Добрый день.
Поймали вирусы на разных компьютерах (сетевой червь).
При лечении cureit он обнаруживает и удаляет, но после перезагрузки некоторые файлы остаются.
Файлы прячутся в каталогах:
C:\Windows\INF\NETLIBRARIESTIP\000D
C:\Windows\INF\NETLIBRARIESTIP\0009
C:\Windows\SysWOW64\MPK
C:\ProgramData\KMSAuto
C:\Windows\Fonts\web
Для доступа к этим файлам необходима смена владельца каталога, иначе они не видны.
Ну и не убиваются процессы, из-за чего файлы остаются и переносятся на следующую перезагрузку.
Эта атака проведена при помощи вскрытого по RDP-компьютера. На компьютере была куча всяких снифферов (сетевые в том числе) и после этого компьютер был зашифрован со всеми программами и логами от вирусов для сокрытия атаки...
kms-virus = первое лечение
kms-virus-after = лечение после перезагрузки
cureit-ws00 = лог с одного из заражённых компьютеров (после первого прохода cureit)
Сейчас жду лога после второй проверки.