Решена Trojan.Emotet

Статус
В этой теме нельзя размещать новые ответы.

EvgeniyFedorov

Новый пользователь
Сообщения
8
Симпатии
0
Баллы
1
#1
Добрый день, подскажите пожалуйста, есть возможность узнать как этот вирус по сетке расползается, удалось на нескольких компьютерах заблокировать программой Malwarebytes, но каждый день, все равно откуда-то он лезет и появляется постоянно.
Screenshot
Может быть кто-то сталкивался, более опытный. Заранее спасибо
 

Вложения

Sandor

Ассоциация VN/VIP
Сообщения
4,428
Симпатии
1,641
Баллы
433
#2
Здравствуйте!

Логи сделаны в терминальной сессии, сделайте их из консоли.
 

EvgeniyFedorov

Новый пользователь
Сообщения
8
Симпатии
0
Баллы
1
#3
Не подскажите как это верно сделать?
Сообщения объединены:

Имеется ввиду непосредственно с самого сервера без прослойки рдп сделать?
Сообщения объединены:

Вот. Надеюсь все будет верно
 

Вложения

Последнее редактирование:

Sandor

Ассоциация VN/VIP
Сообщения
4,428
Симпатии
1,641
Баллы
433
#4
Да, верно.

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ. (Находится в папке ...\Autologger\AVZ)
  2. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.


В этой программе:
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

Sandor

Ассоциация VN/VIP
Сообщения
4,428
Симпатии
1,641
Баллы
433
#6
Работаем по принципу один компьютер - одна тема, во избежание путаницы.
В приложенных отчетах есть тот, с которого делали CollectionLog?
 

Sandor

Ассоциация VN/VIP
Сообщения
4,428
Симпатии
1,641
Баллы
433
#8
Если уже закрыли, повторите сканирование и удалите все найденное.

Затем:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Sandor

Ассоциация VN/VIP
Сообщения
4,428
Симпатии
1,641
Баллы
433
#10
На этом компьютере какие-то проблемы остались?
 

EvgeniyFedorov

Новый пользователь
Сообщения
8
Симпатии
0
Баллы
1
#11
По сети лезут постоянно, хотелось бы узнать, по какому протоколу все это происходит, как вычистить полностью, и закрыть дырки, каждые 2 часа перегружать комп, и мальварой чистить не решение проблемы. Может есть какое-то решение, именно по этому вирусу, обновы которые фиксят smb1 стоят, но все равно откуда-то появляется вирус
 

Sandor

Ассоциация VN/VIP
Сообщения
4,428
Симпатии
1,641
Баллы
433
#12
Проверьте так:
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
 

EvgeniyFedorov

Новый пользователь
Сообщения
8
Симпатии
0
Баллы
1
#13
Выдает советы типа включите брандмауэр. А можете подсказать что-то что-то по вирусу? Может быть есть какая-то более подробная информация? принцип работы, порт по какому идет заражение и тд?
 

akok

Команда форума
Администратор
Сообщения
15,793
Симпатии
12,727
Баллы
2,203
#14
Вот его описание и методика лечения сети. Trojan.Emotet - Malwarebytes Labs

Одна зараженная машина заражает остальные, в сети, используя уязвимость в SMB. Заражение идет в основном по почте.... в описании подробно описано.

Обратите внимание, если в сети есть зараженные машины которые работают с банковскими данными, то смените пароли.
 
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу