idsfsdkd'); DeleteService('hwejrdlc'); DeleteService('himfpezx'); DeleteService('hhcnvqlc'); DeleteService('hdhxeimm'); DeleteService('gzfittyc'); DeleteService('eazlvoik'); DeleteService('dyiimhpf'); DeleteService('diqyxqvb'); DeleteService('csqfjnwj'); DeleteService('bywvaiay'); DeleteService('byujupwl'); DeleteService('bnbimapf'); DeleteService('bmwyjjiv'); DeleteService('bidaplpe'); DeleteService('atsigggd'); DeleteService('afbxcunm'); DeleteService('1061731463'); DeleteService('1058311001'); DeleteService('1054818778'); DeleteService('1051068904'); DeleteFile('C:\WINDOWS\16574936.exe','64'); DeleteFile('C:\WINDOWS\19917272.exe','64'); DeleteFile('C:\WINDOWS\19261912.exe','64'); DeleteFile('C:\WINDOWS\23587288.exe','64'); ExecuteWizard('TSW',2,3,true); ExecuteSysClean; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. Пофиксите следующие строчки в HiJackThis 04 HKLM\..\RunOnce: [{C685B743-EC1C-41AC-8313-E935A7E78DAD}] = C:\WINDOWS\system32\cmd.exe /C start /D "C:\Users\skurko\AppData\Local\Temp" /B {C685B743-EC1C-41AC-8313-E935A7E78DAD}.cmd Сделайте новые логи Автологгером.
ld2frvr Опубликовано 30 сентября, 2018 Автор Опубликовано 30 сентября, 2018 Скрипт в AVZ выполнил. Данной строчки после сканирования в HiJackThis не было. CollectionLog-2018.09.30-21.39.zip
ld2frvr Опубликовано 1 октября, 2018 Автор Опубликовано 1 октября, 2018 Что нибудь еще необходимо? Очень нужна помощь.
mike 1 Опубликовано 1 октября, 2018 Опубликовано 1 октября, 2018 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
ld2frvr Опубликовано 2 октября, 2018 Автор Опубликовано 2 октября, 2018 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. все выполнил: FRST.txt Addition.txt
mike 1 Опубликовано 2 октября, 2018 Опубликовано 2 октября, 2018 На всех рабочих станциях установлен корпоративный антивирус? На этой рабочей станции не вижу антивируса. Windows Defender не в счет.
ld2frvr Опубликовано 2 октября, 2018 Автор Опубликовано 2 октября, 2018 (изменено) Почти везде nod32. Изменено 2 октября, 2018 пользователем ld2frvr
mike 1 Опубликовано 3 октября, 2018 Опубликовано 3 октября, 2018 Проверьте все рабочие станции на наличие установленного агента и антивируса. Через консоль Eset Remote Administrator запустите полное сканирование на всех ПК в локальной сети. Убедитесь, что на всех ПК установлены актуальные обновления безопасности Windows.
ld2frvr Опубликовано 3 октября, 2018 Автор Опубликовано 3 октября, 2018 А подскажите что это за вирус, и как он распространяется по сети. Возможно надо какие-то порты закрыть?
mike 1 Опубликовано 4 октября, 2018 Опубликовано 4 октября, 2018 А подскажите что это за вирус, и как он распространяется по сети. Возможно надо какие-то порты закрыть? Смотрите https://www.anti-malware.ru/news/2017-07-24/23511. Скорее всего обновления не стоят на каких-то ПК вот и гуляет по сети. Возможно гуляет по сети благодаря эксплойту EternalBlue. Я уже собственно написал что необходимо сделать Проверьте все рабочие станции на наличие установленного агента и антивируса. Через консоль Eset Remote Administrator запустите полное сканирование на всех ПК в локальной сети. Убедитесь, что на всех ПК установлены актуальные обновления безопасности Windows.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти