Вирус в локальной сети (Синий экран)

@Linar375 · Регистрация: 26.11.2018

Всем привет. Я работаю сис. админом, в штате 300+ ПК и 15 серверов. В один прекрасный день некоторые компьютеры начали ужасно виснуть хотя в процессах их ничего не грузило, не один антивирус не находил вирусы, причем если отключить инет и ребутнуть комп после перезагрузки тормозов не будет а как только включишь инет то сразу тормоза. В этот же момент у других пользователей в день по два-три раза выскакивал синий экран с разными кодами ошибок. В итоге перепробовал миллион разных антивиров только один помог утилита от Касперского KVRT. Она нашла вирус Trojan.Multi.GenAutorunTask.c, из за этого вируса тормозил компьютер. Как удалял вирус компы переставали торомозить но вот синий экраны как были так и остались. Этот вирус создает в планировщике задач свою задачу которая дает какую то команду(команда зашифрована не известным кодом) на PowerShell. Еще есть такой момент если компьютер отключить от локальной сетки то синий экран не будет выскакивать. Переустановка системы тоже не помогает, после переустановки все равно выскакивает синяк. Еще этот вирус каким то образом портит службу SMB сетевое сканирование, но это я в реестре нашел как поправить. Лично у меня такие мысли что в сети гуляет какая та какашка и как только она пытается внести изменения в пк он уходит в синий экран. Сеть доменная, На ПК юзеров установлен Win7, nod32Antivir4, брандмауэр отключен у всех. Какие у вас мысли друзья?

@Sandor · 26.11.2018, 14:36

Здравствуйте!

В этом разделе действуют определенные правила - Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему
Если же вы планируете только обсудить проблему, сообщите, перенесем в общий раздел.

@Linar375 · 26.11.2018, 15:00 **[ТС]**

Прикрепляю Логи

@Sandor · 26.11.2018, 15:07

В логах ничего плохого (вирусоподобного) не видно.

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

Запустите AVZ. (Находится в папке ...\Autologger\AVZ)
Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
Закачайте полученный архив, как описано на этой странице.
Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

@Linar375 · 26.11.2018, 15:12 **[ТС]**

Я конечно могу проделать эти действия. Но если вы прочитали мою тему то проблема не такая явная она возникает в сети на компьютерах юзеров. Сегодня на одном компьютере завтра на другом.

@severnyj · 26.11.2018, 15:33

Сообщение от Linar375

Сегодня на одном компьютере завтра на другом.

Обновления на ОС все установлены?

@Linar375 · 26.11.2018, 15:49 **[ТС]**

На одном сервере специально все обновы поставил, все равно синяки периодически.

@severnyj · 26.11.2018, 15:52

Логи с него можно?

@Linar375 · 26.11.2018, 16:02 **[ТС]**

вот логи с файлового сервера

@severnyj · 26.11.2018, 16:54

Все-таки обновлять его надо. SP1 + все обновления безопасности после SP1

@Linar375 · 26.11.2018, 19:56 **[ТС]**

Ok, обновлю, но как это поможет компьютерам юзеров?

@severnyj · 26.11.2018, 20:00

Вообще нужно все компьютеры юзеров обновить. Найденный касперским троян распространяется через незакрытые дыры.

@Linar375 · 26.11.2018, 20:09 **[ТС]**

Ну а может есть какой то способ искренить этот вирус из сети каким то образом?

@severnyj · 26.11.2018, 20:49

Сначала обновление, потом наблюдение и лечение тех систем, где подозревается заражение

@Linar375 · 26.11.2018, 21:06 **[ТС]**

severnyj, Хорошо, спасибо завтра попробую. А еще такой момент этот самый сервер перезагружается только в будни, в выходные все компьютеры пользователей выключены и сервак не синеет, как понедельник до обеда полюбому выскочит синяк. Может есть какая та известная дырка в винде через которую ходят вирусы?

@severnyj · 26.11.2018, 21:16

Их каждый год 4-5 этих дырок.

@Linar375 · 26.11.2018, 21:20 **[ТС]**

severnyj, Понятно, просто win7 уже майкрасофт не поддерживает и свежие заплатки не делает. Но заметил такой момент что на компьютерах где XP,win8,win8.1,win10 подобных проблем нет.

@severnyj · 26.11.2018, 22:22

Сообщение от Linar375

win7 уже майкрасофт

Еще как поддерживает, до 14 января 2020 года

Понимаю, что 300 машин и "запущенное хозяйство" потребуют больших временных затрат, но все же стоит это сделать. А потом уже заниматься чисткой

@Linar375 · 29.11.2018, 15:24 **[ТС]**

severnyj, Обновление судя по всему помогло, сервак больше не ребутался. Но проблема остается, как вылечить сеть от вируса?

@Sandor · 29.11.2018, 16:03

Сообщение от severnyj

Сначала обновление, потом наблюдение и лечение тех систем, где подозревается заражение

Это нужно проделать на каждом компьютере.
Если все же после этого останется подозрение, для каждого ПК создавайте свою тему и собирайте логи.

@Linar375 0 / 0 / 0 Регистрация: 26.11.2018 Сообщений: 14
	26.11.2018, 20:09 [ТС]	13
	Ну а может есть какой то способ искренить этот вирус из сети каким то образом? 0

@Linar375 0 / 0 / 0 Регистрация: 26.11.2018 Сообщений: 14
	26.11.2018, 21:20 [ТС]	17
	severnyj, Понятно, просто win7 уже майкрасофт не поддерживает и свежие заплатки не делает. Но заметил такой момент что на компьютерах где XP,win8,win8.1,win10 подобных проблем нет. 0

@Linar375 0 / 0 / 0 Регистрация: 26.11.2018 Сообщений: 14
		1
	Вирус в локальной сети (Синий экран) 26.11.2018, 14:25. Просмотров 4407. Ответов 33 Метки нет (Все метки) Всем привет. Я работаю сис. админом, в штате 300+ ПК и 15 серверов. В один прекрасный день некоторые компьютеры начали ужасно виснуть хотя в процессах их ничего не грузило, не один антивирус не находил вирусы, причем если отключить инет и ребутнуть комп после перезагрузки тормозов не будет а как только включишь инет то сразу тормоза. В этот же момент у других пользователей в день по два-три раза выскакивал синий экран с разными кодами ошибок. В итоге перепробовал миллион разных антивиров только один помог утилита от Касперского KVRT. Она нашла вирус Trojan.Multi.GenAutorunTask.c, из за этого вируса тормозил компьютер. Как удалял вирус компы переставали торомозить но вот синий экраны как были так и остались. Этот вирус создает в планировщике задач свою задачу которая дает какую то команду(команда зашифрована не известным кодом) на PowerShell. Еще есть такой момент если компьютер отключить от локальной сетки то синий экран не будет выскакивать. Переустановка системы тоже не помогает, после переустановки все равно выскакивает синяк. Еще этот вирус каким то образом портит службу SMB сетевое сканирование, но это я в реестре нашел как поправить. Лично у меня такие мысли что в сети гуляет какая та какашка и как только она пытается внести изменения в пк он уходит в синий экран. Сеть доменная, На ПК юзеров установлен Win7, nod32Antivir4, брандмауэр отключен у всех. Какие у вас мысли друзья? 0

@Sandor 14975 / 12519 / 2128 Регистрация: 08.10.2012 Сообщений: 50,817
	26.11.2018, 14:36	2
	Здравствуйте! В этом разделе действуют определенные правила - Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему Если же вы планируете только обсудить проблему, сообщите, перенесем в общий раздел. 0

@Sandor 14975 / 12519 / 2128 Регистрация: 08.10.2012 Сообщений: 50,817
	26.11.2018, 15:07	4
	В логах ничего плохого (вирусоподобного) не видно. Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ: Запустите AVZ. (Находится в папке ...\Autologger\AVZ) Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины) В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем *virusinfo_files_<имя_ПК>.zip* Закачайте полученный архив, как описано на этой странице. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении. 0

@Linar375 0 / 0 / 0 Регистрация: 26.11.2018 Сообщений: 14
	26.11.2018, 15:12 [ТС]	5
	Я конечно могу проделать эти действия. Но если вы прочитали мою тему то проблема не такая явная она возникает в сети на компьютерах юзеров. Сегодня на одном компьютере завтра на другом. 0

@severnyj 3596 / 1875 / 276 Регистрация: 04.04.2012 Сообщений: 6,993
	26.11.2018, 15:33	6
	Сообщение от Linar375 Сегодня на одном компьютере завтра на другом. Обновления на ОС все установлены? 0

@Linar375 0 / 0 / 0 Регистрация: 26.11.2018 Сообщений: 14
	26.11.2018, 15:49 [ТС]	7
	На одном сервере специально все обновы поставил, все равно синяки периодически. 0

@severnyj 3596 / 1875 / 276 Регистрация: 04.04.2012 Сообщений: 6,993
	26.11.2018, 15:52	8
	Логи с него можно? 0

@severnyj 3596 / 1875 / 276 Регистрация: 04.04.2012 Сообщений: 6,993
	26.11.2018, 16:54	10
	Все-таки обновлять его надо. SP1 + все обновления безопасности после SP1 0

@Linar375 0 / 0 / 0 Регистрация: 26.11.2018 Сообщений: 14
	26.11.2018, 19:56 [ТС]	11
	Ok, обновлю, но как это поможет компьютерам юзеров? 0

@severnyj 3596 / 1875 / 276 Регистрация: 04.04.2012 Сообщений: 6,993
	26.11.2018, 20:00	12
	Вообще нужно все компьютеры юзеров обновить. Найденный касперским троян распространяется через незакрытые дыры. 0

Опции темы

@severnyj 3596 / 1875 / 276 Регистрация: 04.04.2012 Сообщений: 6,993
	26.11.2018, 20:49	14
	Сначала обновление, потом наблюдение и лечение тех систем, где подозревается заражение 0

@Linar375 0 / 0 / 0 Регистрация: 26.11.2018 Сообщений: 14
	26.11.2018, 21:06 [ТС]	15
	severnyj, Хорошо, спасибо завтра попробую. А еще такой момент этот самый сервер перезагружается только в будни, в выходные все компьютеры пользователей выключены и сервак не синеет, как понедельник до обеда полюбому выскочит синяк. Может есть какая та известная дырка в винде через которую ходят вирусы? 0

@severnyj 3596 / 1875 / 276 Регистрация: 04.04.2012 Сообщений: 6,993
	26.11.2018, 21:16	16
	Их каждый год 4-5 этих дырок. 0

@severnyj 3596 / 1875 / 276 Регистрация: 04.04.2012 Сообщений: 6,993
	26.11.2018, 22:22	18
	Сообщение от Linar375 win7 уже майкрасофт Еще как поддерживает, до 14 января 2020 года Понимаю, что 300 машин и "запущенное хозяйство" потребуют больших временных затрат, но все же стоит это сделать. А потом уже заниматься чисткой 0

@Linar375 0 / 0 / 0 Регистрация: 26.11.2018 Сообщений: 14
	29.11.2018, 15:24 [ТС]	19
	severnyj, Обновление судя по всему помогло, сервак больше не ребутался. Но проблема остается, как вылечить сеть от вируса? 0

@Sandor 14975 / 12519 / 2128 Регистрация: 08.10.2012 Сообщений: 50,817
	29.11.2018, 16:03	20
	Сообщение от severnyj Сначала обновление, потом наблюдение и лечение тех систем, где подозревается заражение Это нужно проделать на каждом компьютере. Если все же после этого останется подозрение, для каждого ПК создавайте свою тему и собирайте логи. 0