Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Не удаляется вирус IMG001.exe

RSS
 
Александр Кочетков
Александр Кочетков
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 24.08.2017
Размещено 24.08.2017 11:53:43
Добрый день!
Наша компания уже много лет является вашим клиентом.
С сегодняшнего дня все наши компьютеры и сервера (а их более 200 шт.) оказались заражены данным вирусом img001.exe.
Вирус при сканировании распознается вроде как удаляется, но минут через 20 опять начинаются сыпаться уведомления о том что найден данный вирус.
Провели все манипуляции которые были указаны в данной теме https://forum.esetnod32.ru/forum3/topic13958/, и выставили режим очистки "тщательный" и скрипт запускали, но ничего не помогает, есть ли какое-либо решение по данному вопросу?  

Ответы

Пред. 1 2 3 4 5 След.
 
Дмитрий
Дмитрий
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 13.09.2017 10:43:30
Сделайте лог программы
http://eset.ua/ru/products/utils/sysinspector?scroll_to_id=download
 
Arslan Gaipberdyyew
Arslan Gaipberdyyew
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 14.07.2017
Размещено 14.09.2017 07:27:03
Добрый день.
Под безопасным режимом удалось создать образ автозапуска
В организации нашей 7 серверов. Отправляю Вам лог архивов от всех серверов.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 14.09.2017 07:36:31
bu* все чисто
cp-sever: здесь очищен файл, скорее всего антивирусом, остался только ярлык запуска.
Цитата
Полное имя                  C:\USERS\ARSLAN\APPDATA\ROAMING\IMAGES\IMAGE.EXE
Имя файла                   IMAGE.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]
                           
Удовлетворяет критериям    
STARTUP.EXE                 (ССЫЛКА ~ \START MENU\PROGRAMS\STARTUP)(1)   AND   (ИМЯ ФАЙЛА ~ .EXE)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]
Инф. о файле                The system cannot find the file specified.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Ссылки на объект            
Ссылка                      C:\USERS\ARSLAN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\IMAGE.LNK
SHORTCUT                    C:\USERS\ARSLAN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\IMAGE.LNK
сейчас проверю другие.
cp-srv1 : чисто.
[ Как создать образ автозапуска? ]
 
Arslan Gaipberdyyew
Arslan Gaipberdyyew
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 14.07.2017
Размещено 14.09.2017 07:36:38
Сделайте лог программы
http://eset.ua/ru/products/utils/sysinspector?scroll_to_id=download

Не могли бы вы показать как при помощи этой утилиты сделать лог?
Я не пользовался данной утилитой поэтому прошу Вас помочь.
 
Arslan Gaipberdyyew
Arslan Gaipberdyyew
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 14.07.2017
Размещено 14.09.2017 07:39:22
Я эти вирусы в ручной чистил вчера при помощи сканера ПК Nod File security
Но в течении дня они снова вылезут в расшаренных папках.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 14.09.2017 07:39:41
Цитата
Arslan Gaipberdyyew написал:
Сделайте лог программы
http://eset.ua/ru/products/utils/sysinspector?scroll_to_id=download

Не могли бы вы показать как при помощи этой утилиты сделать лог?
Я не пользовался данной утилитой поэтому прошу Вас помочь.
сложностей там нет.
просто запускаете sysinspector и ждете завершения создания лога, потом надо будет созданный журнал сохранить.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 14.09.2017 07:43:44
Цитата
Arslan Gaipberdyyew написал:
Я эти вирусы в ручной чистил вчера при помощи сканера ПК Nod File security
Но в течении дня они снова вылезут в расшаренных папках.
возможно, на каком-то из серверов или компутеров в локальной сети есть активное заражение, которое распространяется по расшаренным ресурсам.
надо определять источник заражения. или один из компов,
или это результат сетевой атаки, в этом случае необходимо установить обновление MS-2017-010, возможно именно эту уязвимосить эксплуатируют при сетевой атаке.
[ Как создать образ автозапуска? ]
 
Arslan Gaipberdyyew
Arslan Gaipberdyyew
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 14.07.2017
Размещено 14.09.2017 07:44:48
возможно, на каком-то из серверов или компутеров в локальной сети есть активное заражение, которое распространяется по расшаренным ресурсам.

В локалке на все ПК стоит антивирус Nod32 локалка у нас под доменом.

Каким образом можно отловить тот самый компьютер с которого все распространяется??
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 14.09.2017 07:46:05
integr*: файл очищен.
Цитата
Полное имя                  C:\USERS\PRINECT.METBUGAT\APPDATA\ROAMING\NSMINER\IMG001.EXE
Имя файла                   IMG001.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]
                           
Удовлетворяет критериям    
STARTUP.EXE                 (ССЫЛКА ~ \START MENU\PROGRAMS\STARTUP)(1)   AND   (ИМЯ ФАЙЛА ~ .EXE)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]
Инф. о файле                The system cannot find the file specified.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Ссылки на объект            
Ссылка                      C:\USERS\PRINECT.METBUGAT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RUN.LNK
SHORTCUT                    C:\USERS\PRINECT.METBUGAT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RUN.LNK
                           

metbugat* - чисто.

prinect* очищено

Цитата
Полное имя                  C:\USERS\PRINECT.METBUGAT\APPDATA\ROAMING\CNMINER\IMG001.EXE
Имя файла                   IMG001.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]
                           
Удовлетворяет критериям    
STARTUP.EXE                 (ССЫЛКА ~ \START MENU\PROGRAMS\STARTUP)(1)   AND   (ИМЯ ФАЙЛА ~ .EXE)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]
Инф. о файле                The system cannot find the file specified.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Ссылки на объект            
Ссылка                      C:\USERS\PRINECT.METBUGAT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RUN.LNK
SHORTCUT                    C:\USERS\PRINECT.METBUGAT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RUN.LNK
                           

ras* очищено

Цитата
Полное имя                  C:\USERS\PRINECT.METBUGAT\APPDATA\ROAMING\CNMINER\IMG001.EXE
Имя файла                   IMG001.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]
                           
Удовлетворяет критериям    
STARTUP.EXE                 (ССЫЛКА ~ \START MENU\PROGRAMS\STARTUP)(1)   AND   (ИМЯ ФАЙЛА ~ .EXE)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]
Инф. о файле                The system cannot find the file specified.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Ссылки на объект            
Ссылка                      C:\USERS\PRINECT.METBUGAT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RUN.LNK
SHORTCUT                    C:\USERS\PRINECT.METBUGAT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RUN.LNK
                           
[ Как создать образ автозапуска? ]
 
Arslan Gaipberdyyew
Arslan Gaipberdyyew
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 14.07.2017
Размещено 14.09.2017 07:54:29
В локалке на все ПК стоит антивирус Nod32 локалка у нас под доменом.

Каким образом можно отловить тот самый компьютер с которого все распространяется??
 
Пред. 1 2 3 4 5 След.
Читают тему