Перейти к содержанию

Помогите отследить вирус


Рекомендуемые сообщения

Добрый день!

В бухгалтерию пришло письма с архивом

Успели открыть на терминальном сервере и архив сразу исчез. В течении минут 5-7 сообщили сис админам.

Сервер немедленно перезагрузили и пробежался по нему антивирусом, но ничего не нашел.

Просьба помочь отследить куда мог залезть вирус и где его подчистить.

Заранее благодарен

 

Ссылка на комментарий
Поделиться на другие сайты

нашелся другим антивирусом
Heuristic.2122, C:\USERS\---------\DESKTOP\\u00d0\u00a1\u00d1\u0082\u00d0\u00b0\u00d1\u0080\u00d1\u008b\u00d0\u00b9 \u00d0\u00a0\u00d0\u00a1\DESKTOP\SCAN\PETRYNIN YRA\\u00d0\u009d\u00d0\u00b0 \u00d0\u00be\u00d1\u0085\u00d0\u00be\u00d1\u0082\u00d1\u0083\\u00d0\u00a1\u00d0\u00b0\u00d0\u00bc\u00d0\u00be\u00d0\u00ba\u00d1\u0080\u00d1\u0083\u00d1\u0082-V011.EXE, Проигнорировано пользователем, 1000001, 1246567, 1.0.86336, 00000000000000000000084A, dds, 02887582, 22338D04524C5EE9343FC58CB1007B48, BB13D1107CBEEBB7D9D40DF9D0EFC1A42F4C188E0F20E198828553A281A60551
 

Ссылка на комментарий
Поделиться на другие сайты

Письмо где открыли? на ПК бухгалтера, или  почта у бухгалтера на терминальном сервере?

Вообщем, лучше сделать логи на сервере и на ПК бухгалтера. Возможно, это была атака шифровальщика Lockbit v3 Black (room155). Вначале из вложения ,добавленного в рассылку ставится бэкдор, который вполне может и не заметить/задетектировать установленный антивирус, затем уже будет шифрование.

 

Сделайте это:

 

Добавьте дополнительно образ автозапуска системы в uVS.


 

Quote

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

и это:


 

Quote

 

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

Загрузите в ваше сообщение файлы FRST.txt, Addition.txt

 

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

45 minutes ago, s2v said:

22338D04524C5EE9343FC58CB1007B48, BB13D1107CBEEBB7D9D40DF9D0EFC1A42F4C188E0F20E198828553A281A60551

может здесь найдено что-то другое. Не связанное с текущей атакой из почты.

 

если есть копия архива из вложения, загрузите на облачный диск с паролем virus, и дайте ссылку на скачивание в ЛС

 

файл из вложения:

https://www.virustotal.com/gui/file/847a9300c2d9324a0851df6e9f4a10a103f185ba7fcb9bf61f6077a9ee0c1745/behavior

 

Quote

Просьба помочь отследить куда мог залезть вирус и где его подчистить.

в автозапуске может быть эта строка:

"C:\Windows\System32\regsvr32.exe" /i /s "C:\Users\<USER>\AppData\Local\dynwrapx.dll"

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Логи во вложении.

Прошу прощения, затупил со сборов вторых логов

TERMINAL_2024-06-28_18-21-45_v4.15.7v.7z Addition.txt FRST.txt

 

4 часа назад, safety сказал:

dynwrapx.dll

В логах не нашелся, видимо все таки успели вовремя ребутнуть.

Ссылка на комментарий
Поделиться на другие сайты

по логам здесь чисто.

Сделайте еще логи с ПК бухгалтера, возможно запуск файла из вложения был на ее устройстве.

Ссылка на комментарий
Поделиться на другие сайты

к сожалению, только в ПН смогу это сделать.

Но это маловероятно, тк бух только на сервере работает.

Огромное спасибо за помощь.

Ссылка на комментарий
Поделиться на другие сайты

On 29.06.2024 at 12:52, s2v said:

только в ПН смогу это сделать.

Но это маловероятно, тк бух только на сервере работает.

лучше перепроверить, чтобы убедиться что  ПК бухгалтера не был затронут атакой + установить у нее в локальных политиках запрет на запуск исполняемых из архивов.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • plotikkaroch
      От plotikkaroch
      Помогите удалить вирус NET:MALWARE.UR.
      Объект: dialer.exe.
      Угроза: NET:MALWARE.URL
      Путь:\Net\3816\TCP\5/188/137/200-8888\Device\HarddiskVolume3\Windows\System32\dialer.exe
               \Net\2508\TCP\5/188/137/200-8888\Device\HarddiskVolume3\Windows\System32\dialer.exe
      Не знаю, что для этого нужно делать и прикреплять. Поэтому прикрепил, что увидел в других похожих темах на этот счет.
      Виндовс не очень хочется переустанавливать из-за этого.
      Curelt его не обезвреживает, при повторном сканировании также появляются в списке. 
      Логи cureit, SysInfo, FRST, Addition: https://dropmefiles.com/AiGRB
    • Milkuf
      От Milkuf
      Помогите дочистить систему от вирусов.
      https://forum.kasperskyclub.ru/topic/465233-zakryvaetsja-programma-ustanovki-kaspersky-free/-здесь мне посоветовали создать тут тему, чтобы полностью очистить систему от вирусов.
       
      CollectionLog-2024.12.10-08.48.zip
    • Эльнар
      От Эльнар
      Здравствуйте! Помогите пожалуйста удалить вирус, скорее всего майнер. Он постоянно нагружает процессор, даже на рабочем столе. Как только открываю диспетчер задач, обороты вентиляторов процессора падают до нормального. Как только выхожу из диспетчера задач сразу обороты вентиляторов растут. При открытии диспетчера задач я не успеваю увидеть какой процесс нагружает компьютер. Эта проблема началась когда я установил программу видеомонтажа Magix Vegas Pro не с официального сайта. Так же из проблем не получается зайти в конфигурацию системы (msconfig), окошко сразу закрывается. При запуске антивируса Malwarebytes, он тоже сразу закрывается. Когда зашёл в систему через безопасную загрузку msconfig также не открывается, но удалось запустить malwarebytes и drweb, они нашли вирусы, но проблема не ушла. Запустил Kaspersky Removal Tool, он долго сканировал и нашёл вирусы. Один из них располагался в папке куда был установлен Magix Vegas Pro. После удаления вирусов ситуация к сожалению не изменилась. Приложил отчёт сборщика логов.
      CollectionLog-2024.12.02-15.07.zip
    • vlad2008
      От vlad2008
      Неизвестно где поймал heur trojan multi genbadur.Касперский самостоятельно не справляется, после перезагрузки окно с предупреждением о вирусе появляется снова. Читая на форумах, понял что можно удалить вирус через программу  Farbar Recovery Scan Tool. Отсканировал все, но понял что самостоятельно fixlog для лечения компьютера не составлю. Помогите пожалуйста с этим.
      Ниже результаты сканирования программы:
       
       
      Addition.txt FRST.txt
    • Alex2088
      От Alex2088
      Здравствуйте помогите расшифровать файлы бызы 1с. Сылку для скачиваия файла прикриплю.
        https://dropmefiles.com/f0l5Y 
      Frank_Help.txt
       
      Сообщение от модератора kmscom тема перемещена из раздела Компьютерная помощь
×
×
  • Создать...