Добрый день, прошу помощи.
Ситуация такая, небольшая фирма, в локальной сети 10 ПК и 1 компьютер выполняет роль сервера. Везде Windows 7 64 бит.
Обнаружил на нем вирус с помощью программы Eset Endpoint Antivirus - все ПО на всех компьютерах - лицензионное. Данный антивирус установлен на все ПК.
Вирус ведет себя так:
1) Он не дает почти о себе знать толком - дискомфорта не несет видимого.
2) Каждые пару минут появляется сообщение "Обнаружена угроза" в двух вариантах (Прикладываю скриншоты).
3) В корне диска С создаются файлы c расширением EXE и странными названиями - как правило из одних цифр. Но сегодня появился там файл с названием - demo.exe.
4) Думаю что он заблокировал доступ к серверной части программы NormaCS установленной у нас на сервере. Клиентские программы не получают доступа к серверной части, когда пытаются подключиться. Началось это именно в день нахождения вируса.
5) Апогеем стало сегодня - появление в корне диска С файла:
1.txt - c содержанием:
82.208.**.**:3389|ASP.admin|Fuck@nsa445
Это наш внешний белый IP, звездочками скрыл я. А далее какой то порт, а то что дальше вообще не знаю как на это реагировать.
Что я сделал:
1) Проверил все ПК c помощью Eset Endpoint Antivirus, включая сервер.
На двух ПК он нашел что то, на сервере тоже нашел. К сожалению тут я не сделал скриншоты. Но на сервере это был файл с названием cc1.exe лежал в папке ProgramData. Антивирус его удалил.
2) Далее я проверил Сервер с помощью Kaspersky Virus Tool и Dr web cure it. Dr web - ничего не нашел. Отчет того что нашел Kaspersky на скриншоте №3, один файл был локальный, другой в памяти. Он их якобы очистил. Но сообщения об угрозе все равно появлялись, доступ к NormaCS не вернулся, exe файлы в корне появлялись.
3) Затем я скачал Kaspersky live usb, запустил его до запуска системы естественно. Отчет прикладываю на двух скриншотах - он ничего не нашел.
4) После установил Malwarebytes, он нашел один файл, прикладываю отчет в формате TXT
5) Повторно проверял Eset Endpoint Antivirus и Kaspersky Virus Tool - ничего не находили
6) Зашел в разрешения брэндмауэра - там посмотрел что делается через этот порт из файла txt, оказалось - дистанционное управления. Закрыли разрешение на управление, оно было включено. Но что с этим делать дальше не знаю. Скриншот прикладываю (Тонкий и длинный скриншот
)
7) Создал отчет uVS по инструкции, прикладываю, очень надеюсь на вашу помощь.