какие задания? Если те, что в первом посте, то значит патч не стоит. Ставьте все доступные обновления.Сообщение от VasSursk
какие задания? Если те, что в первом посте, то значит патч не стоит. Ставьте все доступные обновления.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
патчи и обновления все есть
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
WBR,
Vadim
Вот запрошенный файл
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.Код:;uVS v4.0.6 [http://dsrt.dyndns.org] ;Target OS: NTv5.2 v400c OFFSGNSAVE zoo %SystemRoot%\DEBUG\LSMOSE.EXE delall %SystemRoot%\DEBUG\LSMOSE.EXE zoo %SystemRoot%\HELP\LSMOSEE.EXE addsgn 9204779A556A147751DFAEB1EFF811F50E4A7708EF57DE9889480DECFDFDB94FD29C0B006F1C170D12860C9B7763BFD1BD7363BAD53B400822B645234DEE8E78 8 RiskTool.Win32.BitCoinMiner.idyc [Kasp] 7 chklst delvir regt 25 deltmp ;---------command-block--------- del %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР.TRANSP\РАБОЧИЙ СТОЛ\ВОЙТИ В ИНТЕРНЕТ.LNK del %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР.TRANSP\РАБОЧИЙ СТОЛ\ОДНОКЛАССНИКИ.LNK delref %SystemRoot%\DEBUG\ITEM.DAT delref PS&C:\WINDOWS\HELP\LSMOSEE.EXE delref %SystemRoot%\DEBUG\OK.DAT delref S.DAT delref S.RAR delref RES://%SYSTEMROOT%\SYSTEM32\MYS.DLL/MYS.HTA czoo apply
Перезагрузите сервер.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Сообщите, что с проблемой.
WBR,
Vadim
Локалка налажена большое спасибо, а можно в развернутом виде о проблеме...
После перезапуска вышло сообщении об ошибке несколько раз с отправкой сведений и отчетов в Мелкософт ругаясь
\LSMOSEE.EXE
PS Архив с карантином по вышеуказанной директиве отправлен
Скриптом удалили политики ipsec, которые мешали работе сети и майнер - тот самый LSMOSEE.EXE. Что на него так система ругалась - даже и не знаю, он даже и не в автозагрузке был. И хвосты вредоносных заданий дочистили.
WBR,
Vadim
Долго не отписывал, на работе запара, проблема повторилась через несколько дней смотрю, в заданиях опять висит эта Mysa (1.2.3.) и Ok.
При перезагрузке постояно ругается на LSMOSEE.EXE с Локалкой те же симптомы.
Все компьютеры пропатчили?
Проверьте через ETERNAL BLUES.
И SMB1 отключите везде, где можно.
Сделайте новый полный образ автозапуска uVS, загрузите в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку.
WBR,
Vadim
Не подскажите как отключить SMBv1 через реестор что то не выключился ( DWORD SMB1 со значением 0)
Кстати пока временным решение служит тот скрипт который вы выше прислали
Как включить и отключить протоколы SMB версии 1, 2 и 3 в Windows и Windows Server- через sc.exe (для клиента) и PowerShell для сервера пробуйте.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- \lsmosee.exe._c7c374073b9631c2ce0345a9ff79bb353bd5 07c1 - not-a-virus:RiskTool.Win32.BitCoinMiner.idyc
Уважаемый(ая) VasSursk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
