Вирус с расширением *.pif, *.exe, *.rar, *.src (опознаётся как Trojan.Dropper:win32)

[IgoreKMaN]

Здравствуйте

 

Есть сеть из 25 компьютеров по сети гуляет вирус, он создает файлы с названиями родительской папки и с расширениями *.pif, *.exe, *.rar, *.src, пример: documents.rar, documents.pif. Опознаётся как Trojan.Dropper:win32. Обезвреживаю с помощью KVRT но они снова появляются. Как найти источник заразы? 

[Sandor]

Здравствуйте!

 

Компьютеров много? Система на всех одинаковая? Какая?

На одном из пострадавших выполните Порядок оформления запроса о помощи и прикрепите к следующему сообщению логи. Будем говорить предметно.

 

А так - отключаете компьютер от сети, закрываете простой общий доступ, убираете у пользователя права администратора и лечите.

И так последовательно на каждом.

[Sandor]

Сообщите, на каком форуме будете продолжать.

[IgoreKMaN]

21 hours ago, Sandor said:

Здравствуйте!

 

Компьютеров много? Система на всех одинаковая? Какая?

На одном из пострадавших выполните Порядок оформления запроса о помощи и прикрепите к следующему сообщению логи. Будем говорить предметно.

 

А так - отключаете компьютер от сети, закрываете простой общий доступ, убираете у пользователя права администратора и лечите.

И так последовательно на каждом.

25 компьютеров. системы разные на 7 компьютерах windows 10 на остальных windows 7. Вот логи

CollectionLog-2022.08.04-07.55.zip

[Sandor]

13 минут назад, IgoreKMaN сказал:

Вот логи

Как вижу, тут была проверка KVRT.

Упакуйте в архив папку C:\KVRT2020_Data\Reports и прикрепите к следующему сообщению.

 

21 час назад, Sandor сказал:

закрываете простой общий доступ

Не закрыли, шесть папок открыты, в том числе C:\Temp

[IgoreKMaN]

32 minutes ago, Sandor said:

Как вижу, тут была проверка KVRT.

Упакуйте в архив папку C:\KVRT2020_Data\Reports и прикрепите к следующему сообщению.

 

Не закрыли, шесть папок открыты, в том числе C:\Temp

Убрал общий доступ, сделал новые логи + архив C:\KVRT2020_Data\Reports

Reports.rar CollectionLog-2022.08.04-08.52.zip

[Sandor]

Отчёты KVRT слишком короткие. Вы в п.4 этой инструкции отмечали всё?

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением. Отметьте дополнительно галочкой пункт Shortcuts.txt

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt и Shortcuts.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

[IgoreKMaN]

On 04.08.2022 at 09:02, Sandor said:

Отчёты KVRT слишком короткие. Вы в п.4 этой инструкции отмечали всё?

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением. Отметьте дополнительно галочкой пункт Shortcuts.txt

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt и Shortcuts.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

да в п.4 отмечал все. вот результат сканирования FRST

 

FRST.rar

[Sandor]

Замечание - не нужно полностью цитировать предыдущее сообщение, это ухудшает читаемость темы и нарушает правила форума. Просто отвечайте в поле быстрого ответа внизу.

 

Файл CheckBrowserLnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

[IgoreKMaN]

Отчёт  ClearLNK

ClearLNK-2022.08.08_09.43.33.log

[Sandor]

Соберите, пожалуйста, новый CollectionLog Автологером.

[IgoreKMaN]

Новый отчет

CollectionLog-2022.08.08-10.11.zip

[Sandor]

Сделайте на этом компьютере очередную проверку KVRT, упакуйте в архив папку

Цитата

C:\KVRT2020_Data\Reports

и прикрепите к следующему сообщению.

 

На этом же компьютере соберите такой отчёт:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[IgoreKMaN]

KVRT отчет и SecurityCheck.txtReports.rarSecurityCheck.txt

[Sandor]

Весь хлам из папок D:\Install\ и E:\Install\ планируете хранить дальше?

 

Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
 

Включите обязательно.

 

Удалите бесполезный SpyHunter v.4.28.7.4850

 

Поиском найдите все файлы по маске

*.pif

и переместите в отдельную папку.

 

Проверьте как будет себя вести система после этого и сообщите результат.