Здравствуйте, уже создавал 2 темы, в продолжение моих мучений, создаю очередную. Вкратце суть: кто-то в сетке поймал вирус, он через сетевое окружение расползся по всем машинам, где было включено сетевое обнаружение, создавал .exe файлы в папке c:/windows с разными рандомными названиями, состоящими только из цифр, а так же периодически появлялся .exe файл в папке sysWOW64, который по данным firewall'a ломился на разные айпишники из публичного и приватного диапазонов. Лечение некоторых машин удалось произвести путем отката системы к предыдущим точкам восстановления с отключением интернет-кабеля в процессе загрузки, а так же запретом на сетевое обнаружение в настройках, попутно прописав команду net config server /hidden:yes, чтобы скрыть компьютеры из сетевого окружения других компьютеров в сети. Так вот, большая часть компов успешно поддается такому лечению, однако, есть некоторые машины на которых нет точек восстановления, поэтому вылечить их подобным методом не выйдет. Прилагаю к теме логи Autologgera с компа, который заражен, в папке windows лежат зараженные файлы, в папке syswow64 лежит вирус needjpn.exe, который ломится на разные айпишники. Посмотрите пожалуйста. Готов приложить карантин, только напишите порядок действий. Интересует как лечить подобную проблему на других компах без отката системы и что на компе делает вирус, отправляет ли он какую-то персональную информацию во вне?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Schatten, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве)
AV: ESET Smart Security 4.2 (Disabled - Out of date) {77DEAFED-8149-104B-25A1-21771CA47CD1}
AS: ESET Smart Security 4.2 (Disabled - Out of date) {CCBF4E09-A773-1FC5-1F11-1A056723366C}
AS: Windows Defender (Enabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
Пользуетесь не обновляемой, давно устаревшей версией антивируса.
Система тоже, видимо, ни разу не обновлялась:
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Это только критические хотфиксы, включая KB4012212, который закрывает опаснейшую уязвимость, используемую в т. ч. нашумевшими в прошлом году шифровальщики WannaCry и Petya/NotPetya, а также многими майнерами. Возможно, и ваш троян использует для распространения эту же дыру.
Меняйте пароль на администраторскую учётку и на все важные ресурсы -почту, сайты (особенно связанные с банкингом) - могли утечь.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
