Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

elpaco-team можно ли самостоятельно решить проблему?

МАН
 Share Подписчики 2

Рекомендуемые сообщения

МАН

МАН 0

Опубликовано
  • Автор
Опубликовано

Сегодня с утра докторвебом было обнаружено повторное заражение. Потом прошелся касперским. В скане FRST упоминается какой-то руткит в службах. Касперский не реагирует.

HKLM\SYSTEM\CurrentControlSet\Services\458D82F7DB8524A3 <==== ВНИМАНИЕ (Rootkit!)

Опять появились вот такие вещи

GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
 

Снимок экрана 2024-07-11 в 5.28.51.png

FRST.txt Addition.txt

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 124

Опубликовано
Опубликовано (изменено)

HKLM\SYSTEM\CurrentControlSet\Services\458D82F7DB8524A3 <==== ВНИМАНИЕ (Rootkit!)

Возможно эффект использования антивирусных сканеров.

 

ыполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

  

Start::
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Run: [QLogicSaveSystemInfo] => rundll32.exe qlco10011.dll,QLSaveSystemInfo (Нет файла)
HKLM\SYSTEM\CurrentControlSet\Services\458D82F7DB8524A3 <==== ВНИМАНИЕ (Rootkit!)
2024-07-10 08:41 - 2024-07-10 08:45 - 000000000 ____D C:\Users\amelnikov\Desktop\Encrypted
2024-07-09 14:55 - 2024-07-09 14:55 - 000000000 ____D C:\Users\amelnikov\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
2024-07-09 12:15 - 2024-07-09 12:15 - 000000000 ____D C:\tmp
AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
HKU\S-1-5-21-2121173459-1681163310-1468016665-1000\Software\Classes\exefile: "%1" %* <==== ВНИМАНИЕ
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Перегрузите систему,

и сделайте новые логи FRST, добавьте новые логи для контроля.

+

добавьте лог проверки в Cureit

+

вопрос:

KES установили уже после нового обнаружения в Cureit?

+

вопрос2:

xyz - служебная учетная запись, или учетка, созданная злоумышленниками?

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
МАН

МАН 0

Опубликовано
  • Автор
Опубликовано

HKLM\SYSTEM\CurrentControlSet\Services\458D82F7DB8524A3 <==== ВНИМАНИЕ (Rootkit!) исчезло из логов FRST еще вечером. 

 

Эти строки я пофиксил сам

GroupPolicy: Ограничение ? <==== ВНИМАНИЕ

Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ

 

Fixlog во вложении еще вечерний

FRST текущий

cureit проходил несколько раз 

KES установил после прохода cureit

учетку xyz создал сам

 

 

 

Fixlog.txt FRST.txt Addition.txt cureit(14616).log

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 124

Опубликовано
Опубликовано (изменено)

Windef видимо ограничен после установки KES

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ

 

Fixlog отличается от скрипта, который вам надо было выполнить, 

 

Интересовали эти записи: 

2024-07-10 08:41 - 2024-07-10 08:45 - 000000000 ____D C:\Users\amelnikov\Desktop\Encrypted
2024-07-09 14:55 - 2024-07-09 14:55 - 000000000 ____D C:\Users\amelnikov\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
2024-07-09 12:15 - 2024-07-09 12:15 - 000000000 ____D C:\tmp

По логу Курейта от 11.07 ничего не найдено.

 

Scan session started 2024/07/11 08:08:51 

 

Total 17422287795 bytes in 39944 files scanned (41797 objects)
Total 39939 files (41593 objects) are clean
There are no infected objects detected
Total 204 files are raised error condition
Scan time is 00:13:19.954

 

Этот инструмент не поможет:

2024-07-08 13:33 - 2024-07-08 13:33 - 000969845 _____ (ShadowExplorer.com ) C:\Users\psisoev\Downloads\ShadowExplorer-0.9-setup.exe

Mimic очищает точки восстановления.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
МАН

МАН 0

Опубликовано
  • Автор
Опубликовано

Спасибо за поддержку!

2024-07-10 08:41 - 2024-07-10 08:45 - 000000000 ____D C:\Users\amelnikov\Desktop\Encrypted     создано мной

2024-07-09 12:15 - 2024-07-09 12:15 - 000000000 ____D C:\tmp    создано мной

 

Текущий проход во вложении

 

 

 

Fixlog.txt FRST.txt Addition.txt

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 124

Опубликовано
Опубликовано
4 минуты назад, МАН сказал:

2024-07-10 08:41 - 2024-07-10 08:45 - 000000000 ____D C:\Users\amelnikov\Desktop\Encrypted     создано мной

2024-07-09 12:15 - 2024-07-09 12:15 - 000000000 ____D C:\tmp    создано мной

ясно, тогда пока все. Успехов в работе над безопасностью ваших устройств.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • whoamis
      Зашифровало сервер сегодня
      От whoamis
      Добрый день зашифровало сервер, предположительно кто-то скачал картинку на сервере и открыл.
      Addition.txt FRST.txt 11.rar
    • Дмитрий С1990
      Зашифровали данные
      От Дмитрий С1990
      Был зашифрован ПК по средствам подключения по rdp  к учетной записи администратора и подобранному паролю.
      Addition.txt virus.7z FRST.txt
    • 4ikotillo
      Зашифрованы файлы на сетевом диске, расширение 4utjb34h
      От 4ikotillo
      Добрый день, обнаружил на своем сетевом хранилище зашифрованные файлы. Файлы были зашиврованы не во всех директориях, а только в тех у которых были права на вход пользователя guest. Я не нашел источник заразы, проверил все компьютеры дома, все чисто. Само шифрование длилось порядка 4 часов и не все файлы были зашиврованны. Видимо зараженное устройство только какое-то время было в моей сети. Прилагаю примеры зашиврованных файлов, мне известно только то что они все имею расширение 4utjb34h. Спасибо за любую помощь.
      4utjb34h.zip FRST.txt
    • Serg1619
      Поймал шифровальщик со странным расширением abdula.a@aol.com
      От Serg1619
      С утра на сервере все значки стали тектостовыми файлами с расширением abdula.a@aol.com,при открытии фаилой везде открывается блокном с требованием написать им на почту для того чтоб разблокировать.
      Как то можно расшифровать все файлы?или все уже безнадежно?
    • Alexey9009
      Зашифровали 1С, документы и файлы предприятия
      От Alexey9009
      Здравствуйте! Сначала зашифровали файлы и просили выкуп по электронной почте. Расширение файла было .azot, отправили им 20 тыс. рублей, и они дали нам ключ с расшифровкой файлов. Но на следующий день компьютер снова зашифровали, и на сей раз другим форматом. Пользоваться можем только браузером, все остальные файлы на компьютере зашифрованы, решения не нашли. файлы прикрепить не удается, разрешение файла напишу ниже:
      Doc1.docx.ELONMUSKISGREEDY-2H3gbZkEOJISMcgWuWJFvN9ncUYD19T3cNBnHTQIMQc
      Видео Регистратор.url.ELONMUSKISGREEDY-2H3gbZkEOJISMcgWuWJFvN9ncUYD19T3cNBnHTQIMQc
      1C Предприятие.lnk.ELONMUSKISGREEDY-2H3gbZkEOJISMcgWuWJFvN9ncUYD19T3cNBnHTQIMQc
      Также я прикрепил документ, который открывается при открытии любого файла, сейчас уже страшно переходить хоть куда-то, куда они просят. Спасибо
      Новый текстовый документ.txt
       
×
×
  • Создать...