Перейти к содержанию

Вирус с расширением *.pif, *.exe, *.rar, *.src (опознаётся как Trojan.Dropper:win32)


Рекомендуемые сообщения

Здравствуйте

 

Есть сеть из 25 компьютеров по сети гуляет вирус, он создает файлы с названиями родительской папки и с расширениями *.pif, *.exe, *.rar, *.src, пример: documents.rar, documents.pif. Опознаётся как Trojan.Dropper:win32. Обезвреживаю с помощью KVRT но они снова появляются. Как найти источник заразы? 

rar.jpg

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Компьютеров много? Система на всех одинаковая? Какая?

На одном из пострадавших выполните Порядок оформления запроса о помощи и прикрепите к следующему сообщению логи. Будем говорить предметно.

 

А так - отключаете компьютер от сети, закрываете простой общий доступ, убираете у пользователя права администратора и лечите.

И так последовательно на каждом.

Ссылка на сообщение
Поделиться на другие сайты
21 hours ago, Sandor said:

Здравствуйте!

 

Компьютеров много? Система на всех одинаковая? Какая?

На одном из пострадавших выполните Порядок оформления запроса о помощи и прикрепите к следующему сообщению логи. Будем говорить предметно.

 

А так - отключаете компьютер от сети, закрываете простой общий доступ, убираете у пользователя права администратора и лечите.

И так последовательно на каждом.

25 компьютеров. системы разные на 7 компьютерах windows 10 на остальных windows 7. Вот логи

CollectionLog-2022.08.04-07.55.zip

Ссылка на сообщение
Поделиться на другие сайты
13 минут назад, IgoreKMaN сказал:

Вот логи

Как вижу, тут была проверка KVRT.

Упакуйте в архив папку C:\KVRT2020_Data\Reports и прикрепите к следующему сообщению.

 

21 час назад, Sandor сказал:

закрываете простой общий доступ

Не закрыли, шесть папок открыты, в том числе C:\Temp

Ссылка на сообщение
Поделиться на другие сайты
32 minutes ago, Sandor said:

Как вижу, тут была проверка KVRT.

Упакуйте в архив папку C:\KVRT2020_Data\Reports и прикрепите к следующему сообщению.

 

Не закрыли, шесть папок открыты, в том числе C:\Temp

Убрал общий доступ, сделал новые логи + архив C:\KVRT2020_Data\Reports

Reports.rar CollectionLog-2022.08.04-08.52.zip

Ссылка на сообщение
Поделиться на другие сайты

Отчёты KVRT слишком короткие. Вы в п.4 этой инструкции отмечали всё?

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением. Отметьте дополнительно галочкой пункт Shortcuts.txt

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txtAddition.txt и Shortcuts.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
On 04.08.2022 at 09:02, Sandor said:

Отчёты KVRT слишком короткие. Вы в п.4 этой инструкции отмечали всё?

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением. Отметьте дополнительно галочкой пункт Shortcuts.txt

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txtAddition.txt и Shortcuts.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

да в п.4 отмечал все. вот результат сканирования FRST

 

FRST.rar

Ссылка на сообщение
Поделиться на другие сайты

Замечание - не нужно полностью цитировать предыдущее сообщение, это ухудшает читаемость темы и нарушает правила форума. Просто отвечайте в поле быстрого ответа внизу.

 

Файл CheckBrowserLnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты

Сделайте на этом компьютере очередную проверку KVRT, упакуйте в архив папку

Цитата

C:\KVRT2020_Data\Reports

и прикрепите к следующему сообщению.

 

На этом же компьютере соберите такой отчёт:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты

Весь хлам из папок D:\Install\ и E:\Install\ планируете хранить дальше?

 

Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
 

Включите обязательно.

 

Удалите бесполезный SpyHunter v.4.28.7.4850

 

Поиском найдите все файлы по маске

*.pif

и переместите в отдельную папку.

 

Проверьте как будет себя вести система после этого и сообщите результат.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...