Trojan.Multi.GenAutorunProc.a

[Erd1nele]

Здравствуйте уважаемые специалисты.  Вот уже 2 дня у меня сгорает 5я точка от непонимания происходящего.

 

Логи приложу ниже. Но сначала краткий пролог.

я разработчик и слегка сис.админ. с безопасностью почти на "ты".,,

Позавчера (07.01.2023) мне принесли новые потроха железа хорошего я и собрал рабочую станцию своим коллегам с которым нахожусь (важно) - можно сказать живу 24/7 (живу). Это важно. этим я хотел сказать, что ничего запустить лишнего на ПК нельзя.

Рабочая станция с чистой лицензионной Windows 10 Pro. Лицензией KTS и коротким набором ПО для работы Adobe Cloud (лицензия и все входящие в него ПО в виде фотошопа, премьера и прочего). Телеграмм, Termius, Outline, Dolphyn Anty. Последний - в списке достаточно специфичное ПО которое на базе хромиума делает много браузеров со своими отпечатками и прочим. Это нужно для работы. Весь прошлый год у коллег он детектировался другими антивирусами как вирус, но таковым никогда не являлся.  То есть еще раз: чистая как слеза Win10, все ПО лицензия.

С точки зрения безопасности: AppLocker c белым листом ПО (только то, что выше перечислил). Users (работа из под пользователя а не администраторов), запрет запуска VBS/VBE, KTS и так далее. Плюс конечно СИ - мои коллеги достаточно опытны, чтобы не заходить на сайты БеЗрЕгИсТрацИи и смс. Да и не нужно это - есть краткий и четкий набор софта для работы.

 

Теперь о нюансах. Наверняка все знают, что сейчас творится в мире и в моей стране идет война. Имея на руках один системный блок (всего один) и не имея средств на покупку второго и третьего (нас трое) мы нашли интересное решение как ASTER - это софт который позволяет аппаратно отделить мышки и клавиатуры с минимальным вмешательством в ОС и разбить мониторы. Таким образом на одном мощном ПК в условиях беженца можно работать втроем. Это радует. 

 

И вот на такой истории вчера вылетела плашка "обнаружена вредоносная программа". системная память (то есть она УЖЕ там в системной памяти - а как мы помним от администратора коллеги не работают и там настройки до зубов + каспеский в режиме среднем + ни кто ничего левого не запускал, да и не возможно это сделать - политика настроена. Я остановил всю работу. перезагрузили с лечением. В логах касперского не было процесса конкретно - просто загружен в память. А это значит, что сигнатура была известна и по логике была запущена (нет, не возможно) и скачана (нет, не возможно). Соответственно так как мы работаем с данными, которые пролетают в буфере обмена, что являются важными для нас - мы просто обязаны расследовать инцидент. Моего скилла не хватает, не мой профиль - прошу помощи специалистов. Так как важно не только понять - ложное ли это срабатывание эвристики KTS или же это действительно неведомая зверушка (если так - то крайне важно понять какой магией она попала на рабочий ПК).

 

Согласно правилам оформления темы я должен был прикрепить логи - но параноидально проверив .exe сборщика логов получил 2 совпадения 

https://www.virustotal.com/gui/file/5d7547003fb816def9769f9bcaec1ec297041e99535b8fbb27ced2170dcb52da/detection (это нормально для сборщика логов?)

 

 

 

Добавлю, что после перезагрузки с лечением сегодня (только что) эта штука опять "появилась" в памяти - при этом запущен стандартный набор ПО - Dolphyn Anty, Telegram, Termius, Chrome..

[Sandor]

Здравствуйте!

 

16 минут назад, Erd1nele сказал:

получил 2 совпадения

Это ложное срабатывание. Увы, такое неизбежно для ежедневно обновляющейся программы.

Запускайте смело.

[Erd1nele]

42 минуты назад, Sandor сказал:

Это ложное срабатывание. Увы, такое неизбежно для ежедневно обновляющейся программы.

 

Благодарю. Прикрепляю отчет. Надеюсь на вашу помощь.  

CollectionLog-2023.01.10-13.22.zip

[Sandor]

Пока ничего плохого (вирусоподобного) не видно.

 

Дополнительно, пожалуйста:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Erd1nele]

5 минут назад, Sandor сказал:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

KTS приостановил. На него дефендер ругается. Это норм? да и 2 совпадения в вирустотале. 

Скорее всего как и пред.софт - riskware tool. 

Как вы видите я параноидально настроен на открытие любых и запуск любых приложений. 

 

Но зная особенности работы - точно ничего криминального нет в логах? Я детально так же пробежался - ничего нет. Даты везде свежие из-за установки ПО (инсталляция системы). Но ощущение, что что-то не так (паранойя) имеется. 😄 

[Sandor]

2 минуты назад, Erd1nele сказал:

Это норм? да и 2 совпадения в вирустотале

Да, это тоже ложное срабатывание.

Будьте уверены, мы не станем давать использовать ненадлежащие инструменты пользователям

[Erd1nele]

7 минут назад, Sandor сказал:

Да, это тоже ложное срабатывание.

 

Спасибо за вашу поддержку!

FRST.txt Addition.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус, но не отключайте сеть.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  cmd: winmgmt /salvagerepository
  cmd: winmgmt /verifyrepository
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически. Скрипт может выполняться долго (до получаса), дождитесь окончания.

Подробнее читайте в этом руководстве.

[Erd1nele]

Благодарю. Сейчас сделаю.

Отмечу, что пока вы мне помогали - KTS опять вылетел.  Уровень безопасности "предельный".

Мною ДО этого окна был добавлен в исключение каталога ПО Dolphin Anty. (если можно - вопрос... в чем различие исключений и доверенных программ? - долфин я добавил каталог в исключения).

Отмечу, что долфин в Roaming каталоге плодит .exe chromium с профилями для работы. Для исключения applocker я завел доп. правило (наверняка вы видели его в отчете), но эти каталоги в исключение я не добавлял.

[Sandor]

4 минуты назад, Erd1nele сказал:

в чем различие исключений и доверенных программ?

Почитайте справку - https://support.kaspersky.com/KTS/21.3/ru-RU/201385.htm

[Erd1nele]

3 минуты назад, Sandor сказал:

Почитайте справку - https://support.kaspersky.com/KTS/21.3/ru-RU/201385.htm

Спасибо!

Прикрепляю лог.

Fixlog.txt

[Sandor]

Хорошо. Понаблюдайте и сообщите результат.

[Erd1nele]

2 минуты назад, Sandor сказал:

Хорошо. Понаблюдайте и сообщите результат.

Я настроил таким образом + каталог в исключения. Судя из ваших слов я так понимаю, что это все же ложное срабатывание на специфичный софт? не понятно почему только он не на .exe долфина реагирует в памяти а просто как на некий объект в памяти.

Еще вчера malwarebytes отсканировал систему и в момент работы оно выдало так:

 

-Данные журнала-
Дата события защиты: 09.01.2023
Время события защиты: 20:36
Файл журнала: 340289e0-9044-11ed-a3c3-18c04d96faf0.json

-Информация о ПО-
Версия: 4.5.19.229
Версия компонентов: 1.0.1860
Версия пакета обновления: 1.0.64442
Лицензия: Ознакомительная версия

-Информация о системе-
ОС: Windows 10 (Build 19045.2364)
Процессор: x64
Файловая система: NTFS
Пользователь: System

-Сведения о заблокированном веб-сайте-
Вредоносный веб-сайт: 1
, C:\Program Files\Dolphin Anty\Dolphin Anty.exe, Заблокировано, -1, -1, 0.0.0, , 

-Информация о веб-сайте-
Категория: Скомпрометированные данные
Домен: app.dolphin-anty-ru.online
IP-адрес: 84.38.184.13
Порт: 443
Тип: Исходящий трафик
Файл: C:\Program Files\Dolphin Anty\Dolphin Anty.exe

 

Домен судя по всему виртуальный для лицензий их, так как его по факту нет. Но на ip ругался. 

 

бам. опять вылетело с настройками выше.

[Sandor]

По настройке исключений посоветуйтесь в этом разделе. Создайте свою тему и укажите ссылку на эту тему.

 

KTS продолжает срабатывать?

[Erd1nele]

2 минуты назад, Sandor сказал:

По настройке исключений посоветуйтесь в этом разделе. Создайте свою тему и укажите ссылку на эту тему.

 

KTS продолжает срабатывать?

Да, сработал с настройками исключения на каталог ПО и .exe файл в доверенных программах. При этом никакой конкретики нет.  Нажал лечить без перезагрузки. с 2-го раза "Объект вылечен". но как я понимаю это не решает проблему что за объект и что его вызывает.