Hendehog 0 Опубликовано 27 июля, 2022 Share Опубликовано 27 июля, 2022 Здравствуйте. Еще один компьютер, более приоритетный, чем в прошлой теме. Суть - получили сегодня письмо с exe файлом, явно подстава какая-то. Файл был запущен. У dr.web - ноль реакции. Затем после отправки файла им, детект появился через часов 7. После запуска файла, компьютер в ближайшее время был просканирован KVRT - угроза не была обнаружена. Все в порядке Просканирован Dr.web (до отсылки им файла) - не обнаружена. Проходит часов 6 наверное, др.веб обновил базы и антивирус вылавливает на ПК сперва js а затем через какое-то время втихую архив с вирусом. Я решаю просканировать KVRT повторно, и что я получаю - вирус находится в памяти - напоминаю после запуска часов 6 назад сканирование проводилось и не было ничего! Сканирую, лечу, несколько перезагрузок. Теперь и нет понимаю, что он успел натворить? Почему его KVRT сразу не обнаружил?? Где он сидел все это время? Что успел скомпрометировать? Утащить? Затаится? Удалось ли его вылечить или он потом снова появится из ниоткуда? Не оставил ли своих копий в других местах и так далее? Помогите пожалуйста, найти, убить, найти его следы и понять что он успел сделать Логи за весь день от KVRT прилагаю - всю папку не получается, слишком велика. Если можно куда-то залить - скажите куда. Ссылка на вирустотал https://www.virustotal.com/gui/file/c96ecdc1d1b001ca7113557e9a6c3fba9a085f755b7a8cf15ae2e8bdd293d68b Reports.rar CollectionLog-2022.07.27-22.09.zip Ссылка на сообщение Поделиться на другие сайты
Hendehog 0 Опубликовано 27 июля, 2022 Автор Share Опубликовано 27 июля, 2022 Может спешу, но тем не менее. Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 28 июля, 2022 Share Опубликовано 28 июля, 2022 Здравствуйте! Три программы удалённого управления: Цитата AnyDesk Remote Manipulator System UltraVnc Все ваши? Всеми пользуетесь? Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteRepair(20); RebootWindows(false); end. Компьютер перезагрузится. Удалите старые и соберите новые логи FRST.txt и Addition.txt Ссылка на сообщение Поделиться на другие сайты
Hendehog 0 Опубликовано 28 июля, 2022 Автор Share Опубликовано 28 июля, 2022 Софт удаленного доступа - мой, использовался и раньше. Скрипт выполнил. Логи - вот. Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 28 июля, 2022 Share Опубликовано 28 июля, 2022 Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус (сеть при этом не отключайте). Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1: <==== ВНИМАНИЕ (Ограничение - Zones) C:\Users\valov.aa\AppData\Local\Google\Chrome\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb] AV: COMODO Antivirus (Enabled - Up to date) {05BC7AB5-FF0E-71EC-1054-15DA19B62DC7} AV: Kaspersky Security Cloud (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23} AV: 360 Total Security (Enabled - Up to date) {FFDC234A-CE9B-08F9-406B-F876951CE066} FW: Kaspersky Security Cloud (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58} AlternateDataStreams: C:\ProgramData:iSpring Solutions [128] AlternateDataStreams: C:\Windows:AstInfo [0] AlternateDataStreams: C:\Users\All Users:iSpring Solutions [128] AlternateDataStreams: C:\Users\Все пользователи:iSpring Solutions [128] AlternateDataStreams: C:\ProgramData\Application Data:iSpring Solutions [128] AlternateDataStreams: C:\Users\valov.aa\Application Data:iSpring Solutions [128] AlternateDataStreams: C:\Users\valov.aa\AppData\Roaming:iSpring Solutions [128] FirewallRules: [{F836FDAB-90BB-426A-B4E2-8ADFB98F7050}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла FirewallRules: [{C322EBAC-5AB0-4811-8B1D-6DFE80A93354}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла FirewallRules: [{A8CBDB8C-6076-458D-8FEC-537FACA1BF0F}] => (Allow) C:\Program Files\BlueStacks_nxt\HD-Player.exe => Нет файла FirewallRules: [{DC698649-78BE-4899-AE55-9FF10436C100}] => (Allow) D:\Nox\bin\Nox.exe => Нет файла FirewallRules: [{F191DE94-0D8C-43D0-9B0E-C6F6AEE29A00}] => (Allow) C:\Program Files (x86)\Bignox\BigNoxVM\RT\NoxVMHandle.exe => Нет файла FirewallRules: [{2540ABA5-BC35-45E2-949C-C33243F279AD}] => (Allow) C:\Users\sharmanov.vv\AppData\Local\Programs\Opera\77.0.4054.203\opera.exe => Нет файла FirewallRules: [{3FD82455-2165-4614-9D0B-6A75CF2BB8A9}] => (Allow) LPort=21159 FirewallRules: [{AC53AEF0-89EE-4BB0-8241-43404FEB1FCE}] => (Allow) LPort=21159 FirewallRules: [{AB5EC4DE-DAD3-452E-8715-C092204716C0}] => (Allow) LPort=5900 FirewallRules: [{A8C441FB-2FF0-4D03-BD74-5321AFB6DA48}] => (Allow) LPort=5800 FirewallRules: [{B4B14FBD-D9A0-4DA9-A555-7329680DBAA9}] => (Allow) LPort=9422 FirewallRules: [{C8BDB59E-8D8B-43F9-BBDB-D4FCBD0CD74D}] => (Allow) LPort=9245 FirewallRules: [{BBFC233B-5B06-4E8B-B29F-956E8E9D76C5}] => (Allow) LPort=9246 FirewallRules: [{A8C4D583-D38D-4D71-A6FA-2A912973C7CD}] => (Allow) LPort=9247 cmd: DISM.exe /Online /Cleanup-image /Restorehealth cmd: sfc /scannow cmd: winmgmt /salvagerepository cmd: winmgmt /verifyrepository cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Hendehog 0 Опубликовано 28 июля, 2022 Автор Share Опубликовано 28 июля, 2022 Лог Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 28 июля, 2022 Share Опубликовано 28 июля, 2022 Хорошо. Мы очистили некоторый мусор и Цитата Программа защиты ресурсов Windows обнаружила поврежденные файлы и успешно их восстановила. По поводу вопросов из первого сообщения - затрудняюсь что-либо сказать. Исследование (или т.н. форензика) - это немного другая область, другие инструменты, знания, затраты и т.д. и т.п. Мы можем помочь избавиться от существующего заражения и дать рекомендации на будущее. Для этого дополнительно: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работуДождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txtЕсли Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txtПрикрепите этот файл к своему следующему сообщению. Ссылка на сообщение Поделиться на другие сайты
Hendehog 0 Опубликовано 28 июля, 2022 Автор Share Опубликовано 28 июля, 2022 Вопрос для меня сейчас важный в другом, были ли мои данные слиты или нет, никак не узнать это? И что он мог слить конкретно? SecurityCheck.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 28 июля, 2022 Share Опубликовано 28 июля, 2022 Явных вредоносов, ворующих пароли, не замечено. Но лишний раз сменить важные пароли не помешает. ------------------------------- [ Windows ] ------------------------------- Контроль учётных записей пользователя включен Запрос на повышение прав для администраторов отключен^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ --------------------------- [ OtherUtilities ] ---------------------------- Notepad++ (64-bit x64) v.8.4.2 Внимание! Скачать обновления ------------------------------- [ Backup ] -------------------------------- Яндекс.Диск v.3.2.17.4565 Внимание! Скачать обновления ------------------------------ [ ArchAndFM ] ------------------------------ 7-Zip 21.07 (x64) v.21.07 Внимание! Скачать обновления^Удалите старую версию, скачайте и установите новую.^ -------------------------- [ IMAndCollaborate ] --------------------------- WhatsApp v.2.2212.8 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.5.5.46206 Внимание! Клиент сети P2P с рекламным модулем!. --------------------------------- [ SPY ] --------------------------------- Remote Manipulator System - Viewer v.7.1.2.0 Внимание! Программа удаленного доступа! Remote Manipulator System - Host v.7.1.2.0 Внимание! Программа удаленного доступа! -------------------------------- [ Media ] -------------------------------- VLC media player v.3.0.16 Внимание! Скачать обновления --------------------------- [ AdobeProduction ] --------------------------- Adobe Acrobat DC v.20.006.20042 Внимание! Скачать обновления^Проверьте обновления через меню Справка - Проверить обновления!^ ---------------------------- [ UnwantedApps ] ----------------------------- Кнопка "Яндекс" на панели задач v.2.2.2.55 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. На перечисленное обратите внимание и по возможности исправьте. Читайте Рекомендации после удаления вредоносного ПО В остальных ваших темах тоже дайте ответ, пожалуйста. Ссылка на сообщение Поделиться на другие сайты
Hendehog 0 Опубликовано 1 августа, 2022 Автор Share Опубликовано 1 августа, 2022 Спасибо за помощь, тему можно закрывать Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 1 августа, 2022 Share Опубликовано 1 августа, 2022 Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского". Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения