В сети ходят 2 вируса DOC001.exe и IMG001(менее активный). Dr.Web не лечит эту заразу полностью, хотя стоит на всех машинах, все машины обновлены. Прилагаю лог файл.
Printable View
В сети ходят 2 вируса DOC001.exe и IMG001(менее активный). Dr.Web не лечит эту заразу полностью, хотя стоит на всех машинах, все машины обновлены. Прилагаю лог файл.
Уважаемый(ая) [B]Renat_LRR[/B], спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Можно вылечить и AVZ, но с тем же (не)успехом. Отключайте компьютеры по одному от сети, лечите штатным антивирусом, KVRT или Dr. Web CureIt! и не подключайте снова до завершения лечения всех до единого. Иначе не избавитесь, только такой рецепт в случае сетевого червя.
Боюсь нам нереально будет это сделать, у нас примерно 450 пк в сети, нам нужен другой способ.
Попробуем. Только в домене может не прокатить. Скрипт отключит административные шары, если после перезагрузки снова червь не пролезет, может прокатить.
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/url]:[code]begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\users\latypov.rr.hjrt\appdata\roaming\temps\doc001.exe');
DeleteFile('C:\ProgramData\microsoft\windows\start menu\programs\startup\doc001.exe', '');
DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe', '64');
DeleteFile('C:\Users\Latypov.RR.HJRT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.lnk');
DeleteFile('c:\users\latypov.rr.hjrt\appdata\roaming\temps\doc001.exe', '');
DeleteFile('C:\Users\Latypov.RR.HJRT\AppData\Roaming\Temps\DOC001.exe', '64');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters', 'AutoShareWks', 0);
ExecuteSysClean;
ExecuteWizard('SCU', 3, 3, true);
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Не будет работать удалённое управление и psexec.
Если вариант сработает, распространяйте через GPO параметр реестра HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters AutoShareWks REG_DWORD со значением 0, потом также вернёте, как было.
Проверьте компьютеры в сети на уязвимость EternalBlue (CVE-2017-0144) с помощью утилиты:
[URL="http://omerez.com/eternalblues/"]ETERNAL BLUES[/URL]
Если эта дыра есть, отключение административных шар может не сработать.
На моём ПК проблема исчезла. Но перед этим я обнаружил что к моему ПК пытались подключиться другие 9 пк, а так же к другим пк всегда пытаются подключиться именно эти 9 пк. Обнаружил на всех 9 ПК многочисленные файлы и папки с DOC001.exe, explorer.lnk, NsCpuCNMiner64 и 32, pool.txt. Прогнал все ПК через батник, удалил всё что смог удалить. Некоторые файлы пришлось чистить руками на этих 9 ПК, но они пытаются до сих пор подключиться. Есть какой нибудь может более универсальный способ удаления именно этих файлов во всех дисках. Хочу попробовать прописать батник и так же через групповую политику всем раскидать задачу на выполнение. Спасибо всем.
[URL="http://omerez.com/eternalblues/"]ETERNAL BLUES[/URL] не дает скачать.
[QUOTE=Renat_LRR;1527437][URL="http://omerez.com/eternalblues/"]ETERNAL BLUES[/URL] не дает скачать.[/QUOTE]
Попробуйте [URL="https://disk.yandex.ru/d/JcI0H7X_-ILAxA"]отсюда[/URL].
Чтобы сделать универсальный cmd для лечения, сделайте такой лог на одной из заражённых машин.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.
Нажмите кнопку [B]Сканировать[/B].
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
И сразу проверьте, убьёт такая команда процесс, или нет. С эскалацией прав, естественно.
[CODE] taskkill /F /IM doc001.exe /T[/CODE]