KES 10 борется с вирусом

Добрый день, На компьютере под Windows 7 установлены Kaspersky Endpoint Security и Secret NET Studio (с отключенным антивирусным модулем). При подключении к сети (и далее даже после её отключения) в Windows/Temp появляется множество файлов с именами типа jocXXXX.tmp, которые касперский помещает в карантин, классифицируя как троян HEUR:Trojan.Script.EquationDrug.gen. При этом работа системы почти полностью парализуется, хотя ресурсы памяти и процессора в диспетчере задач вполне достаточны. При сканировании AVZ с обновленными базами и CureIt ничего не обнаружено. В автозагрузке системы всё отключено, кроме Secret Net Studio и VipNet.

Уважаемый(ая) [B]alexbs1959[/B], спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Систему нужно обновлять, скорее всего, это не делалось. На 7-ку, снятую с обслуживания ещё прошлой зимой, давно пора накатить все обновления.
[URL="https://support.kaspersky.ru/13698"]Как защититься от атак WannaCry пользователям продуктов для бизнеса[/URL]

И, видимо, трояны лезут с других непропатченных компьютеров в сети. Проверьте сеть утилитой [URL="http://omerez.com/eternalblues/"]ETERNAL BLUES[/URL], все найденные компьютеры с уязвимостью также надо обновлять,иначе лечение не поможет.

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger[/url]:[code]begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\WINDOWS\mssecsvc.exe', '');
QuarantineFile('C:\Windows\system32\systeinfo.exe', '');
QuarantineFile('start C:\Windows\boy.exe', '');
DeleteFile('C:\WINDOWS\mssecsvc.exe', '');
DeleteFile('C:\Windows\system32\systeinfo.exe', '');
DeleteFile('start C:\Windows\boy.exe', '');
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\PMS\PMS" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\PMS\ResetDTL" /F', 0, 15000, true);
DeleteService('Application Layre Gateway Saervice');
DeleteService('dmeaakjwxo');
DeleteService('mssecsvc2.0');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке [COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR] над над первым сообщением в теме.

Скачайте актуальную версию Autologger по первой ссылке из правил и сделайте новые логи.

[QUOTE=Vvvyg;1514788]Систему нужно обновлять, скорее всего, это не делалось. На 7-ку, снятую с обслуживания ещё прошлой зимой, давно пора накатить все обновления.
[URL="https://support.kaspersky.ru/13698"]Как защититься от атак WannaCry пользователям продуктов для бизнеса[/URL]

И, видимо, трояны лезут с других непропатченных компьютеров в сети. Проверьте сеть утилитой [URL="http://omerez.com/eternalblues/"]ETERNAL BLUES[/URL], все найденные компьютеры с уязвимостью также надо обновлять,иначе лечение не поможет.

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger[/URL]:[code]begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\WINDOWS\mssecsvc.exe', '');
QuarantineFile('C:\Windows\system32\systeinfo.exe', '');
QuarantineFile('start C:\Windows\boy.exe', '');
DeleteFile('C:\WINDOWS\mssecsvc.exe', '');
DeleteFile('C:\Windows\system32\systeinfo.exe', '');
DeleteFile('start C:\Windows\boy.exe', '');
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\PMS\PMS" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\PMS\ResetDTL" /F', 0, 15000, true);
DeleteService('Application Layre Gateway Saervice');
DeleteService('dmeaakjwxo');
DeleteService('mssecsvc2.0');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке [COLOR=#FF0000]Прислать запрошенный карантин[/COLOR] над над первым сообщением в теме.

Скачайте актуальную версию Autologger по первой ссылке из правил и сделайте новые логи.[/QUOTE]


Добрый вечер,
systeinfo.exe и boy.exe ко времени получения сообщения уже были удалены, Касперский их нашел.
Логи и карантин прикладываю.

Здравствуйте,

Снес KES10 и включил модуль антивируса в Secret Net Studio. Установил обновление по SMB уязвимости MS17-010. Впрочем, установлю всё, что возможно. Пока вроде бы ничего не лезет.

Сеть проверять особо нет смысла, поскольку городскую сеть и шлюз я не администрирую. Да и в моей сети есть компьютеры сторонних организаций и личные ноутбуки пользователей.

Спасибо за помощь.

Просил ведь, новой версией Autologger сделать логи...

Запустите HijackThis, расположенный в папке Autologger (в [B]Windows Vista/7/8/10[/B] необходимо запускать через правую кнопку мыши [B]Запуск от имени администратора)[/B])и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O23 - Service S2: Microsoft Security Center (2.1) Service - (mssecsvc2.1) - C:\WINDOWS\mssecsvr.exe -m security (file missing)
O23 - Service S2: iis - C:\Windows\IIS\srvany.exe (file missing)[/code]
И всё на этом.
Только рекомендую настоятельно: обновите систему полностью, сейчас закрыли только одну, самую популярную дыру 2017-го года, много критических обновлений было с тех пор.