AdminStolbzy

Подозрительный файл не предоставляет угрозы. Файл C:\Windows\System32\sethc.exe до сих пор имеет оригинальное имя cmd.exe Спасибо. Файл нашел через найти в меню пуск (через total не находило), удалил его и теперь касперский уже ни на что не ругается.

Копия подозрительного файла у меня осталась, если что - восстановлю. Вот образ автозапуска TECHNOLOG_2019-10-28_08-30-08_v4.1.8.7z

Удалил подозрительный файл Mswtif.dll, затем вытащил из образа (проверял на машине, где установлена система с этого образа - командная строка не запускается) sethc.exe, закинул в system 32 - антивирус опять находил трояна в system memory, затем удалил sethc.exe, перезагрузил и все равно командную строку можно запустить.

Архив с подозрительным файлом загрузил. sethc.exe скачивал и из интернета, и с другого компа, но все равно в fixlog оказывалось, что это файл cmd.exe.

Спасибо за помощь. Я уже пробовал перекидывать с другого компа этот файл. Буду искать оригинальный.

Fixlog Fixlog.txt

Вот нужные файлы Addition.txt FRST.txt

Доброго времени суток. На ноутбуке установлен KES 10, в SYSTEM MEMORY он нашел Trojan.Multi.Accesstr.ash. Предлагает лечить с перезагрузкой. Лечит, но после перезагрузки тоже самое. И что за файл не показывает - на вкладке файл просто system memory размер 0 байт. Логи прилагаются CollectionLog-2019.10.25-14.27.zip

А нашли по логам антивируса, кто и с какого ПК запустили его? Так как если не удалить вредоносное ПО, то оно может продолжать портить файлы. После заражения я на каждом ПК прогнал cureitом, а файл я нашел просмотрев все письма за пару дней до заражения, скачал архив и проверил KES. А вот кто первый открыл это письмо так пока и не нашел. Больше никто не жаловался на то, что не открываются файлы.

По имеющей новой информации возможно и с флэшки. Файл пришел действительно с письмом. KES 10 определил его как Trojan-Ransom.JS.Agent.dy, но первоначально зараженный компьютер пока не вычислил (либо на нем просто нет файлов *.key)

Вот пример для региона Россия, из известных мне случаев: C:\Users\<username>\AppData\Roaming\RUFXX-XXXXX-XXXXX-XXXXX-XXXXX-XXXXX.LST C:\Users\<username>\AppData\Roaming\RUFXX-XXXXX-XXXXX-XXXXX-XXXXX-XXXXX.HTML C:\Users\<username>\AppData\Roaming\RUFXX-XXXXX-XXXXX-XXXXX-XXXXX-XXXXX.KEY Могли по сути откуда угодно, но обычно основном инструментом доставки является электронная почта или взлом сервера у который имеет возможность удаленного доступа. Искал с помощью поиска в ТС, но пока ничего так и не нашел (ПК другого крыла смогу проверить только в понедельник). На

А какое расширение файла?

А по логам - это не этот ПК? А на первоначально зараженном может с файлами быть всё хорошо? И этот файл с расширением .key? P.S. А не могли его на флешке принести? Потому что проверил 3 зараженных ПК и не нашел подходящего файла.

Fixlog.txt

Fixlog.txt смогу прислать завтра, как буду на работе. Скорее всего с этого, т.к. заражено 3 ПК, а на этом дата изменения файлов самая ранняя. Есть вероятность, что вирус занесли с флешки-ключа, но первым делом вставили в этом компьютер.