Сергей Орен 0 Опубликовано 29 июля, 2017 Share Опубликовано 29 июля, 2017 Добрый день! На пользовательских машинах в отчетах активности программ появились данные о сработавшей защите от ExPetr. Заметил случайно. 28.07.2017 12:02:03 Сработало правило Контроля активности программ Контроль активности программ Host Process for Windows Services SAFAROVA\1 Запрещено: %windir%\dllhost.dat Изменение C:\Windows\dllhost.dat %windir%\dllhost.dat 28.07.2017 12:02:03 Сработало правило Контроля активности программ Контроль активности программ Host Process for Windows Services SAFAROVA\1 Запрещено: %windir%\perfc.dat Изменение C:\Windows\perfc.dat %windir%\perfc.dat 28.07.2017 12:02:03 Сработало правило Контроля активности программ Контроль активности программ Host Process for Windows Services SAFAROVA\1 Запрещено: %windir%\psexesvc.exe Изменение C:\Windows\psexesvc.exe %windir%\psexesvc.exe Сообщений о детекте на этих машинах нет, в остальных отчетах чисто. быстрая и полная проверка чистая. На серверах алертов тоже нет, проверки чистые. Что это - какая-то ошибочная реакция или по сетке пытается проникнуть вирус? Где искать источник? Прилагаю отчеты активности программ с нескольких машин. 1.txt 2 (1).txt 2.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Soft 1 505 Опубликовано 29 июля, 2017 Share Опубликовано 29 июля, 2017 «Порядок оформления запроса о помощи» В теме проводится лечение только одного компьютера. Цитата Ссылка на сообщение Поделиться на другие сайты
Сергей Орен 0 Опубликовано 29 июля, 2017 Автор Share Опубликовано 29 июля, 2017 «Порядок оформления запроса о помощи» В теме проводится лечение только одного компьютера. Проверка Kaspersky Virus Removal Tool 2015 ничего не показала, все чисто. Логи прилагаю. CollectionLog-2017.07.29-13.22.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Сергей Орен 0 Опубликовано 30 июля, 2017 Автор Share Опубликовано 30 июля, 2017 Кто что посоветует, откуда ноги растут, где копать? Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 30 июля, 2017 Share Опубликовано 30 июля, 2017 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Сергей Орен 0 Опубликовано 30 июля, 2017 Автор Share Опубликовано 30 июля, 2017 (изменено) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Завтра, сделаю, но почему-то уверен, что ничего не покажет. Компьютер чистый, на нем установлена система с нуля, никто на нем не работал, он стоял отключенный, я его включил, обновил и наткнулся на сработавшие правила в защите. Но кроме сети, других способов распространения не было, ни флешек, ни открытых писем в почте. Если только что-то по сетке. Но расшаренных папок на компьютере вроде нет, все что по умолчанию. Опять же нет сработавших сигналов об обнаружении неизвестной программы, которая бы инициировала изменения файлов. Список слабоограниченных и сильноограниченных пуст. Карантин пуст. Сначала думал дело в этом ПК, пошел смотреть, нашел такие же сработавшие строчки в отчетах и на других компьютерах. Пятница вечер был, потому зафиксировал только на 5 машинах, потом все ушли по домам. Но опять же везде без тревоги. На серверах чисто, проверки ничего не показывают, тревог нет. Машины были и с открытыми портами 135, 445 и с закрытыми. Каков принцип распространения ExPetr? Завтра приду с утра, с чего начать? Изменено 30 июля, 2017 пользователем Сергей Орен Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 30 июля, 2017 Share Опубликовано 30 июля, 2017 Ну тогда лучше в ТП Цитата Ссылка на сообщение Поделиться на другие сайты
Сергей Орен 0 Опубликовано 31 июля, 2017 Автор Share Опубликовано 31 июля, 2017 (изменено) Ну тогда лучше в ТП Скорее всего какая-то особенность формирования отчета, сейчас пришел посмотрел, такие же данные у машины, которая в сеть не подключена была. Какие-то процессы windows цепляют эти файлы походу, и это фиксируется в отчете. В отчете фигурирует как Host Process for Windows Services. Изменено 31 июля, 2017 пользователем Сергей Орен Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.