Рабочая машина на win7
KES ругается на MEM:Trojan.Win64.EquationDrug.gen / System Memory и ApplicationUNnPEvent.dll в папке system32
Лог autologger прикрепляю ссылкой
https://ru.files.me/u/qqrx9yygh3
Windows7 Endpoint ругается на MEM:Trojan.Win64.EquationDrug.gen / System Memory
Рабочая машина на win7
KES ругается на MEM:Trojan.Win64.EquationDrug.gen / System Memory и ApplicationUNnPEvent.dll в папке system32
Лог autologger прикрепляю ссылкой
https://ru.files.me/u/qqrx9yygh3
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) DjDenos, спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Собственно, те же рекомендации, что и в первой теме - обновлять систему. Активной заразы нет.
WBR,
Vadim
Через 4-5 часов работы после перезагрузки ругается KES (раньше через минут 20-30), KVRT видит EquationDrug.gen, поставлю обновы, послежу за развитием событий - дополню тему
- - - - -Добавлено - - - - -
KVRT также находит EquationDrug.gen в system memory, и в парке system32 ApplicationUPnPEvent.dll и rdppao.ini с крокозябрами внутри)
- - - - -Добавлено - - - - -
Установил hostfix из похожей темы на портале
Kb3197867
Kb3205394
Kb4012212
Kb4015546
Kb4019263
Kb4022722
Kb4025337
Kb4034679
Kb4041678
Последним сканированием EquationDrug.gen в system memory не обнаружено. Так же пропал и ApplicationUPnPEvent.dll
Но KVRT все еще видит rdppao.ini в system32 (HEUR:Trojan.Multi.Vools.gen)
- - - - -Добавлено - - - - -
По итогу это дрянь вдобавок на третью машину прыгнула... Там нет KES, но периодически поглядываю: появилась папка networkdistribution
Так удалите. Сам по себе этот файл не опасен.Сообщение от DjDenos
Пока в сети есть непропатченные системы, будет продолжаться. Проверьте сеть утилитой ETERNAL BLUES, все найденные компьютеры с уязвимостью также надо обновлять.
WBR,
Vadim
Эта машина больше не тревожила, тему можно закрывать. Еле смог перекинуть на удалённый третий комп) Из него на этой машине каспер отрубал пинг с ним, что приходилось останавливать защиту.
В итоге прогнал KVRT, почти те же файлы. Мне понравилось, что на новой машине название dll файла каждый раз меняется. Прям сердце согрелось) В итоге нашел в диспетчере службу с таким названием, отрубил её и ещё раз прогнал KVRT.
Тут он смог удалить ещё один файл, а после перезагрузки не показывает ничего))
Уважаемый(ая) DjDenos, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
