Jump to content
  • Announcements

    • Rodion Nagornov

      Долгое сохранение сообщений || Delays while posting (click here to read the full text RU/EN)   09/20/2017

      Due to some technical reasons visual delays are possible while message sending. Actually your message is published immediately - just interface works long. In such case, please, do not re-send your message immediately! Press F5 to reload the page and check if your message/topic is published. || По техническим причинам возможно визуально долгое отправление сообщений на форуме. Фактически ваше сообщение публикуется мгновенно - долго отрабатывает графика. В случае подобной ситуации, пожалуйста, сначала обновите страницу (F5) и проверьте, появилось ли ваше сообщение. Не пытайтесь сразу отправить его заново.
Dmitry K.

Удаляется и вновь возникает win32.cometer.gen

Recommended Posts

Добрый день, ежедневно успешно удаляется, а потом возникает вновь win32.cometer.gen на Windows Server 2012 R2 , виртуальная машина.

Создаёт файл C:\Windows\Temp\svr.exe , который успешно удаляется посторонними утилитами типа Drweb CureIt (под именем Trojan.KillProc.53175), KSOS находит в памяти под именем win32.cometer.gen, удаляет, потом пишет странное сообщение в логе "Ложное срабатывание на объект (системная память)", и всё повторяется вновь. Сервер внезапно перезагружается, в памяти находится вирус, затем вирус превращается в ложное срабатывание, а контрольный запуск CureIt находит экземпляры на прежнем месте.

Проблема осложняется ещё и тем, что виртуальный сервер находится в далёком ЦОДе, к которому нет доступа, и вещи типа "вынуть жёсткий диск и пролечить на чистой машине" не проходят. Да в безопасном режиме загрузить систему тоже практически нереально - есть веб-интерфейс vnc-консоли, которая живёт своей жизнью и не на все кнопки отзывается.

Если что-то надо приложить дополнительное, то прошу написать, что, а пока что только лог сработок за неделю для примера.

KSOS-log.txt

Share this post


Link to post

@Dmitry K. все обновления системы установлены? Какая версия антивируса стоит: http://support.kaspersky.ru/1690 ?
Включите расширенные базы антивируса: http://support.kaspersky.ru/12991, обновите антивирусные базы и выполните полную проверку.
Найденные файлы упакуйте в архив с паролем:virus и через техническую поддержку отправьте на проверку, так как на данный момент срабатывает эвристика.

Edited by ANGElDRAGON

Share this post


Link to post

1. Версия антивируса 17.0.0.611 (е)

2. Расширенные базы включили, обновили, запустили полную проверку (по результатам отпишусь)

3. А вот по обновлениям системы всё плохо - она не обновляется. Либо это результат действия вирусов, либо по условиям хостинга (это надо уточнять). Ручной запуск "Поиск и установка обновлений" не находит никаких новых обновлений со дня установки системы.

Share this post


Link to post

Полная проверка ничего определённого не выявила, кроме подозрительных объектов-скриптов (включая мною же и написанные cmd-скрипты). GetSystemInfo - отчёт создался. Ладно, пошлю то, что есть, включая ссылку на это обсуждение.

Share this post


Link to post

Пока что новости следующие:.

1. Экземпляр вируса, логи и трассировки переданы в Техподдержку.

2. обновления Windows запустить удалось следующим методом: запускаем утилиту WindowsUpdateDiagnostic.diag ( https://support.microsoft.com/en-us/instantanswers/512a5183-ffab-40c5-8a68-021e32467565/windows-update-troubleshooter ), и пока она работает и ищет ошибки, много раз подряд запускаем поиск обновлений. С первого раза не получается, только с третьего-четвёртого запуска. Иногда помогает перезапуск сервиса обновлений с одновременной работой этой утилиты. До этих мероприятий поиск обновлений либо шёл бесконечно, ничего не находя, либо сваливался в ошибку 80072efe

3. После установки всех актуальных обновлений, вирус ловится уже под другим названием: Trojan.Win32.BitMiner.ayd

4. Будет ли он появляться вновь, или дыра, через которую он лез, закрылась свежими обновлениями - пока неясно, будем наблюдать за больным.

Share this post


Link to post
40 минут назад, Dmitry K. сказал:

Пока что новости следующие:.

1. Экземпляр вируса, логи и трассировки переданы в Техподдержку.

2. обновления Windows запустить удалось следующим методом: запускаем утилиту WindowsUpdateDiagnostic.diag ( https://support.microsoft.com/en-us/instantanswers/512a5183-ffab-40c5-8a68-021e32467565/windows-update-troubleshooter ), и пока она работает и ищет ошибки, много раз подряд запускаем поиск обновлений. С первого раза не получается, только с третьего-четвёртого запуска. Иногда помогает перезапуск сервиса обновлений с одновременной работой этой утилиты. До этих мероприятий поиск обновлений либо шёл бесконечно, ничего не находя, либо сваливался в ошибку 80072efe

3. После установки всех актуальных обновлений, вирус ловится уже под другим названием: Trojan.Win32.BitMiner.ayd

4. Будет ли он появляться вновь, или дыра, через которую он лез, закрылась свежими обновлениями - пока неясно, будем наблюдать за больным.

Здравствуйте!

Подскажите, пожалуйста, номер запроса в Техническую поддержку?

Заранее, спасибо.

Share this post


Link to post
4 часа назад, Mefodys сказал:

Здравствуйте!

Подскажите, пожалуйста, номер запроса в Техническую поддержку?

Заранее, спасибо.

 

INC000008033788 

Share this post


Link to post

Ну вроде бы вирус больше не ловится, и внезапных перезагрузок системы с синими экранами (каждый раз разными) пока не повторялось. Будем надеяться, что проблема решена.

Share this post


Link to post

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×