Сетевой вирус [Trojan-Banker.Win32.Emotet.bfgb, UDS:DangerousObject.Multi.Generic]

Здравствуйте, уже создавал 2 темы, в продолжение моих мучений, создаю очередную. Вкратце суть: кто-то в сетке поймал вирус, он через сетевое окружение расползся по всем машинам, где было включено сетевое обнаружение, создавал .exe файлы в папке c:/windows с разными рандомными названиями, состоящими только из цифр, а так же периодически появлялся .exe файл в папке sysWOW64, который по данным firewall'a ломился на разные айпишники из публичного и приватного диапазонов. Лечение некоторых машин удалось произвести путем отката системы к предыдущим точкам восстановления с отключением интернет-кабеля в процессе загрузки, а так же запретом на сетевое обнаружение в настройках, попутно прописав команду net config server /hidden:yes, чтобы скрыть компьютеры из сетевого окружения других компьютеров в сети. Так вот, большая часть компов успешно поддается такому лечению, однако, есть некоторые машины на которых нет точек восстановления, поэтому вылечить их подобным методом не выйдет. Прилагаю к теме логи Autologgera с компа, который заражен, в папке windows лежат зараженные файлы, в папке syswow64 лежит вирус needjpn.exe, который ломится на разные айпишники. Посмотрите пожалуйста. Готов приложить карантин, только напишите порядок действий. Интересует как лечить подобную проблему на других компах без отката системы и что на компе делает вирус, отправляет ли он какую-то персональную информацию во вне?

Уважаемый(ая) [B]Schatten[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
TerminateProcessByName('c:\windows\syswow64\needjpn.exe');
QuarantineFile('C:\Windows\16377000.exe', '');
QuarantineFile('C:\Windows\18998976.exe', '');
QuarantineFile('C:\Windows\19194792.exe', '');
QuarantineFile('C:\Windows\24766320.exe', '');
QuarantineFile('C:\Windows\25683680.exe', '');
QuarantineFile('C:\Windows\30794256.exe', '');
QuarantineFile('C:\Windows\33678120.exe', '');
QuarantineFile('C:\Windows\33809512.exe', '');
QuarantineFile('C:\Windows\36366048.exe', '');
QuarantineFile('c:\windows\syswow64\needjpn.exe', '');
DeleteFile('C:\Windows\16377000.exe');
DeleteFile('C:\Windows\18998976.exe');
DeleteFile('C:\Windows\19194792.exe');
DeleteFile('C:\Windows\24766320.exe');
DeleteFile('C:\Windows\25683680.exe');
DeleteFile('C:\Windows\30794256.exe');
DeleteFile('C:\Windows\33678120.exe');
DeleteFile('C:\Windows\33809512.exe');
DeleteFile('C:\Windows\36366048.exe');
DeleteFile('c:\windows\syswow64\needjpn.exe', '');
DeleteService('10627692');
DeleteService('1839569639');
DeleteService('1995783');
DeleteService('204336302');
DeleteService('299076645');
DeleteService('299767246');
DeleteService('303244353');
DeleteService('3313828587');
DeleteService('5308979');
DeleteService('625001360');
DeleteService('641356552');
DeleteService('723409162');
DeleteService('726874584');
DeleteService('730707091');
DeleteService('8750766');
DeleteService('needjpn');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].

Приложите этот файл к своему следующему сообщению.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве)

Прикрепляю, карантин так же выслал

[QUOTE]AV: ESET Smart Security 4.2 (Disabled - Out of date) {77DEAFED-8149-104B-25A1-21771CA47CD1}
AS: ESET Smart Security 4.2 (Disabled - Out of date) {CCBF4E09-A773-1FC5-1F11-1A056723366C}
AS: Windows Defender (Enabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}[/QUOTE]Пользуетесь не обновляемой, давно устаревшей версией антивируса.

Система тоже, видимо, ни разу не обновлялась:[QUOTE]Internet Explorer 8.0.7601.17514 [color=red][b]Внимание! [url=http://windows.microsoft.com/ru-ru/internet-explorer/ie-11-worldwide-languages]Скачать обновления[/url][/b][/color]
[color=blue][b]^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^[/b][/color][/QUOTE][QUOTE]------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-013.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3140735 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-026.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3138910 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-027.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3138962 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-027.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3145739 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-039.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3146963 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-040.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3156013 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-055.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3156016 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-055.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3156019 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-055.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3155178 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-056.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3153171 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-061.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3170455 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-087.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3178034 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-097.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3185911 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-106.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3184122 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-116.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3192391 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-122.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3197867 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3197867]Скачать обновления[/url][/b][/color]
HotFix KB3205394 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3205394]Скачать обновления[/url][/b][/color]
HotFix KB4012212 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212]Скачать обновления[/url][/b][/color]
HotFix KB4019263 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4019263]Скачать обновления[/url][/b][/color]
HotFix KB4022722 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4022722]Скачать обновления[/url][/b][/color]
HotFix KB4015546 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4015546]Скачать обновления[/url][/b][/color]
HotFix KB4025337 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4025337]Скачать обновления[/url][/b][/color]
HotFix KB4034679 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4034679]Скачать обновления[/url][/b][/color]
HotFix KB4041678 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4041678]Скачать обновления[/url][/b][/color]
HotFix KB4056894 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056894]Скачать обновления[/url][/b][/color]
HotFix KB4056897 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897]Скачать обновления[/url][/b][/color]
HotFix KB4074587 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4074587]Скачать обновления[/url][/b][/color]
HotFix KB4103712 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4103712]Скачать обновления[/url][/b][/color]
HotFix KB4343899 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4343899]Скачать обновления[/url][/b][/color]
HotFix KB4457145 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4457145]Скачать обновления[/url][/b][/color][/QUOTE]Это только критические хотфиксы, включая KB4012212, который закрывает опаснейшую уязвимость, используемую в т. ч. нашумевшими в прошлом году шифровальщики WannaCry и Petya/NotPetya, а также многими майнерами. Возможно, и ваш троян использует для распространения эту же дыру.
Меняйте пароль на администраторскую учётку и на все важные ресурсы -почту, сайты (особенно связанные с банкингом) - могли утечь.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\syswow64\needjpn.exe - [B]UDS:DangerousObject.Multi.Generic[/B] ( BitDefender: Gen:Trojan.Heur.Hype.iyW@ayYHx1mH )[*] c:\windows\18998976.exe - [B]Trojan-Banker.Win32.Emotet.bfgb[/B] ( AVAST4: Win32:MalwareX-gen [Trj] )[*] c:\windows\19194792.exe - [B]Trojan-Banker.Win32.Emotet.bfgb[/B] ( AVAST4: Win32:MalwareX-gen [Trj] )[*] c:\windows\25683680.exe - [B]Trojan-Banker.Win32.Emotet.bfgb[/B] ( AVAST4: Win32:MalwareX-gen [Trj] )[*] c:\windows\30794256.exe - [B]Trojan-Banker.Win32.Emotet.bfgb[/B] ( AVAST4: Win32:MalwareX-gen [Trj] )[*] c:\windows\33678120.exe - [B]Trojan-Banker.Win32.Emotet.bfgb[/B] ( AVAST4: Win32:MalwareX-gen [Trj] )[*] c:\windows\33809512.exe - [B]Trojan-Banker.Win32.Emotet.bfgb[/B] ( AVAST4: Win32:MalwareX-gen [Trj] )[/LIST][/LIST]