Перейти к содержанию

Рекомендуемые сообщения

В нашу локальную сеть пробрались такие приколы как

MEM:Trojan.Win32.EquationDrug.gen
MEM:Trojan.Win32.SEPEH.gen
MEM:Rootkit.Win64.EquationDrug.a

и т.п.

Удаляем через KSC 11 со всех зараженных, но после перезагрузки они возвращаются более озлобленные. 

Помогите решить проблему. Как бороться с этой напастью?

Ссылка на сообщение
Поделиться на другие сайты

В пт 14 мая произошло первое заражение одного компа в локальной сети, сейчас заражено порядка 50 компов такими троянами как:

MEM:Trojan.Win32.SEPEH.gen, 
MEM:Trojan.Win32.EquationDrug.gen
MEM:Rootkit.Win64.EquationDrug.a
 и т.п

Все на винде 7, KSC видит угрозу и вручную все удаляем, но после перезагрузки вирусы снова атакуют.

CollectionLog-2021.05.18-10.30.zip

 

Сообщение от модератора thyrex
Темы объединены

 

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте, установите официальный патч (MS17-010) от Microsoft на всех хостах в локальной сети, который закрывает уязвимость сервера SMB, используемую в этой атаке. Включите автоматическое обновление Windows и других программ, чтобы предотвратить заражение с помощью известных уязвимостей в будущем. 

 

Прямые ссылки на обновления безопасности MS17-010: 

 

Windows XP SP3
Windows XP SP2 for x64
Windows Server 2003 for x86
Windows Server 2003 for x64
Windows Vista x86 Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for x86
Windows Server 2008 for x64
Windows Server 2008 R2 for x64
Windows Server 2008 R2 for Itanium
Windows 7 for 32-bit Service Pack 1
Windows 7 for x64 Service Pack 1
Windows 8.1 for 32-bit
Windows 8.1 for x64
Windows 10 for 32-bit
Windows 10 for x64
Windows 10 Version 1511 for 32-bit
Windows 10 Version 1511 for x64
Windows 10 Version 1607 for 32-bit
Windows 10 Version 1607 for x64

 

 

 

Ссылка на сообщение
Поделиться на другие сайты
18.05.2021 в 11:17, mike 1 сказал:

Здравствуйте, установите официальный патч (MS17-010) от Microsoft на всех хостах в локальной сети, который закрывает уязвимость сервера SMB, используемую в этой атаке. Включите автоматическое обновление Windows и других программ, чтобы предотвратить заражение с помощью известных уязвимостей в будущем. 

 

Прямые ссылки на обновления безопасности MS17-010: 

 

Windows XP SP3
Windows XP SP2 for x64
Windows Server 2003 for x86
Windows Server 2003 for x64
Windows Vista x86 Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for x86
Windows Server 2008 for x64
Windows Server 2008 R2 for x64
Windows Server 2008 R2 for Itanium
Windows 7 for 32-bit Service Pack 1
Windows 7 for x64 Service Pack 1
Windows 8.1 for 32-bit
Windows 8.1 for x64
Windows 10 for 32-bit
Windows 10 for x64
Windows 10 Version 1511 for 32-bit
Windows 10 Version 1511 for x64
Windows 10 Version 1607 for 32-bit
Windows 10 Version 1607 for x64

 

 

 

 

Установили обновления, но проблема не решилась. Все также после перезагрузки появляются угрозы. 

Ссылка на сообщение
Поделиться на другие сайты

На всех хостах обновления стоят? 

 

Примечание: 1 компьютер - 1 отдельная тема.

На оставшихся проблемных хостах:

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, mike 1 сказал:

На всех хостах обновления стоят? 

 

Примечание: 1 компьютер - 1 отдельная тема.

На оставшихся проблемных хостах:

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png

 Выполнили Ваши рекомендации

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
  • загрузите SecurityCheck by glax24  отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме
Ссылка на сообщение
Поделиться на другие сайты
Цитата

Windows 7(6.1.7601) Service Pack 1 (x86) Professional Lang: Russian(0419)
Дата установки обновлений: 2017-05-12 18:47:54

Вы точно патч защитный ставили? 

 

Контроль учётных записей пользователя отключен - включите.

ESET Remote Administrator Agent v.6.1.365.0 - деинсталлируйте.

Kaspersky Endpoint Security для Windows v.11.2.0.2254 Внимание! Скачать обновления - версию можно обновить до версии 11.6. 

 

Обновите:

 

Microsoft Office нажми и работай 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Silverlight v.5.1.50709.0 Внимание! Скачать обновления
Microsoft Office Starter 2010 - русский v.14.0.5128.5002 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 9.20 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
-------------------------------- [ Java ] ---------------------------------
Java 7 Update 25 v.7.0.250 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u291-windows-i586.exe).
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader 9.4.0 - Russian v.9.4.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
Adobe Flash Player 10 ActiveX v.10.0.32.18 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.90.0.4430.212
----------------------------- [ EmailClient ] -----------------------------
Windows Live Mesh v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком. - деинсталлируйте.
Windows Live Mail v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком. - деинсталлируйте.
Почта Windows Live v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком. - деинсталлируйте.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Nana24
      Внезапно комп начал тормозить при включении, вплоть до полного зависания.
      Накануне не было ничего скачано или установлено. Все антивирусы ничего не показывают, доктор Вэб, Авира и т. д. Диспетчер демонстрирует аномальное количество процессов.
      Логи ниже. Буду очень рада помощи!
      CollectionLog-2021.10.18-19.00.zip
    • От Максим Павельев
      Добрый день.
      KES 11.1.1.126
      KSC 11
       
      на все библиотеки Miranda ругается, при запуске батника. У других 68 пользователей такого нет(Соответственно базы у всех одинаковые), что можно сделать?
      естественно ничего вредоносного нет
       
       
       

    • От Sophinator
      Добрый день!
       
      Заметила, что стал тупить ноутбук (MSI GF63), хотя раньше за ним такого не замечала никогда. Зависает, когда переношу файлы в проводнике, при пользовании Хромом и Microsoft Edge (я в нём PDF-файлы просматриваю). И меня заблокировали в некоторых социальных сетях, в которые я заходила через браузер. Решила проверить на вирусы, Microsoft Defender выявил 2 угрозы (вложения 1, 2). Торрент - оно понятно, телеграм раньше тоже считала, что ругается просто на приложение стороннее, но загуглила про Uwasson, отправила лечиться и удаляться. Телеграм вроде как работает.
      Скачала dr.web.cureit, прогнала им, ничего не нашёл вроде (файл под названием cureit.log во вложениях). Полезла в интернет, нашла этот форум, скачала malwarebytes, ещё и им прогнала (отчёт в файле .txt под названием virus). Нашёл ещё заражённый файл, но в интернете я ничего толкового понять не смогла, а расположение пугает.
       
      Логи собрала, файл также во вложениях.
       
      Буду рада помощи, а ещё больше буду рада, если мне скажут, что это всё ок и я паникёрша.
       
      Спасибо!
       


      CollectionLog-2021.10.01-09.11.zip virus.txt cureit.log
    • От Yaroslav123
      После скачивания приложения в папке Temp появились файлы типа:g6E7B.tmp.exe,g898a.tmp.exe и т.д;Заметил их с помощью AnVir Task Manager, ведь когда я открывал диспетчер он сразу же прячется.CollectionLog-2021.09.20-20.27.zip

    • От denis146888
      Недавно на ноутбуке обнаружил Майнер, через Касперский удалить не получается, вылезает после каждой перезагрузки. Логи прикрепил.
      CollectionLog-2021.09.10-00.32.zip
×
×
  • Создать...