@Linar375

Всем привет. Я работаю сис. админом, в штате 300+ ПК и 15 серверов. В один прекрасный день некоторые компьютеры начали ужасно виснуть хотя в процессах их ничего не грузило, не один антивирус не находил вирусы, причем если отключить инет и ребутнуть комп после перезагрузки тормозов не будет а как только включишь инет то сразу тормоза. В этот же момент у других пользователей в день по два-три раза выскакивал синий экран с разными кодами ошибок. В итоге перепробовал миллион разных антивиров только один помог утилита от Касперского KVRT. Она нашла вирус Trojan.Multi.GenAutorunTask.c, из за этого вируса тормозил компьютер. Как удалял вирус компы переставали торомозить но вот синий экраны как были так и остались. Этот вирус создает в планировщике задач свою задачу которая дает какую то команду(команда зашифрована не известным кодом) на PowerShell. Еще есть такой момент если компьютер отключить от локальной сетки то синий экран не будет выскакивать. Переустановка системы тоже не помогает, после переустановки все равно выскакивает синяк. Еще этот вирус каким то образом портит службу SMB сетевое сканирование, но это я в реестре нашел как поправить. Лично у меня такие мысли что в сети гуляет какая та какашка и как только она пытается внести изменения в пк он уходит в синий экран. Сеть доменная, На ПК юзеров установлен Win7, nod32Antivir4, брандмауэр отключен у всех. Какие у вас мысли друзья?

0

@Sandor

Здравствуйте!

В этом разделе действуют определенные правила - Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему
Если же вы планируете только обсудить проблему, сообщите, перенесем в общий раздел.

0

@Linar375

Прикрепляю Логи

0

Вложения

CollectionLog-2018.11.26-14.56.zip (49.9 Кб, 2 просмотров)

@Sandor

В логах ничего плохого (вирусоподобного) не видно.

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ. (Находится в папке ...\Autologger\AVZ)
2. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

0

@Linar375

Я конечно могу проделать эти действия. Но если вы прочитали мою тему то проблема не такая явная она возникает в сети на компьютерах юзеров. Сегодня на одном компьютере завтра на другом.

0

@severnyj

Обновления на ОС все установлены?

0

@Linar375

На одном сервере специально все обновы поставил, все равно синяки периодически.

0

@severnyj

Логи с него можно?

0

@Linar375

вот логи с файлового сервера

0

Вложения

CollectionLog-2018.11.26-16.00.zip (41.6 Кб, 1 просмотров)

@severnyj

Все-таки обновлять его надо. SP1 + все обновления безопасности после SP1

0

@Linar375

Ok, обновлю, но как это поможет компьютерам юзеров?

0

@severnyj

Вообще нужно все компьютеры юзеров обновить. Найденный касперским троян распространяется через незакрытые дыры.

0

@Linar375

Ну а может есть какой то способ искренить этот вирус из сети каким то образом?

0

@severnyj

Сначала обновление, потом наблюдение и лечение тех систем, где подозревается заражение

0

@Linar375

severnyj, Хорошо, спасибо завтра попробую. А еще такой момент этот самый сервер перезагружается только в будни, в выходные все компьютеры пользователей выключены и сервак не синеет, как понедельник до обеда полюбому выскочит синяк. Может есть какая та известная дырка в винде через которую ходят вирусы?

0

@severnyj

Их каждый год 4-5 этих дырок.

0

@Linar375

severnyj, Понятно, просто win7 уже майкрасофт не поддерживает и свежие заплатки не делает. Но заметил такой момент что на компьютерах где XP,win8,win8.1,win10 подобных проблем нет.

0

@severnyj

Еще как поддерживает, до 14 января 2020 года

Понимаю, что 300 машин и "запущенное хозяйство" потребуют больших временных затрат, но все же стоит это сделать. А потом уже заниматься чисткой

0

@Linar375

severnyj, Обновление судя по всему помогло, сервак больше не ребутался. Но проблема остается, как вылечить сеть от вируса?

0

@Sandor

Это нужно проделать на каждом компьютере.
Если все же после этого останется подозрение, для каждого ПК создавайте свою тему и собирайте логи.

0