Перейти к содержанию
Правила раздела

Не можем удалить MEM:Trojan.Win32.SEPEH.gen из локальной сети

Муришна

Автор Муришна,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

Муришна

Муришна 0

Опубликовано
Опубликовано

В нашу локальную сеть пробрались такие приколы как

MEM:Trojan.Win32.EquationDrug.gen
MEM:Trojan.Win32.SEPEH.gen
MEM:Rootkit.Win64.EquationDrug.a

и т.п.

Удаляем через KSC 11 со всех зараженных, но после перезагрузки они возвращаются более озлобленные. 

Помогите решить проблему. Как бороться с этой напастью?

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

Здравствуйте.
Порядок оформления запроса о помощи.
Логи прикрепите к следующему сообщению в данной теме.
 

Ссылка на сообщение
Поделиться на другие сайты
Муришна

Муришна 0

Опубликовано
  • Автор
Опубликовано

В пт 14 мая произошло первое заражение одного компа в локальной сети, сейчас заражено порядка 50 компов такими троянами как:

MEM:Trojan.Win32.SEPEH.gen, 
MEM:Trojan.Win32.EquationDrug.gen
MEM:Rootkit.Win64.EquationDrug.a
 и т.п

Все на винде 7, KSC видит угрозу и вручную все удаляем, но после перезагрузки вирусы снова атакуют.

CollectionLog-2021.05.18-10.30.zip

 

Сообщение от модератора thyrex
Темы объединены

 

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано

Здравствуйте, установите официальный патч (MS17-010) от Microsoft на всех хостах в локальной сети, который закрывает уязвимость сервера SMB, используемую в этой атаке. Включите автоматическое обновление Windows и других программ, чтобы предотвратить заражение с помощью известных уязвимостей в будущем. 

 

Прямые ссылки на обновления безопасности MS17-010: 

 

Windows XP SP3
Windows XP SP2 for x64
Windows Server 2003 for x86
Windows Server 2003 for x64
Windows Vista x86 Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for x86
Windows Server 2008 for x64
Windows Server 2008 R2 for x64
Windows Server 2008 R2 for Itanium
Windows 7 for 32-bit Service Pack 1
Windows 7 for x64 Service Pack 1
Windows 8.1 for 32-bit
Windows 8.1 for x64
Windows 10 for 32-bit
Windows 10 for x64
Windows 10 Version 1511 for 32-bit
Windows 10 Version 1511 for x64
Windows 10 Version 1607 for 32-bit
Windows 10 Version 1607 for x64

 

 

 

Ссылка на сообщение
Поделиться на другие сайты
Муришна

Муришна 0

Опубликовано
  • Автор
Опубликовано
18.05.2021 в 11:17, mike 1 сказал:

Здравствуйте, установите официальный патч (MS17-010) от Microsoft на всех хостах в локальной сети, который закрывает уязвимость сервера SMB, используемую в этой атаке. Включите автоматическое обновление Windows и других программ, чтобы предотвратить заражение с помощью известных уязвимостей в будущем. 

 

Прямые ссылки на обновления безопасности MS17-010: 

 

Windows XP SP3
Windows XP SP2 for x64
Windows Server 2003 for x86
Windows Server 2003 for x64
Windows Vista x86 Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for x86
Windows Server 2008 for x64
Windows Server 2008 R2 for x64
Windows Server 2008 R2 for Itanium
Windows 7 for 32-bit Service Pack 1
Windows 7 for x64 Service Pack 1
Windows 8.1 for 32-bit
Windows 8.1 for x64
Windows 10 for 32-bit
Windows 10 for x64
Windows 10 Version 1511 for 32-bit
Windows 10 Version 1511 for x64
Windows 10 Version 1607 for 32-bit
Windows 10 Version 1607 for x64

 

 

 

 

Установили обновления, но проблема не решилась. Все также после перезагрузки появляются угрозы. 

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано

На всех хостах обновления стоят? 

 

Примечание: 1 компьютер - 1 отдельная тема.

На оставшихся проблемных хостах:

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png

Ссылка на сообщение
Поделиться на другие сайты
Муришна

Муришна 0

Опубликовано
  • Автор
Опубликовано
1 час назад, mike 1 сказал:

На всех хостах обновления стоят? 

 

Примечание: 1 компьютер - 1 отдельная тема.

На оставшихся проблемных хостах:

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png

 Выполнили Ваши рекомендации

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано
  • загрузите SecurityCheck by glax24  отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано
Цитата

Windows 7(6.1.7601) Service Pack 1 (x86) Professional Lang: Russian(0419)
Дата установки обновлений: 2017-05-12 18:47:54

Вы точно патч защитный ставили? 

 

Контроль учётных записей пользователя отключен - включите.

ESET Remote Administrator Agent v.6.1.365.0 - деинсталлируйте.

Kaspersky Endpoint Security для Windows v.11.2.0.2254 Внимание! Скачать обновления - версию можно обновить до версии 11.6. 

 

Обновите:

 

Microsoft Office нажми и работай 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Silverlight v.5.1.50709.0 Внимание! Скачать обновления
Microsoft Office Starter 2010 - русский v.14.0.5128.5002 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 9.20 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
-------------------------------- [ Java ] ---------------------------------
Java 7 Update 25 v.7.0.250 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u291-windows-i586.exe).
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader 9.4.0 - Russian v.9.4.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
Adobe Flash Player 10 ActiveX v.10.0.32.18 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.90.0.4430.212
----------------------------- [ EmailClient ] -----------------------------
Windows Live Mesh v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком. - деинсталлируйте.
Windows Live Mail v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком. - деинсталлируйте.
Почта Windows Live v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком. - деинсталлируйте.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • ApploDi
      Проблема HEUR: Trojan.Win64.Miner.gen Как вылечить?
      От ApploDi
      Здравствуйте, Касперский обнаружил троян, который не может вылечить, по такому пути C:\ProgramData\MoviGenius-463f7f01-be9f-4alb-ald3-094336fc5947\MoviGenius.exe
      Удаляет, но с каждой перезагрузкой снова его обнаруживает
      CollectionLog-2024.04.19-16.32.zip
    • Roman9876
      kasperky обнаружил Trojan.Win64.Agent.qwjsmv
      От Roman9876
      Скачал пиратский PowerPoint (не проверив сайт, торопился).
      После этого некоторые приложения перестали отрываться, говоря, что у меня нет прав Администратора. 

      Лечил с перезагрузкой уже несколько раз, не уходит.
       
       
      CollectionLog-2024.04.11-12.35.zip
    • EvgeniyF
      [РЕШЕНО] Антивирусное ПО не может удалить троян Trojan.Win32.Yephiler
      От EvgeniyF
      Добрый день.
      Антивирусное ПО Касперский  Анти-вирус не может удалить троян Trojan.Win32.Yephiler
      После лечения происходит перезагрузка и сообщение о трояне появляется снова.
      Вторым сообщением попытаюсь приложить файл логов AVZ
      CollectionLog-2024.04.09-15.14.zip
    • Артëм
      Проблема с антивирусом
      От Артëм
      В исключениях антивируса добааляются папки, и расширения, которые после удаления появляются снова. Сканирование не даëт результатов. Через реестр просто нет той папки где со слов "интернета" Они должны быть. Что делать ума не приложу(
    • mmaazzik
      [РЕШЕНО] помощь в удалении вируса, который не хочет удаляться
      От mmaazzik
      здравствуйте. не знаю как приложить логи DRWeb и KVRT. приложу скрин проверки. все проверки делаю с включенной программой AnVir. так же несколько скринов из нее, + логи Автологера 



      CollectionLog-2024.04.09-12.40.zip
×
×
  • Создать...