Приветствую, кто-то в локалке поймал вирус и он разлетелся по сети. Используем Eset smart security, поражены все компьютеры на которых открыт общий доступ по сети и соседние компы видны в сетевом окружении, сам вирус никак себя не проявляет, просто создает рандомные .exe файлы в папке windows и еще заметил на некоторых компах файл в папке /windows/sysWOW64. Те файлы, что в папке винды именуются исключительно из цифр с неравномерными промежутками по времени, весят по 130-200кбайт, первые обнаружения антивирусами пришлись на ~22:00(когда в офисе уже давно никого нет) 25-го сентября, за это время на машинах скопилось порядка сотни файлов. Тот файл, что в syswow присутствует в диспетчере задач и malwarebytes фиксирует что он постоянно ломится на самые разные айпишники, как из публичного диапазона, так и из приватного. При этом антивирус периодически этот файл грохает, но затем он появляется снова, вручную его не удалить, пишет, что используется system. Сам файл называется уже не из цифр, а, судя по всему, подтягивает название из какого-то словаря. На всех компах называется по-разному, но связно, на контроллере домена, например, needsystem.exe. Пролечивал и антивирусом и malwarebytes, все равно через определенное время процесс восстанавливается. Т.е. грубо говоря почистил все, вроде все пучком, а потом спустя какое-то время все начинается сначала, я так подозреваю, даже если он вычищает все с компа, потом по сети прилетает зараженный файл и снова запускается на машине. Пока единственное до чего додумался - это прогнать все антивирусом и отключить сетку на своем компьютере на ночь, завтра с утра гляну результат, в любом случае, помимо того, что хочется все пролечить, хочется узнать что собственно вирус на компе делал, мог ли он получить доступ к учетным данным хранящимся на компах и передать их злоумышленнику, так же хочется узнать источник заражения в сети, с какого компа все началось, это вообще возможно? В данный момент источником заражения, наверняка, выступает каждый компьютер в сети.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Schatten, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Прикрепляю Лог из инструкции с одной из зараженных машин. На ней просто стоит eset сейчас и отбивается от атак.
Вкратце, из того что понял, сам вирус, похоже, летает исключительно по сетевому окружению, т.к. ни один компьютер, который подключен и не находится в домене не пострадал, в свою очередь свой комп отрубил от сети на ночь, когда пришел утром, прогнал все эсетом и malwarebytes, убрал отображение компа в сетевом окружении у других компов в сети, отключив соответствующие параметры в центре управления сетями и общим доступом, а так же через cmd выполнил команду net config server /hidden:yes после чего включил сетку, вначале вроде все норм было-потом включил браузер и выползло несколько уведомлений, их грохнул malwarebytes, а потом eset отправил их на анализ к себе и после этого тишина, никаких алармов я больше не ловил, вот уже почти как 4 часа. Вредоносной службы нет. Но это пока все только на одном компе, на остальных процессы происходят как и раньше, антивирусы продолжают свою борьбу.
P.S. никак не получается подрубить службу Помогите+, у меня раньше не было палки, отправил свои данные на идентификацию, но оплатить при ограниченном аккаунте я ничего не могу, мб есть альтернатива какая?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
