[quote="VasSursk;1458766"]Проблема еще актуальна, кстати задания так и появляются!!![/quote]какие задания? Если те, что в первом посте, то значит патч не стоит. Ставьте все доступные обновления.
Printable View
[quote="VasSursk;1458766"]Проблема еще актуальна, кстати задания так и появляются!!![/quote]какие задания? Если те, что в первом посте, то значит патч не стоит. Ставьте все доступные обновления.
патчи и обновления все есть
Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].
Вот запрошенный файл
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[code];uVS v4.0.6 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v400c
OFFSGNSAVE
zoo %SystemRoot%\DEBUG\LSMOSE.EXE
delall %SystemRoot%\DEBUG\LSMOSE.EXE
zoo %SystemRoot%\HELP\LSMOSEE.EXE
addsgn 9204779A556A147751DFAEB1EFF811F50E4A7708EF57DE9889480DECFDFDB94FD29C0B006F1C170D12860C9B7763BFD1BD7363BAD53B400822B645234DEE8E78 8 RiskTool.Win32.BitCoinMiner.idyc [Kasp] 7
chklst
delvir
regt 25
deltmp
;---------command-block---------
del %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР.TRANSP\РАБОЧИЙ СТОЛ\ВОЙТИ В ИНТЕРНЕТ.LNK
del %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР.TRANSP\РАБОЧИЙ СТОЛ\ОДНОКЛАССНИКИ.LNK
delref %SystemRoot%\DEBUG\ITEM.DAT
delref PS&C:\WINDOWS\HELP\LSMOSEE.EXE
delref %SystemRoot%\DEBUG\OK.DAT
delref S.DAT
delref S.RAR
delref RES://%SYSTEMROOT%\SYSTEM32\MYS.DLL/MYS.HTA
czoo
apply[/code]
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Перезагрузите сервер.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Сообщите, что с проблемой.
Локалка налажена большое спасибо, а можно в развернутом виде о проблеме...
После перезапуска вышло сообщении об ошибке несколько раз с отправкой сведений и отчетов в Мелкософт ругаясь
\LSMOSEE.EXE
PS Архив с карантином по вышеуказанной директиве отправлен
Скриптом удалили политики ipsec, которые мешали работе сети и майнер - тот самый LSMOSEE.EXE. Что на него так система ругалась - даже и не знаю, он даже и не в автозагрузке был. И хвосты вредоносных заданий дочистили.
Долго не отписывал, на работе запара, проблема повторилась через несколько дней смотрю, в заданиях опять висит эта Mysa (1.2.3.) и Ok.
При перезагрузке постояно ругается на LSMOSEE.EXE с Локалкой те же симптомы.
Все компьютеры пропатчили?
Проверьте через [URL="http://omerez.com/eternalblues/"]ETERNAL BLUES[/URL].
И SMB1 отключите везде, где можно.
Сделайте новый полный образ автозапуска uVS, загрузите в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку.
Не подскажите как отключить SMBv1 через реестор что то не выключился ( DWORD SMB1 со значением 0)
Кстати пока временным решение служит тот скрипт который вы выше прислали
[URL="https://support.microsoft.com/ru-ru/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows"]Как включить и отключить протоколы SMB версии 1, 2 и 3 в Windows и Windows Server[/URL]- через sc.exe (для клиента) и PowerShell для сервера пробуйте.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \lsmosee.exe._c7c374073b9631c2ce0345a9ff79bb353bd507c1 - [B]not-a-virus:RiskTool.Win32.BitCoinMiner.idyc[/B][/LIST][/LIST]