Не удаляется вирус IMG001.exe

RSS
Добрый день!
Наша компания уже много лет является вашим клиентом.
С сегодняшнего дня все наши компьютеры и сервера (а их более 200 шт.) оказались заражены данным вирусом img001.exe.
Вирус при сканировании распознается вроде как удаляется, но минут через 20 опять начинаются сыпаться уведомления о том что найден данный вирус.
Провели все манипуляции которые были указаны в данной теме https://forum.esetnod32.ru/forum3/topic13958/, и выставили режим очистки "тщательный" и скрипт запускали, но ничего не помогает, есть ли какое-либо решение по данному вопросу?  

Ответы

Сделайте лог программы
http://eset.ua/ru/products/utils/sysinspector?scroll_to_id=download
Добрый день.
Под безопасным режимом удалось создать образ автозапуска
В организации нашей 7 серверов. Отправляю Вам лог архивов от всех серверов.
bu* все чисто
cp-sever: здесь очищен файл, скорее всего антивирусом, остался только ярлык запуска.
Цитата
Полное имя                  C:\USERS\ARSLAN\APPDATA\ROAMING\IMAGES\IMAGE.EXE
Имя файла                   IMAGE.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]
                           
Удовлетворяет критериям    
STARTUP.EXE                 (ССЫЛКА ~ \START MENU\PROGRAMS\STARTUP)(1)   AND   (ИМЯ ФАЙЛА ~ .EXE)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]
Инф. о файле                The system cannot find the file specified.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Ссылки на объект            
Ссылка                      C:\USERS\ARSLAN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\IMAGE.LNK
SHORTCUT                    C:\USERS\ARSLAN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\IMAGE.LNK
сейчас проверю другие.
cp-srv1 : чисто.
Сделайте лог программы
http://eset.ua/ru/products/utils/sysinspector?scroll_to_id=download

Не могли бы вы показать как при помощи этой утилиты сделать лог?
Я не пользовался данной утилитой поэтому прошу Вас помочь.
Я эти вирусы в ручной чистил вчера при помощи сканера ПК Nod File security
Но в течении дня они снова вылезут в расшаренных папках.
Цитата
Arslan Gaipberdyyew написал:
Сделайте лог программы
http://eset.ua/ru/products/utils/sysinspector?scroll_to_id=download

Не могли бы вы показать как при помощи этой утилиты сделать лог?
Я не пользовался данной утилитой поэтому прошу Вас помочь.
сложностей там нет.
просто запускаете sysinspector и ждете завершения создания лога, потом надо будет созданный журнал сохранить.
Цитата
Arslan Gaipberdyyew написал:
Я эти вирусы в ручной чистил вчера при помощи сканера ПК Nod File security
Но в течении дня они снова вылезут в расшаренных папках.
возможно, на каком-то из серверов или компутеров в локальной сети есть активное заражение, которое распространяется по расшаренным ресурсам.
надо определять источник заражения. или один из компов,
или это результат сетевой атаки, в этом случае необходимо установить обновление MS-2017-010, возможно именно эту уязвимосить эксплуатируют при сетевой атаке.
возможно, на каком-то из серверов или компутеров в локальной сети есть активное заражение, которое распространяется по расшаренным ресурсам.

В локалке на все ПК стоит антивирус Nod32 локалка у нас под доменом.

Каким образом можно отловить тот самый компьютер с которого все распространяется??
integr*: файл очищен.
Цитата
Полное имя                  C:\USERS\PRINECT.METBUGAT\APPDATA\ROAMING\NSMINER\IMG001.EXE
Имя файла                   IMG001.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]
                           
Удовлетворяет критериям    
STARTUP.EXE                 (ССЫЛКА ~ \START MENU\PROGRAMS\STARTUP)(1)   AND   (ИМЯ ФАЙЛА ~ .EXE)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]
Инф. о файле                The system cannot find the file specified.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Ссылки на объект            
Ссылка                      C:\USERS\PRINECT.METBUGAT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RUN.LNK
SHORTCUT                    C:\USERS\PRINECT.METBUGAT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RUN.LNK
                           

metbugat* - чисто.

prinect* очищено

Цитата
Полное имя                  C:\USERS\PRINECT.METBUGAT\APPDATA\ROAMING\CNMINER\IMG001.EXE
Имя файла                   IMG001.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]
                           
Удовлетворяет критериям    
STARTUP.EXE                 (ССЫЛКА ~ \START MENU\PROGRAMS\STARTUP)(1)   AND   (ИМЯ ФАЙЛА ~ .EXE)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]
Инф. о файле                The system cannot find the file specified.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Ссылки на объект            
Ссылка                      C:\USERS\PRINECT.METBUGAT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RUN.LNK
SHORTCUT                    C:\USERS\PRINECT.METBUGAT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RUN.LNK
                           

ras* очищено

Цитата
Полное имя                  C:\USERS\PRINECT.METBUGAT\APPDATA\ROAMING\CNMINER\IMG001.EXE
Имя файла                   IMG001.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]
                           
Удовлетворяет критериям    
STARTUP.EXE                 (ССЫЛКА ~ \START MENU\PROGRAMS\STARTUP)(1)   AND   (ИМЯ ФАЙЛА ~ .EXE)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]
Инф. о файле                The system cannot find the file specified.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Ссылки на объект            
Ссылка                      C:\USERS\PRINECT.METBUGAT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RUN.LNK
SHORTCUT                    C:\USERS\PRINECT.METBUGAT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RUN.LNK
                           
В локалке на все ПК стоит антивирус Nod32 локалка у нас под доменом.

Каким образом можно отловить тот самый компьютер с которого все распространяется??
Читают тему (гостей: 23)