Dmitry K.

Удаляется и вновь возникает win32.cometer.gen

9 posts in this topic

Добрый день, ежедневно успешно удаляется, а потом возникает вновь win32.cometer.gen на Windows Server 2012 R2 , виртуальная машина.

Создаёт файл C:\Windows\Temp\svr.exe , который успешно удаляется посторонними утилитами типа Drweb CureIt (под именем Trojan.KillProc.53175), KSOS находит в памяти под именем win32.cometer.gen, удаляет, потом пишет странное сообщение в логе "Ложное срабатывание на объект (системная память)", и всё повторяется вновь. Сервер внезапно перезагружается, в памяти находится вирус, затем вирус превращается в ложное срабатывание, а контрольный запуск CureIt находит экземпляры на прежнем месте.

Проблема осложняется ещё и тем, что виртуальный сервер находится в далёком ЦОДе, к которому нет доступа, и вещи типа "вынуть жёсткий диск и пролечить на чистой машине" не проходят. Да в безопасном режиме загрузить систему тоже практически нереально - есть веб-интерфейс vnc-консоли, которая живёт своей жизнью и не на все кнопки отзывается.

Если что-то надо приложить дополнительное, то прошу написать, что, а пока что только лог сработок за неделю для примера.

KSOS-log.txt

Share this post


Link to post
Share on other sites

Posted (edited)

@Dmitry K. все обновления системы установлены? Какая версия антивируса стоит: http://support.kaspersky.ru/1690 ?
Включите расширенные базы антивируса: http://support.kaspersky.ru/12991, обновите антивирусные базы и выполните полную проверку.
Найденные файлы упакуйте в архив с паролем:virus и через техническую поддержку отправьте на проверку, так как на данный момент срабатывает эвристика.

Edited by ANGElDRAGON

Share this post


Link to post
Share on other sites

1. Версия антивируса 17.0.0.611 (е)

2. Расширенные базы включили, обновили, запустили полную проверку (по результатам отпишусь)

3. А вот по обновлениям системы всё плохо - она не обновляется. Либо это результат действия вирусов, либо по условиям хостинга (это надо уточнять). Ручной запуск "Поиск и установка обновлений" не находит никаких новых обновлений со дня установки системы.

Share this post


Link to post
Share on other sites

Полная проверка ничего определённого не выявила, кроме подозрительных объектов-скриптов (включая мною же и написанные cmd-скрипты). GetSystemInfo - отчёт создался. Ладно, пошлю то, что есть, включая ссылку на это обсуждение.

Share this post


Link to post
Share on other sites

Пока что новости следующие:.

1. Экземпляр вируса, логи и трассировки переданы в Техподдержку.

2. обновления Windows запустить удалось следующим методом: запускаем утилиту WindowsUpdateDiagnostic.diag ( https://support.microsoft.com/en-us/instantanswers/512a5183-ffab-40c5-8a68-021e32467565/windows-update-troubleshooter ), и пока она работает и ищет ошибки, много раз подряд запускаем поиск обновлений. С первого раза не получается, только с третьего-четвёртого запуска. Иногда помогает перезапуск сервиса обновлений с одновременной работой этой утилиты. До этих мероприятий поиск обновлений либо шёл бесконечно, ничего не находя, либо сваливался в ошибку 80072efe

3. После установки всех актуальных обновлений, вирус ловится уже под другим названием: Trojan.Win32.BitMiner.ayd

4. Будет ли он появляться вновь, или дыра, через которую он лез, закрылась свежими обновлениями - пока неясно, будем наблюдать за больным.

Share this post


Link to post
Share on other sites
40 минут назад, Dmitry K. сказал:

Пока что новости следующие:.

1. Экземпляр вируса, логи и трассировки переданы в Техподдержку.

2. обновления Windows запустить удалось следующим методом: запускаем утилиту WindowsUpdateDiagnostic.diag ( https://support.microsoft.com/en-us/instantanswers/512a5183-ffab-40c5-8a68-021e32467565/windows-update-troubleshooter ), и пока она работает и ищет ошибки, много раз подряд запускаем поиск обновлений. С первого раза не получается, только с третьего-четвёртого запуска. Иногда помогает перезапуск сервиса обновлений с одновременной работой этой утилиты. До этих мероприятий поиск обновлений либо шёл бесконечно, ничего не находя, либо сваливался в ошибку 80072efe

3. После установки всех актуальных обновлений, вирус ловится уже под другим названием: Trojan.Win32.BitMiner.ayd

4. Будет ли он появляться вновь, или дыра, через которую он лез, закрылась свежими обновлениями - пока неясно, будем наблюдать за больным.

Здравствуйте!

Подскажите, пожалуйста, номер запроса в Техническую поддержку?

Заранее, спасибо.

Share this post


Link to post
Share on other sites
4 часа назад, Mefodys сказал:

Здравствуйте!

Подскажите, пожалуйста, номер запроса в Техническую поддержку?

Заранее, спасибо.

 

INC000008033788 

Share this post


Link to post
Share on other sites

Ну вроде бы вирус больше не ловится, и внезапных перезагрузок системы с синими экранами (каждый раз разными) пока не повторялось. Будем надеяться, что проблема решена.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!


Register a new account

Sign in

Already have an account? Sign in here.


Sign In Now