
AdminStolbzy
Новички-
Публикаций
20 -
Зарегистрирован
-
Посещение
Репутация
0Информация о AdminStolbzy
-
Статус
Новичок
-
Подозрительный файл не предоставляет угрозы. Файл C:\Windows\System32\sethc.exe до сих пор имеет оригинальное имя cmd.exe Спасибо. Файл нашел через найти в меню пуск (через total не находило), удалил его и теперь касперский уже ни на что не ругается.
-
Копия подозрительного файла у меня осталась, если что - восстановлю. Вот образ автозапуска TECHNOLOG_2019-10-28_08-30-08_v4.1.8.7z
-
Удалил подозрительный файл Mswtif.dll, затем вытащил из образа (проверял на машине, где установлена система с этого образа - командная строка не запускается) sethc.exe, закинул в system 32 - антивирус опять находил трояна в system memory, затем удалил sethc.exe, перезагрузил и все равно командную строку можно запустить.
-
Архив с подозрительным файлом загрузил. sethc.exe скачивал и из интернета, и с другого компа, но все равно в fixlog оказывалось, что это файл cmd.exe.
-
Спасибо за помощь. Я уже пробовал перекидывать с другого компа этот файл. Буду искать оригинальный.
-
Fixlog Fixlog.txt
-
Вот нужные файлы Addition.txt FRST.txt
-
AdminStolbzy подписался на Троян в System Memory
-
Доброго времени суток. На ноутбуке установлен KES 10, в SYSTEM MEMORY он нашел Trojan.Multi.Accesstr.ash. Предлагает лечить с перезагрузкой. Лечит, но после перезагрузки тоже самое. И что за файл не показывает - на вкладке файл просто system memory размер 0 байт. Логи прилагаются CollectionLog-2019.10.25-14.27.zip
-
А нашли по логам антивируса, кто и с какого ПК запустили его? Так как если не удалить вредоносное ПО, то оно может продолжать портить файлы. После заражения я на каждом ПК прогнал cureitом, а файл я нашел просмотрев все письма за пару дней до заражения, скачал архив и проверил KES. А вот кто первый открыл это письмо так пока и не нашел. Больше никто не жаловался на то, что не открываются файлы.
-
Вот пример для региона Россия, из известных мне случаев: C:\Users\<username>\AppData\Roaming\RUFXX-XXXXX-XXXXX-XXXXX-XXXXX-XXXXX.LST C:\Users\<username>\AppData\Roaming\RUFXX-XXXXX-XXXXX-XXXXX-XXXXX-XXXXX.HTML C:\Users\<username>\AppData\Roaming\RUFXX-XXXXX-XXXXX-XXXXX-XXXXX-XXXXX.KEY Могли по сути откуда угодно, но обычно основном инструментом доставки является электронная почта или взлом сервера у который имеет возможность удаленного доступа. Искал с помощью поиска в ТС, но пока ничего так и не нашел (ПК другого крыла смогу проверить только в понедельник). На