Перейти к содержанию

Подозрение на заражение компьютера


Эдуард Кондратьев

Рекомендуемые сообщения

Эдуард Кондратьев

Здравствуйте! Присутствует подозрение на заражение устройства, помогите, пожалуйста, понять есть ли заражение либо это только так кажется.

Ссылка на zip-архив с собранными логами.

****

Сообщение от модератора Mark D. Pearlstone
Ссылка удалена.
Ссылка на сообщение
Поделиться на другие сайты
Mark D. Pearlstone

Пишу ещё раз - перечитайте правила создания запроса. У вас должен получиться файл вида CollectionLog-yyyy.mm.dd-hh.mm.zip. А вы загружаете архив с программой сборщика логов.

Ссылка на сообщение
Поделиться на другие сайты
Эдуард Кондратьев
11 часов назад, Sandor сказал:

В логах не видно ничего подозрительного (вирусоподобного).

Спасибо за оказанную поддержку!

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Erd1nele
      От Erd1nele
      Здравствуйте уважаемые специалисты.  Вот уже 2 дня у меня сгорает 5я точка от непонимания происходящего.
       
      Логи приложу ниже. Но сначала краткий пролог.
      я разработчик и слегка сис.админ. с безопасностью почти на "ты".,,
      Позавчера (07.01.2023) мне принесли новые потроха железа хорошего я и собрал рабочую станцию своим коллегам с которым нахожусь (важно) - можно сказать живу 24/7 (живу). Это важно. этим я хотел сказать, что ничего запустить лишнего на ПК нельзя.
      Рабочая станция с чистой лицензионной Windows 10 Pro. Лицензией KTS и коротким набором ПО для работы Adobe Cloud (лицензия и все входящие в него ПО в виде фотошопа, премьера и прочего). Телеграмм, Termius, Outline, Dolphyn Anty. Последний - в списке достаточно специфичное ПО которое на базе хромиума делает много браузеров со своими отпечатками и прочим. Это нужно для работы. Весь прошлый год у коллег он детектировался другими антивирусами как вирус, но таковым никогда не являлся.  То есть еще раз: чистая как слеза Win10, все ПО лицензия.
      С точки зрения безопасности: AppLocker c белым листом ПО (только то, что выше перечислил). Users (работа из под пользователя а не администраторов), запрет запуска VBS/VBE, KTS и так далее. Плюс конечно СИ - мои коллеги достаточно опытны, чтобы не заходить на сайты БеЗрЕгИсТрацИи и смс. Да и не нужно это - есть краткий и четкий набор софта для работы.
       
      Теперь о нюансах. Наверняка все знают, что сейчас творится в мире и в моей стране идет война. Имея на руках один системный блок (всего один) и не имея средств на покупку второго и третьего (нас трое) мы нашли интересное решение как ASTER - это софт который позволяет аппаратно отделить мышки и клавиатуры с минимальным вмешательством в ОС и разбить мониторы. Таким образом на одном мощном ПК в условиях беженца можно работать втроем. Это радует. 
       
      И вот на такой истории вчера вылетела плашка "обнаружена вредоносная программа". системная память (то есть она УЖЕ там в системной памяти - а как мы помним от администратора коллеги не работают и там настройки до зубов + каспеский в режиме среднем + ни кто ничего левого не запускал, да и не возможно это сделать - политика настроена. Я остановил всю работу. перезагрузили с лечением. В логах касперского не было процесса конкретно - просто загружен в память. А это значит, что сигнатура была известна и по логике была запущена (нет, не возможно) и скачана (нет, не возможно). Соответственно так как мы работаем с данными, которые пролетают в буфере обмена, что являются важными для нас - мы просто обязаны расследовать инцидент. Моего скилла не хватает, не мой профиль - прошу помощи специалистов. Так как важно не только понять - ложное ли это срабатывание эвристики KTS или же это действительно неведомая зверушка (если так - то крайне важно понять какой магией она попала на рабочий ПК).
       
      Согласно правилам оформления темы я должен был прикрепить логи - но параноидально проверив .exe сборщика логов получил 2 совпадения 
      https://www.virustotal.com/gui/file/5d7547003fb816def9769f9bcaec1ec297041e99535b8fbb27ced2170dcb52da/detection (это нормально для сборщика логов?)
       
       
       

      Добавлю, что после перезагрузки с лечением сегодня (только что) эта штука опять "появилась" в памяти - при этом запущен стандартный набор ПО - Dolphyn Anty, Telegram, Termius, Chrome..
×
×
  • Создать...