Размещено 14.09.2017 08:01:40
| Цитата |
|---|
| A Degtyarev написал: Шифрование, скорей всего, уже закончено. Есть просто слабая надежда, что в системе остались ключи шифрования. |
минут через 30 буду
минут через 30 буду
Дорогие участники форума!
Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.
На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения
PRO32
— надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.
Приглашаем вас присоединиться к новому форуму PRO32.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.
файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta
минут через 30 буду
Не удаляется вирус IMG001.exe
Размещено 14.09.2017 07:55:52
| Цитата |
|---|
| Arslan Gaipberdyyew написал: В локалке на все ПК стоит антивирус Nod32 локалка у нас под доменом. Каким образом можно отловить тот самый компьютер с которого все распространяется?? |
2. если ваши сервера доступны из внешней сети, то возможно, что через сетевую атаку, используя уязвимость системы, попадает майнер,
Не удаляется вирус IMG001.exe
Размещено 14.09.2017 07:46:05
integr*: файл очищен.
metbugat* - чисто.
prinect* очищено
ras* очищено
| Цитата |
|---|
| Полное имя C:\USERS\PRINECT.METBUGAT\APPDATA\ROAMING\NSMINER\IMG001.EXE Имя файла IMG001.EXE Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную] Удовлетворяет критериям STARTUP.EXE (ССЫЛКА ~ \START MENU\PROGRAMS\STARTUP)(1) AND (ИМЯ ФАЙЛА ~ .EXE)(1) [auto (0)] Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную] Инф. о файле The system cannot find the file specified. Цифр. подпись проверка не производилась Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Путь до файла Типичен для вирусов и троянов Ссылки на объект Ссылка C:\USERS\PRINECT.METBUGAT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RUN.LNK SHORTCUT C:\USERS\PRINECT.METBUGAT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RUN.LNK |
metbugat* - чисто.
prinect* очищено
| Цитата |
|---|
| Полное имя C:\USERS\PRINECT.METBUGAT\APPDATA\ROAMING\CNMINER\IMG001.EXE Имя файла IMG001.EXE Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную] Удовлетворяет критериям STARTUP.EXE (ССЫЛКА ~ \START MENU\PROGRAMS\STARTUP)(1) AND (ИМЯ ФАЙЛА ~ .EXE)(1) [auto (0)] Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную] Инф. о файле The system cannot find the file specified. Цифр. подпись проверка не производилась Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Путь до файла Типичен для вирусов и троянов Ссылки на объект Ссылка C:\USERS\PRINECT.METBUGAT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RUN.LNK SHORTCUT C:\USERS\PRINECT.METBUGAT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RUN.LNK |
ras* очищено
| Цитата |
|---|
| Полное имя C:\USERS\PRINECT.METBUGAT\APPDATA\ROAMING\CNMINER\IMG001.EXE Имя файла IMG001.EXE Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную] Удовлетворяет критериям STARTUP.EXE (ССЫЛКА ~ \START MENU\PROGRAMS\STARTUP)(1) AND (ИМЯ ФАЙЛА ~ .EXE)(1) [auto (0)] Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную] Инф. о файле The system cannot find the file specified. Цифр. подпись проверка не производилась Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Путь до файла Типичен для вирусов и троянов Ссылки на объект Ссылка C:\USERS\PRINECT.METBUGAT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RUN.LNK SHORTCUT C:\USERS\PRINECT.METBUGAT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RUN.LNK |
Не удаляется вирус IMG001.exe
Размещено 14.09.2017 07:43:44
| Цитата |
|---|
| Arslan Gaipberdyyew написал: Я эти вирусы в ручной чистил вчера при помощи сканера ПК Nod File security Но в течении дня они снова вылезут в расшаренных папках. |
надо определять источник заражения. или один из компов,
или это результат сетевой атаки, в этом случае необходимо установить обновление MS-2017-010, возможно именно эту уязвимосить эксплуатируют при сетевой атаке.
Не удаляется вирус IMG001.exe
Размещено 14.09.2017 07:39:41
| Цитата |
|---|
| Arslan Gaipberdyyew написал: Сделайте лог программы Не могли бы вы показать как при помощи этой утилиты сделать лог? Я не пользовался данной утилитой поэтому прошу Вас помочь. |
просто запускаете sysinspector и ждете завершения создания лога, потом надо будет созданный журнал сохранить.
Не удаляется вирус IMG001.exe
Размещено 14.09.2017 07:36:31
bu* все чисто
cp-sever: здесь очищен файл, скорее всего антивирусом, остался только ярлык запуска.
сейчас проверю другие.
cp-srv1 : чисто.
cp-sever: здесь очищен файл, скорее всего антивирусом, остался только ярлык запуска.
| Цитата |
|---|
| Полное имя C:\USERS\ARSLAN\APPDATA\ROAMING\IMAGES\IMAGE.EXE Имя файла IMAGE.EXE Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную] Удовлетворяет критериям STARTUP.EXE (ССЫЛКА ~ \START MENU\PROGRAMS\STARTUP)(1) AND (ИМЯ ФАЙЛА ~ .EXE)(1) [auto (0)] Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную] Инф. о файле The system cannot find the file specified. Цифр. подпись проверка не производилась Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Путь до файла Типичен для вирусов и троянов Ссылки на объект Ссылка C:\USERS\ARSLAN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\IMAGE.LNK SHORTCUT C:\USERS\ARSLAN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\IMAGE.LNK |
cp-srv1 : чисто.
файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta
файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta
Размещено 14.09.2017 07:20:33
A Degtyarev,
если шифрование еще не закончилось, то при включении компа в сеть, шифрование может быть продолжено,
поэтому, или снять системный диск и подключить к чистой машине, и снять образ с зашифрованной системы,
или сделать образ автозапуска используя загрузочный диск Winpe&uVS
если шифрование еще не закончилось, то при включении компа в сеть, шифрование может быть продолжено,
поэтому, или снять системный диск и подключить к чистой машине, и снять образ с зашифрованной системы,
или сделать образ автозапуска используя загрузочный диск Winpe&uVS
Не удаляется вирус IMG001.exe
Не удаляется вирус IMG001.exe
Размещено 12.09.2017 13:05:01
либо архив некорректно скачался, либо в системе есть еще файловый вирус, который заражает start.exe.
если есть такая возможность,
попробуйте из безопасного режима еще раз распаковать архив
и еще раз создать образ автозапуска
----------
либо вы не распаковали архив, и запускаете start.exe прямо из архива.
если есть такая возможность,
попробуйте из безопасного режима еще раз распаковать архив
и еще раз создать образ автозапуска
----------
либо вы не распаковали архив, и запускаете start.exe прямо из архива.