lamp0v 0 Опубликовано 16 ноября, 2018 Share Опубликовано 16 ноября, 2018 Имеется информация о том, что несколько компьютеров заражены ботнетом Torpig. Происходила передача пакетов на ряд ip-адресов, видимо идентификация ботнета произошла после анализа сигнатур пакетов. Машины были просканированы почти всеми известными утилитами, вредонос не найдет. Часть машин на Win7, часть на WinXP Лог собрал с ХР CollectionLog-2018.11.16-14.11.zip Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 16 ноября, 2018 Share Опубликовано 16 ноября, 2018 Здравствуйте,- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
lamp0v 0 Опубликовано 16 ноября, 2018 Автор Share Опубликовано 16 ноября, 2018 Прикрепляю отчеты В дополнение - при удачном обнаружении желательно достать тело вредоноса Спасибо Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 16 ноября, 2018 Share Опубликовано 16 ноября, 2018 На сколько вижу в ответах вы запускали TDDSKiller, уточните пожалуйста он что-то находил и вы что-то удаляли с ним?На сколько вижу в логах есть служба без dll не понятно это была вредоносная служба или нет: S2 LanmanServer; C:\WINDOWS\system32\svchost.exe [14336 2008-04-15] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL) Уточните пожалуйста вам знаком следующий файл? C:\WINDOWS\system32\.new Если нет, выполните пожалуйста следующие инструкции: Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: Start:: CreateRestorePoint: File: C:\WINDOWS\system32\.new File: C:\WINDOWS\ucrtbase.dll Zip: C:\WINDOWS\system32\.new End:: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму Цитата Ссылка на сообщение Поделиться на другие сайты
lamp0v 0 Опубликовано 16 ноября, 2018 Автор Share Опубликовано 16 ноября, 2018 (изменено) Служба и файл не знакомы. Прикрепил лог-файл Farbar Recovery Scan Tool и отчет TDDSKiller, удаление не производилось. Fixlog.txt TDSSKiller.txt Изменено 16 ноября, 2018 пользователем itc_pk Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 16 ноября, 2018 Share Опубликовано 16 ноября, 2018 Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS. Цитата Ссылка на сообщение Поделиться на другие сайты
lamp0v 0 Опубликовано 18 ноября, 2018 Автор Share Опубликовано 18 ноября, 2018 Отчет UVS autorun_2018-11-19_08-37-11_v4.1.1.7z Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 18 ноября, 2018 Share Опубликовано 18 ноября, 2018 По каким-то причинам стороние антивирусы видят угрозу в следующем файле, могли бы его отправать на newvirus@kaspersky.com и сообщить результат. Это необходимо, чтобы убедиться, что это ложное срабатывание. C:\1\СПРАВКИБК\БК.EXE Выполните скрипт в uVS: ;uVS v4.1.1 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v400c OFFSGNSAVE BREG delref %Sys32%\DRIVERS\02643131.SYS delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL restart Цитата Ссылка на сообщение Поделиться на другие сайты
lamp0v 0 Опубликовано 19 ноября, 2018 Автор Share Опубликовано 19 ноября, 2018 Прикрепляю отчет после выполнения скрипта UVS Файл в newvirus@kaspersky.com отправил 2018-11-19_10-22-57_log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 19 ноября, 2018 Share Опубликовано 19 ноября, 2018 Сделайте пожалуйста лог uVS с загрузочного диска. Цитата Ссылка на сообщение Поделиться на другие сайты
lamp0v 0 Опубликовано 19 ноября, 2018 Автор Share Опубликовано 19 ноября, 2018 Автозапуск из загрузочного диска admin_2018-11-19_12-02-24.7z Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 19 ноября, 2018 Share Опубликовано 19 ноября, 2018 Я в загрузочном секторе не увидел угрозу, однако я запросил коллег также проверить ваш лог. Пожалуйста ожидайте моего следующего ответа в течение дня. Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 19 ноября, 2018 Share Опубликовано 19 ноября, 2018 Коллеги подтвердили в указанных логах нет ничего плохого. Сообщите, что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.