Не можем удалить MEM:Trojan.Win32.SEPEH.gen из локальной сети

[Муришна]

В нашу локальную сеть пробрались такие приколы как : 

MEM:Trojan.Win32.EquationDrug.gen

MEM:Trojan.Win32.SEPEH.gen

MEM:Rootkit.Win64.EquationDrug.a

и т.п.

Удаляем через KSC 11 со всех зараженных, но после перезагрузки они возвращаются более озлобленные. 

Помогите решить проблему. Как бороться с этой напастью?

[thyrex]

Здравствуйте.
Порядок оформления запроса о помощи.
Логи прикрепите к следующему сообщению в данной теме.
 

[Муришна]

В пт 14 мая произошло первое заражение одного компа в локальной сети, сейчас заражено порядка 50 компов такими троянами как:

MEM:Trojan.Win32.SEPEH.gen,

MEM:Trojan.Win32.EquationDrug.gen MEM:Rootkit.Win64.EquationDrug.a  и т.п

Все на винде 7, KSC видит угрозу и вручную все удаляем, но после перезагрузки вирусы снова атакуют.

CollectionLog-2021.05.18-10.30.zip

 

Сообщение от модератора thyrex

Темы объединены

 

[mike 1]

Здравствуйте, установите официальный патч (MS17-010) от Microsoft на всех хостах в локальной сети, который закрывает уязвимость сервера SMB, используемую в этой атаке. Включите автоматическое обновление Windows и других программ, чтобы предотвратить заражение с помощью известных уязвимостей в будущем. 

 

Прямые ссылки на обновления безопасности MS17-010: 

 

Windows XP SP3
Windows XP SP2 for x64
Windows Server 2003 for x86
Windows Server 2003 for x64
Windows Vista x86 Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for x86
Windows Server 2008 for x64
Windows Server 2008 R2 for x64
Windows Server 2008 R2 for Itanium
Windows 7 for 32-bit Service Pack 1
Windows 7 for x64 Service Pack 1
Windows 8.1 for 32-bit
Windows 8.1 for x64
Windows 10 for 32-bit
Windows 10 for x64
Windows 10 Version 1511 for 32-bit
Windows 10 Version 1511 for x64
Windows 10 Version 1607 for 32-bit
Windows 10 Version 1607 for x64

 

 

 

[Муришна]

18.05.2021 в 11:17, mike 1 сказал:

Здравствуйте, установите официальный патч (MS17-010) от Microsoft на всех хостах в локальной сети, который закрывает уязвимость сервера SMB, используемую в этой атаке. Включите автоматическое обновление Windows и других программ, чтобы предотвратить заражение с помощью известных уязвимостей в будущем. 

 

Прямые ссылки на обновления безопасности MS17-010: 

 

Windows XP SP3
Windows XP SP2 for x64
Windows Server 2003 for x86
Windows Server 2003 for x64
Windows Vista x86 Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for x86
Windows Server 2008 for x64
Windows Server 2008 R2 for x64
Windows Server 2008 R2 for Itanium
Windows 7 for 32-bit Service Pack 1
Windows 7 for x64 Service Pack 1
Windows 8.1 for 32-bit
Windows 8.1 for x64
Windows 10 for 32-bit
Windows 10 for x64
Windows 10 Version 1511 for 32-bit
Windows 10 Version 1511 for x64
Windows 10 Version 1607 for 32-bit
Windows 10 Version 1607 for x64

 

 

 

 

Установили обновления, но проблема не решилась. Все также после перезагрузки появляются угрозы. 

[mike 1]

На всех хостах обновления стоят? 

 

Примечание: 1 компьютер - 1 отдельная тема.

На оставшихся проблемных хостах:

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Муришна]

1 час назад, mike 1 сказал:

На всех хостах обновления стоят? 

 

Примечание: 1 компьютер - 1 отдельная тема.

На оставшихся проблемных хостах:

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 Выполнили Ваши рекомендации

Addition.txt FRST.txt

[mike 1]

• загрузите SecurityCheck by glax24  отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме

[Муришна]

прикрепляю отчет

SecurityCheck.txt

[mike 1]

Цитата

Windows 7(6.1.7601) Service Pack 1 (x86) Professional Lang: Russian(0419)
Дата установки обновлений: 2017-05-12 18:47:54

Вы точно патч защитный ставили? 

 

Контроль учётных записей пользователя отключен - включите.

ESET Remote Administrator Agent v.6.1.365.0 - деинсталлируйте.

Kaspersky Endpoint Security для Windows v.11.2.0.2254 Внимание! Скачать обновления - версию можно обновить до версии 11.6. 

 

Обновите:

 

Microsoft Office нажми и работай 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Silverlight v.5.1.50709.0 Внимание! Скачать обновления
Microsoft Office Starter 2010 - русский v.14.0.5128.5002 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 9.20 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
-------------------------------- [ Java ] ---------------------------------
Java 7 Update 25 v.7.0.250 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u291-windows-i586.exe).
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader 9.4.0 - Russian v.9.4.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
Adobe Flash Player 10 ActiveX v.10.0.32.18 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.90.0.4430.212
----------------------------- [ EmailClient ] -----------------------------
Windows Live Mesh v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком. - деинсталлируйте.
Windows Live Mail v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком. - деинсталлируйте.
Почта Windows Live v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком. - деинсталлируйте.