Перейти к содержанию

Не можем удалить MEM:Trojan.Win32.SEPEH.gen из локальной сети


Рекомендуемые сообщения

В нашу локальную сеть пробрались такие приколы как

MEM:Trojan.Win32.EquationDrug.gen
MEM:Trojan.Win32.SEPEH.gen
MEM:Rootkit.Win64.EquationDrug.a

и т.п.

Удаляем через KSC 11 со всех зараженных, но после перезагрузки они возвращаются более озлобленные. 

Помогите решить проблему. Как бороться с этой напастью?

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте.
Порядок оформления запроса о помощи.
Логи прикрепите к следующему сообщению в данной теме.
 

Ссылка на сообщение
Поделиться на другие сайты

В пт 14 мая произошло первое заражение одного компа в локальной сети, сейчас заражено порядка 50 компов такими троянами как:

MEM:Trojan.Win32.SEPEH.gen, 
MEM:Trojan.Win32.EquationDrug.gen
MEM:Rootkit.Win64.EquationDrug.a
 и т.п

Все на винде 7, KSC видит угрозу и вручную все удаляем, но после перезагрузки вирусы снова атакуют.

CollectionLog-2021.05.18-10.30.zip

 

Сообщение от модератора thyrex
Темы объединены

 

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте, установите официальный патч (MS17-010) от Microsoft на всех хостах в локальной сети, который закрывает уязвимость сервера SMB, используемую в этой атаке. Включите автоматическое обновление Windows и других программ, чтобы предотвратить заражение с помощью известных уязвимостей в будущем. 

 

Прямые ссылки на обновления безопасности MS17-010: 

 

Windows XP SP3
Windows XP SP2 for x64
Windows Server 2003 for x86
Windows Server 2003 for x64
Windows Vista x86 Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for x86
Windows Server 2008 for x64
Windows Server 2008 R2 for x64
Windows Server 2008 R2 for Itanium
Windows 7 for 32-bit Service Pack 1
Windows 7 for x64 Service Pack 1
Windows 8.1 for 32-bit
Windows 8.1 for x64
Windows 10 for 32-bit
Windows 10 for x64
Windows 10 Version 1511 for 32-bit
Windows 10 Version 1511 for x64
Windows 10 Version 1607 for 32-bit
Windows 10 Version 1607 for x64

 

 

 

Ссылка на сообщение
Поделиться на другие сайты
18.05.2021 в 11:17, mike 1 сказал:

Здравствуйте, установите официальный патч (MS17-010) от Microsoft на всех хостах в локальной сети, который закрывает уязвимость сервера SMB, используемую в этой атаке. Включите автоматическое обновление Windows и других программ, чтобы предотвратить заражение с помощью известных уязвимостей в будущем. 

 

Прямые ссылки на обновления безопасности MS17-010: 

 

Windows XP SP3
Windows XP SP2 for x64
Windows Server 2003 for x86
Windows Server 2003 for x64
Windows Vista x86 Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for x86
Windows Server 2008 for x64
Windows Server 2008 R2 for x64
Windows Server 2008 R2 for Itanium
Windows 7 for 32-bit Service Pack 1
Windows 7 for x64 Service Pack 1
Windows 8.1 for 32-bit
Windows 8.1 for x64
Windows 10 for 32-bit
Windows 10 for x64
Windows 10 Version 1511 for 32-bit
Windows 10 Version 1511 for x64
Windows 10 Version 1607 for 32-bit
Windows 10 Version 1607 for x64

 

 

 

 

Установили обновления, но проблема не решилась. Все также после перезагрузки появляются угрозы. 

Ссылка на сообщение
Поделиться на другие сайты

На всех хостах обновления стоят? 

 

Примечание: 1 компьютер - 1 отдельная тема.

На оставшихся проблемных хостах:

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, mike 1 сказал:

На всех хостах обновления стоят? 

 

Примечание: 1 компьютер - 1 отдельная тема.

На оставшихся проблемных хостах:

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png

 Выполнили Ваши рекомендации

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
  • загрузите SecurityCheck by glax24  отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме
Ссылка на сообщение
Поделиться на другие сайты
Цитата

Windows 7(6.1.7601) Service Pack 1 (x86) Professional Lang: Russian(0419)
Дата установки обновлений: 2017-05-12 18:47:54

Вы точно патч защитный ставили? 

 

Контроль учётных записей пользователя отключен - включите.

ESET Remote Administrator Agent v.6.1.365.0 - деинсталлируйте.

Kaspersky Endpoint Security для Windows v.11.2.0.2254 Внимание! Скачать обновления - версию можно обновить до версии 11.6. 

 

Обновите:

 

Microsoft Office нажми и работай 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Silverlight v.5.1.50709.0 Внимание! Скачать обновления
Microsoft Office Starter 2010 - русский v.14.0.5128.5002 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 9.20 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
-------------------------------- [ Java ] ---------------------------------
Java 7 Update 25 v.7.0.250 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u291-windows-i586.exe).
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader 9.4.0 - Russian v.9.4.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
Adobe Flash Player 10 ActiveX v.10.0.32.18 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.90.0.4430.212
----------------------------- [ EmailClient ] -----------------------------
Windows Live Mesh v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком. - деинсталлируйте.
Windows Live Mail v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком. - деинсталлируйте.
Почта Windows Live v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком. - деинсталлируйте.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Ivan5
      От Ivan5
      Добрый день!
      одним снежным ноябрьским днем обнаружили, что все файлы в общей папке успешно зашифрованы. файлы не архиважные, но неприятно)
      что этому предшествовало особо неясно
      вот такая картинка показывается (id замазал на всякий случай)
       

      CollectionLog-2022.11.18-16.37.zip
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Помощь в удалении вирусов".
    • XanderUnder
      От XanderUnder
      Здравствуйте, скачал файл, при установке обнаружил троян script/wacatac.h!ml, при сканировании через Win Defender обнаруживается этот троян, Статус: восстановление не завершено. При открытии диспетчера задач нагрузка цп резко пада ет с приблизительно 90-100% до 2-10%, похоже на майнер. При сканировании с помощью Kaspersky VRT угроза не обнаруживается

      CollectionLog-2022.11.19-16.00.zip
    • Ильмир
      От Ильмир
      установил kms office, после этого, что бы очистить систему решил установить Касперский, но получается установленный вирус блокирует его. как теперь удалить этот вирус?
    • dverutin
      От dverutin
      Добрый день!
      Сегодня мой Kaspersky Free 21.3.10.391(j) обнаружил нечто под названием Trojan.Multi.GenAutorunProc.a в системной памяти и предложил лечить. Я выбрал лечение с перезагрузкой компьютера, однако по его завершению Касперский снова обнаружил ту же самую программу. Проблема появилась после обновления браузеров Chrome и Firefox и перехода на сайт https://ccsb.scripps.edu/mgltools/, который почему-то крайне плохо прогружался. Как мне удалить троян?
      CollectionLog-2022.11.17-17.48.zip
    • alextototo12
      От alextototo12
      Здравствуйте! После скачивания не желательного ПО (трейнер для игры) из не проверенного источника в браузере Opera, Microsoft Defender сразу заблокировал файлы, как только они загрузились, появилось сообщение об обнаружении угроз трояна Wacatac.B!ml (критический уровень) и Dealply!mclg (высокий уровень).  Вирусы были помещены в карантин, а через некоторое время появилось сообщение "Сбой карантина - Эта угроза или приложение могут быть исправлены НЕ полностью". С помощью AutoLogger просканировал систему и подготовил логи. Рассчитываю на вашу помощь в удаление вирусов.


      CollectionLog-2022.11.07-19.34.zip
×
×
  • Создать...