Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Win32/Vools.C , обнаружен вирус, не очищает

1 2 3 След.
RSS
 
Каллиник Калинин
Каллиник Калинин
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 25.12.2018
Размещено 25.12.2018 18:07:58
Доброго времени суток!
Несколько дней установленный ESET Remote Administrator выдает вот такое:


Имя колонки    ЗначениеИдентификатор угрозы    Угроза 20294
Имя клиента    O0005
Имя компьютера    O0005
MAC-адрес    
Основной сервер    
Дата получения    2018-12-25 16:25:11
Дата события    2018-12-25 16:24:43
Уровень    Предупреждение
Модуль сканирования    Защита в режиме реального времени
Объект    файл
Имя    C:\Windows\system32\snmpstorsrv.dll
Угроза    модифицированный Win32/Vools.C троянская программа
Действие    очищен удалением
Пользователь    NT AUTHORITY\система
Информация    Событие произошло в новом файле, созданном следующим приложением: C:\Windows\System32\lsass.exe (2A17507A180F5809155C5F113CB255C9F418829E).
 
Каллиник Калинин
Каллиник Калинин
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 25.12.2018
Размещено 25.12.2018 18:08:46
Пишет что очищен удалением, но через некоторое время обнаруживается снова. Что можно предпринять?
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 25.12.2018 18:38:05
Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/

upd:
+ добавьте лог журнала обнаружения угроз с проблемной машины
http://forum.esetnod32.ru/forum9/topic1408/
 
Дмитрий
Дмитрий
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 26.12.2018 00:01:36
+ установить обновления для операционной системы...
 
Каллиник Калинин
Каллиник Калинин
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 25.12.2018
Размещено 26.12.2018 11:01:59
Добрый день!
Высылаю образ автозапуска, созданный в uVS. Лог журнала обнаружения угроз добавить не могу, там ничего нет.
Хотя в карантине есть одна удаленная библиотечка.
 
Каллиник Калинин
Каллиник Калинин
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 25.12.2018
Размещено 26.12.2018 11:33:57
В карантине локальной машины есть такой файл: snmpstorsrv.dll, я пытался выключать антивирус, восстанавливать файл, но в папке назначения его не нахожу (скрытые и системные файлы включены), пытался восстановить файл и выключить машину, грузился с liveCD, файла все равно нет! Но потом при запуске системы антивирус через некоторое время его обнаруживает!
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 26.12.2018 11:44:23
в любом случае, нужен лог журнала обнаружения угроз + если не установлен патч для закрытия уязвимости MS17-010,
то установить его.
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 26.12.2018 11:46:42
Каллиник Калинин

Вы обновления для операционной системы установили ?

Win64/Vools.B is a trojan that spreads via network exploiting vulnerabilities of the operating system.
The trojan generates various IP addresses.
It connects to remote machines to port 445 in attempt to exploit the Microsoft Server Message Block (SMB) vulnerability.
This vulnerability is described in Microsoft Security Bulletin MS17-010 .
If it succeeds, a copy of the trojan is retrieved from the attacking machine.

В uVS  выполните ( для очистки от мусора ):
Дополнительно > Очистить карнизу, удалить временные файлы... Alt+Del
-----------
Если вышеперечисленное не даст результата то:
Создайте лог в uVS - Live CD
http://forum.esetnod32.ru/forum6/topic2102/
http://forum.esetnod32.ru/forum9/topic683/
 
Каллиник Калинин
Каллиник Калинин
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 25.12.2018
Размещено 26.12.2018 11:56:45
Дело в том, что последние обновления устанавливались у нас в организации полгода назад. Ранее был развернут сервер WSUS, но затем закрыт из-за нехватки мощностей. Теперь сидим без обновлений.
 
Каллиник Калинин
Каллиник Калинин
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 25.12.2018
Размещено 26.12.2018 11:57:17
Эти патчи скачал, установил.
 
1 2 3 След.
Читают тему