[ Закрыто ] Win32/Vools.C , обнаружен вирус, не очищает

Доброго времени суток!
Несколько дней установленный ESET Remote Administrator выдает вот такое:


Имя колонки    ЗначениеИдентификатор угрозы    Угроза 20294
Имя клиента    O0005
Имя компьютера    O0005
MAC-адрес    
Основной сервер    
Дата получения    2018-12-25 16:25:11
Дата события    2018-12-25 16:24:43
Уровень    Предупреждение
Модуль сканирования    Защита в режиме реального времени
Объект    файл
Имя    C:\Windows\system32\snmpstorsrv.dll
Угроза    модифицированный Win32/Vools.C троянская программа
Действие    очищен удалением
Пользователь    NT AUTHORITY\система
Информация    Событие произошло в новом файле, созданном следующим приложением: C:\Windows\System32\lsass.exe (2A17507A180F5809155C5F113CB255C9F418829E).
Пишет что очищен удалением, но через некоторое время обнаруживается снова. Что можно предпринять?
Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/

upd:
+ добавьте лог журнала обнаружения угроз с проблемной машины
http://forum.esetnod32.ru/forum9/topic1408/
+ установить обновления для операционной системы...
Добрый день!
Высылаю образ автозапуска, созданный в uVS. Лог журнала обнаружения угроз добавить не могу, там ничего нет.
Хотя в карантине есть одна удаленная библиотечка.
В карантине локальной машины есть такой файл: snmpstorsrv.dll, я пытался выключать антивирус, восстанавливать файл, но в папке назначения его не нахожу (скрытые и системные файлы включены), пытался восстановить файл и выключить машину, грузился с liveCD, файла все равно нет! Но потом при запуске системы антивирус через некоторое время его обнаруживает!
в любом случае, нужен лог журнала обнаружения угроз + если не установлен патч для закрытия уязвимости MS17-010,
то установить его.
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
Каллиник Калинин

Вы обновления для операционной системы установили ?

Win64/Vools.B is a trojan that spreads via network exploiting vulnerabilities of the operating system.
The trojan generates various IP addresses.
It connects to remote machines to port 445 in attempt to exploit the Microsoft Server Message Block (SMB) vulnerability.
This vulnerability is described in Microsoft Security Bulletin MS17-010 .
If it succeeds, a copy of the trojan is retrieved from the attacking machine.

В uVS  выполните ( для очистки от мусора ):
Дополнительно > Очистить карнизу, удалить временные файлы... Alt+Del
-----------
Если вышеперечисленное не даст результата то:
Создайте лог в uVS - Live CD
http://forum.esetnod32.ru/forum6/topic2102/
http://forum.esetnod32.ru/forum9/topic683/
Дело в том, что последние обновления устанавливались у нас в организации полгода назад. Ранее был развернут сервер WSUS, но затем закрыт из-за нехватки мощностей. Теперь сидим без обновлений.
Эти патчи скачал, установил.
Читают тему (гостей: 2)