Павел Павлович Опубликовано 27 ноября Опубликовано 27 ноября Добрый день. Использую компьютер для подключения к корпоративным ресурсам. Работодатель сообщил о вредоносной активности. Антивирус не детектирует ничего подозрительного. Подскажите можете помочь провести более полную проверку. Может есть какие-то утилиты и т.п. CollectionLog-2025.11.27-15.06.zip
Sandor Опубликовано 27 ноября Опубликовано 27 ноября Здравствуйте! Ярлыки: Цитата C:\Users\Stas\AppData\Roaming\Microsoft\Windows\Start Menu\Мир Танков.lnk C:\Users\Stas\AppData\Roaming\Microsoft\Windows\Start Menu\Мир Кораблей.lnk удалите вручную. Браузер 360 Extreme Browser ставили самостоятельно? Если нет, деинсталлируйте. Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.
Павел Павлович Опубликовано 28 ноября Автор Опубликовано 28 ноября Добрый день. Во вложении Mitev_Home.zip
Sandor Опубликовано 28 ноября Опубликовано 28 ноября Явных признаков заражения не видно. Почистим некоторый мусор. Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: Task: {47DD1768-4B71-44A1-90DC-9512479CCB01} - System32\Tasks\AsrAPPShop => C:\Program Files (x86)\ASRock Utility\Auto Driver Installer\AsrAPPShop.exe (Нет файла) CHR HKU\S-1-5-21-960112517-2412285641-220906823-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec] S3 159d9be1; System32\Drivers\159d9be1.sys [X] FirewallRules: [{C07E978E-557C-475B-AB51-04DB8004BC54}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла FirewallRules: [{E35664C6-490E-4E68-8E4E-5082BF000CD0}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла FirewallRules: [{A6AB0374-4870-4032-94D1-027AB58ED4ED}] => (Allow) C:\Users\Stas\AppData\Local\Programs\Opera\opera.exe => Нет файла EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. 18 часов назад, Sandor сказал: Браузер 360 Extreme Browser ставили самостоятельно? Если нет, деинсталлируйте. Не ответили и не удалили. Почему?
Павел Павлович Опубликовано 28 ноября Автор Опубликовано 28 ноября попросили проверить планировщик. Там вас тоже ничего не насторожило?
Sandor Опубликовано 28 ноября Опубликовано 28 ноября Вы об этом? Спойлер C:\Program Files\Activation-Renewal\Activation_task.cmd [17398 2025-03-06] () [Файл не подписан]
Павел Павлович Опубликовано 28 ноября Автор Опубликовано 28 ноября Вообще все задачи. По вашему мнению, есть следы компрометации ?
Sandor Опубликовано 28 ноября Опубликовано 28 ноября Вполне обычные задачи. Смотрите, я отвечаю на ваши вопросы, а вы игнорируете мои
Павел Павлович Опубликовано 28 ноября Автор Опубликовано 28 ноября Извините, пропустил. Не ответили и не удалили. Почему? - не успел. в процессе. Возможно еще попросят логи собрать
Sandor Опубликовано 28 ноября Опубликовано 28 ноября 19 часов назад, Павел Павлович сказал: Работодатель сообщил о вредоносной активности Что именно он сообщил, можете сказать? А рекомендации мы даём именно в нужной последовательности, чтобы в следующем логе был виден результат.
Павел Павлович Опубликовано 28 ноября Автор Опубликовано 28 ноября Что были следы компрометации инфраструктуры, и удаленные подключения. Конкретики не сказали. Приходится писать вам за помощью.
Sandor Опубликовано 28 ноября Опубликовано 28 ноября Соберите такой лог: Загрузите SecurityCheck by glax24 & Severnyj (или с зеркала), сохраните утилиту на Рабочем столе и извлеките из архива.Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратораЕсли увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работуДождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txtЕсли Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txtПрикрепите этот файл к своему следующему сообщению.
Sandor Опубликовано 28 ноября Опубликовано 28 ноября По возможности закройте потенциально узявимые места: Microsoft Office Professional Plus 2019 - ru-ru v.16.0.10417.20068 Внимание! Скачать обновления ^Инструкция по обновлению Microsoft Office.^ AnyDesk v.ad 7.0.15 Внимание! Скачать обновления OpenVPN 2.5.8-I604 amd64 v.2.5.040 Внимание! Скачать обновления µTorrent v.3.6.0.47196 Внимание! Клиент сети P2P с рекламным модулем! 360 Extreme Browser v.22.3.5122.64 Браузер был установлен в составе другого ПО, если вы им не пользуетесь - деинсталлируйте..
Автор NewPatriot
Автор Flexix
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти