Перейти к содержанию
Правила раздела

зараза в сети

0x0x0

Автор 0x0x0
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

0x0x0

0x0x0

Опубликовано
Опубликовано

в сети завелась какая-та  гадость если несколько сeтей соединённые между собой vpn.

уже неделю по сети гуляет вирусня. 

ставлю на чистую windows server  2008 r2 (не какие службы не настраиваю всё по стандарту).

через несколько часов в система инфицирована

ставлю каспера 

на находит 

 

Пользователь:     S02\Администратор (Активный пользователь)
Объект:     C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\G87FKTD6\configCPUX8[1].htm
Результат:     Обнаружено: HEUR:Trojan.Script.Miner.gen
Причина:     Экспертный анализ
Дата выпуска баз:     13.03.2020 1:00:00

 

Хеш:     ff79dbeabd7d2797b186ab7499a4cc6b8a02ccc27307903699353b0e6cb9f69b
 
Пользователь:     S02\Администратор (Активный пользователь)
Объект:     C:\Users\Администратор\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\HVCAARZB\configCPUX8[1].htm
Результат:     Обнаружено: HEUR:Trojan.Script.Miner.gen
Причина:     Экспертный анализ
Дата выпуска баз:     13.03.2020 1:00:00
Хеш:     ff79dbeabd7d2797b186ab7499a4cc6b8a02ccc27307903699353b0e6cb9f69b
 
Пользователь:     S02\Администратор (Активный пользователь)
Объект:     C:\ProgramData\install\sys.exe
Результат:     Обнаружено: HEUR:Trojan-PSW.Win32.Generic
Причина:     Экспертный анализ
Дата выпуска баз:     13.03.2020 1:00:00
Хеш:     222a8bb1b3946ff0569722f2aa2af728238778b877cebbda9f0b10703fc9d09f
 
 
Пользователь:     S02\Администратор (Активный пользователь)
Объект:     C:\ProgramData\WindowsTask\audiodg.exe
Результат:     Обнаружено: UDS:Trojan-Banker.Win32.ClipBanker
Причина:     Облачный анализ
Хеш:     caae2c9a9a5f644efdd1d701c8a45390734dc3224a2df8d110d10d2ba1606b82
 

 

 

так же  на некоторых пк появляется пользователь johan

+ на фаервое замети исходящий трафик с пк по 3333 порту

 

как выяснить откуда ноги растут ?

SQ

SQ

Опубликовано
Опубликовано

Сами устанавливали следующиее ограничение?
 

O7 - Taskbar policy: HKU\.DEFAULT\..\Policies\Explorer: [DisallowRun] = 1

Вы установили все критические обновления? Большенство вирусни используют уязвимости, для проникновения и инфицирования системы, часто проникают из-за уязвимости SMB

0x0x0

0x0x0

Опубликовано
  • Автор
Опубликовано

Сами устанавливали следующиее ограничение?

 

O7 - Taskbar policy: HKU\.DEFAULT\..\Policies\Explorer: [DisallowRun] = 1

Вы установили все критические обновления? Большенство вирусни используют уязвимости, для проникновения и инфицирования системы, часто проникают из-за уязвимости SMB

 

 

нет система чистая установленна несколько дней назад 

единственное что я сделал это поставил sql и 1с и после того как заметил гадость на всех пк поставил каспера

SQ

SQ

Опубликовано
Опубликовано

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O7 - Taskbar policy: HKU\.DEFAULT\..\Policies\Explorer: [DisallowRun] = 1

 

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KolanK
      Вирус Robotdemo
      Автор KolanK
      На пк сидит майнер Robotdemo. Антивирусы его не находят, только через Advance system care получается его снести на некоторое время. Спустя несколько дней (бывает даже раньше) он появляется снова.  В папке ProgramData он тоже не отображается.


      CollectionLog-2026.01.13-19.23.zip
    • Beshan
      После kms auto появляется самовосстанавливающаяся папка с trojan (czyuzabpfprl и ztbhbqffszlu)
      Автор Beshan
      Добрый день, пытался активировать виндовс через kms auto, после чего начали появляться самовосстанавливающиеся папки с файлом внутри, которые антивирус бесконечно теперь удаляет. Прикрепляю логи с Farbar Recovery Scan Tool. Спасибо
      Addition.zip FRST.zip
    • bl1nchik2287
      [РЕШЕНО] Вирус после kms-auto
      Автор bl1nchik2287
      Вирус в папке ProgramData, создает папку ztbhbqffszlu. После удаления восстанавливается. Началось после активации офис через KMS Auto. Видел похожую тему, потому прилагаю результаты скана frst64. Пожалуйста, помогите.
      FRST.txt Addition.txt
    • admin123
      Проводник грузит процессор постоянно на 50 %
      Автор admin123
      1. Проверял через Dr.Web cureit - Ничего не найдено, пишет, что чисто
      2. Вчера захожу в диспетчер задач, а тут проводник грузит ЦП на  50 % постоянно, открываю Threads в Proccec Explorer, там какая то dll.
      Ещё заметил одну особенность, при отключение интернета эта нагрузка пропадает, подскажите что делать, винду не хочу переустанавливать.

      CollectionLog-2026.01.12-00.34.zip
    • Two2Face
      [РЕШЕНО] Подозрительный проводник в диспетчере задач и возможно нагруженная память
      Автор Two2Face
      Добрый день. Сегодня залез в диспетчер задач, а там я заметил, что один из процессоров нагружает 18% ЦП. Это - 'Проводник'. После я решил посмотреть в программе Process Explorer, там наш проводник уже высвечивается, как - 'explorer.exe', без иконки (внизу бегают разные explorer.exe, которые высвечиваются с иконками в виде жёлтой папки, как в диспетчере задач, а этот без иконки и под 18%, но возможно здесь я чего-то не понимаю). Ещё память нагружена под 29, но у меня открыт гугл (много вкладок), Дискорд, ВПН и протокол, поэтому не могу быть полностью уверен в том, что в этом пункте тоже вирус (не знаю, нужно ли это здесь, но 5090 и 9950x3d). Кстати, когда я пытаюсь завершить проводник в диспетчере задач, то у меня комп постоянно уходит в перезагрузку (хотел закрыть процесс, что бы потом запустить новую задачу, вдруг завис). 


      CollectionLog-2026.01.11-07.51.zip
×
×
  • Создать...