IgoreKMaN 0 Опубликовано 3 августа, 2022 Share Опубликовано 3 августа, 2022 Здравствуйте Есть сеть из 25 компьютеров по сети гуляет вирус, он создает файлы с названиями родительской папки и с расширениями *.pif, *.exe, *.rar, *.src, пример: documents.rar, documents.pif. Опознаётся как Trojan.Dropper:win32. Обезвреживаю с помощью KVRT но они снова появляются. Как найти источник заразы? Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 135 Опубликовано 3 августа, 2022 Share Опубликовано 3 августа, 2022 Здравствуйте! Компьютеров много? Система на всех одинаковая? Какая? На одном из пострадавших выполните Порядок оформления запроса о помощи и прикрепите к следующему сообщению логи. Будем говорить предметно. А так - отключаете компьютер от сети, закрываете простой общий доступ, убираете у пользователя права администратора и лечите. И так последовательно на каждом. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 135 Опубликовано 3 августа, 2022 Share Опубликовано 3 августа, 2022 Сообщите, на каком форуме будете продолжать. Цитата Ссылка на сообщение Поделиться на другие сайты
IgoreKMaN 0 Опубликовано 4 августа, 2022 Автор Share Опубликовано 4 августа, 2022 21 hours ago, Sandor said: Здравствуйте! Компьютеров много? Система на всех одинаковая? Какая? На одном из пострадавших выполните Порядок оформления запроса о помощи и прикрепите к следующему сообщению логи. Будем говорить предметно. А так - отключаете компьютер от сети, закрываете простой общий доступ, убираете у пользователя права администратора и лечите. И так последовательно на каждом. 25 компьютеров. системы разные на 7 компьютерах windows 10 на остальных windows 7. Вот логи CollectionLog-2022.08.04-07.55.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 135 Опубликовано 4 августа, 2022 Share Опубликовано 4 августа, 2022 13 минут назад, IgoreKMaN сказал: Вот логи Как вижу, тут была проверка KVRT. Упакуйте в архив папку C:\KVRT2020_Data\Reports и прикрепите к следующему сообщению. 21 час назад, Sandor сказал: закрываете простой общий доступ Не закрыли, шесть папок открыты, в том числе C:\Temp Цитата Ссылка на сообщение Поделиться на другие сайты
IgoreKMaN 0 Опубликовано 4 августа, 2022 Автор Share Опубликовано 4 августа, 2022 32 minutes ago, Sandor said: Как вижу, тут была проверка KVRT. Упакуйте в архив папку C:\KVRT2020_Data\Reports и прикрепите к следующему сообщению. Не закрыли, шесть папок открыты, в том числе C:\Temp Убрал общий доступ, сделал новые логи + архив C:\KVRT2020_Data\Reports Reports.rar CollectionLog-2022.08.04-08.52.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 135 Опубликовано 4 августа, 2022 Share Опубликовано 4 августа, 2022 Отчёты KVRT слишком короткие. Вы в п.4 этой инструкции отмечали всё? Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Отметьте дополнительно галочкой пункт Shortcuts.txt Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt и Shortcuts.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
IgoreKMaN 0 Опубликовано 8 августа, 2022 Автор Share Опубликовано 8 августа, 2022 On 04.08.2022 at 09:02, Sandor said: Отчёты KVRT слишком короткие. Вы в п.4 этой инструкции отмечали всё? Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Отметьте дополнительно галочкой пункт Shortcuts.txt Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt и Shortcuts.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. да в п.4 отмечал все. вот результат сканирования FRST FRST.rar Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 135 Опубликовано 8 августа, 2022 Share Опубликовано 8 августа, 2022 Замечание - не нужно полностью цитировать предыдущее сообщение, это ухудшает читаемость темы и нарушает правила форума. Просто отвечайте в поле быстрого ответа внизу. Файл CheckBrowserLnk.log из папки...\AutoLogger\CheckBrowserLnk перетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
IgoreKMaN 0 Опубликовано 8 августа, 2022 Автор Share Опубликовано 8 августа, 2022 Отчёт ClearLNK ClearLNK-2022.08.08_09.43.33.log Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 135 Опубликовано 8 августа, 2022 Share Опубликовано 8 августа, 2022 Соберите, пожалуйста, новый CollectionLog Автологером. Цитата Ссылка на сообщение Поделиться на другие сайты
IgoreKMaN 0 Опубликовано 8 августа, 2022 Автор Share Опубликовано 8 августа, 2022 Новый отчет CollectionLog-2022.08.08-10.11.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 135 Опубликовано 8 августа, 2022 Share Опубликовано 8 августа, 2022 Сделайте на этом компьютере очередную проверку KVRT, упакуйте в архив папку Цитата C:\KVRT2020_Data\Reports и прикрепите к следующему сообщению. На этом же компьютере соберите такой отчёт: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работуДождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txtЕсли Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txtПрикрепите этот файл к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
IgoreKMaN 0 Опубликовано 9 августа, 2022 Автор Share Опубликовано 9 августа, 2022 KVRT отчет и SecurityCheck.txtReports.rarSecurityCheck.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 135 Опубликовано 9 августа, 2022 Share Опубликовано 9 августа, 2022 Весь хлам из папок D:\Install\ и E:\Install\ планируете хранить дальше? Контроль учётных записей пользователя включен Запрос на повышение прав для администраторов отключен^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ Включите обязательно. Удалите бесполезный SpyHunter v.4.28.7.4850 Поиском найдите все файлы по маске *.pif и переместите в отдельную папку. Проверьте как будет себя вести система после этого и сообщите результат. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.