В сети ходят 2 вируса DOC001.exe и IMG001(менее активный). Dr.Web не лечит эту заразу полностью, хотя стоит на всех машинах, все машины обновлены. Прилагаю лог файл.
В сети ходят 2 вируса DOC001.exe и IMG001(менее активный). Dr.Web не лечит эту заразу полностью, хотя стоит на всех машинах, все машины обновлены. Прилагаю лог файл.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Renat_LRR, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Можно вылечить и AVZ, но с тем же (не)успехом. Отключайте компьютеры по одному от сети, лечите штатным антивирусом, KVRT или Dr. Web CureIt! и не подключайте снова до завершения лечения всех до единого. Иначе не избавитесь, только такой рецепт в случае сетевого червя.
WBR,
Vadim
Боюсь нам нереально будет это сделать, у нас примерно 450 пк в сети, нам нужен другой способ.
Попробуем. Только в домене может не прокатить. Скрипт отключит административные шары, если после перезагрузки снова червь не пролезет, может прокатить.
Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:Компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\users\latypov.rr.hjrt\appdata\roaming\temps\doc001.exe'); DeleteFile('C:\ProgramData\microsoft\windows\start menu\programs\startup\doc001.exe', ''); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe', '64'); DeleteFile('C:\Users\Latypov.RR.HJRT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.lnk'); DeleteFile('c:\users\latypov.rr.hjrt\appdata\roaming\temps\doc001.exe', ''); DeleteFile('C:\Users\Latypov.RR.HJRT\AppData\Roaming\Temps\DOC001.exe', '64'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters', 'AutoShareWks', 0); ExecuteSysClean; ExecuteWizard('SCU', 3, 3, true); RebootWindows(false); end.
Не будет работать удалённое управление и psexec.
Если вариант сработает, распространяйте через GPO параметр реестра HKLM\SYSTEM\CurrentControlSet\Services\lanmanserve r\parameters AutoShareWks REG_DWORD со значением 0, потом также вернёте, как было.
Проверьте компьютеры в сети на уязвимость EternalBlue (CVE-2017-0144) с помощью утилиты:
ETERNAL BLUES
Если эта дыра есть, отключение административных шар может не сработать.
WBR,
Vadim
На моём ПК проблема исчезла. Но перед этим я обнаружил что к моему ПК пытались подключиться другие 9 пк, а так же к другим пк всегда пытаются подключиться именно эти 9 пк. Обнаружил на всех 9 ПК многочисленные файлы и папки с DOC001.exe, explorer.lnk, NsCpuCNMiner64 и 32, pool.txt. Прогнал все ПК через батник, удалил всё что смог удалить. Некоторые файлы пришлось чистить руками на этих 9 ПК, но они пытаются до сих пор подключиться. Есть какой нибудь может более универсальный способ удаления именно этих файлов во всех дисках. Хочу попробовать прописать батник и так же через групповую политику всем раскидать задачу на выполнение. Спасибо всем.
ETERNAL BLUES не дает скачать.
Попробуйте отсюда.Сообщение от Renat_LRR
Чтобы сделать универсальный cmd для лечения, сделайте такой лог на одной из заражённых машин.
Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
И сразу проверьте, убьёт такая команда процесс, или нет. С эскалацией прав, естественно.
Код:taskkill /F /IM doc001.exe /T
WBR,
Vadim
Ваши права в разделе
Ответить с цитированием
