Несколько дней назад компьютер стал произвольно перезагружаться, в Локальная политика безопасности - Политики IP безопасности "Локальный компьютер" появилась политика qianye с фильтром, добавилась служба MS7365CACApp, в Program Files появился пустой каталог dvhvA, в реестре
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network
появились ключи с именем службы MS7365CACApp
В безопасном режиме и с LiveCD была проверка DrCureIt и KasperskyVRT с актуальными базами, но кроме одного файла в каталоге c:\Windows\Installer\ .tmp имя не сохранил, ничего не было найдено, все предыдущие исправления делал сам найдя инфу в интернета по
IPSec: Name: qianye
Компьютер в небольшой сети, проблемы начались почти у всех рабочих станций (12 из 15) на сервере 2003 все чисто.
все это удалено, антивирусы ничего не находят, машины по прежнему перезагружаются иногда появляется сообщение о запущенном cmd.exe от программы в фоновом режиме, но не понятно от какой.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) goncov, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Судя по симптомам, у вас не закрыта древняя дыра MS17-010, обновление KB4012212 было выпущено аж в марте 2017 г. Про эпидемию шифровальщиков WannaCry и Petya/NotPetya, надеюсь, слышали?
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
Если проблема повторится, сделайте следующее.
Скачайте утилиту Universal Virus Sniffer отсюда.
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: