Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

В отчете данные о сработавшей защите от ExPetr

Сергей Орен

Автор Сергей Орен
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Сергей Орен

Сергей Орен

Опубликовано
Опубликовано

Добрый день! 

 

На пользовательских машинах в отчетах активности программ появились данные о сработавшей защите от ExPetr. Заметил случайно.

 

28.07.2017 12:02:03    Сработало правило Контроля активности программ    Контроль активности программ    Host Process for Windows Services    SAFAROVA\1    Запрещено: %windir%\dllhost.dat    Изменение    C:\Windows\dllhost.dat    %windir%\dllhost.dat    
28.07.2017 12:02:03    Сработало правило Контроля активности программ    Контроль активности программ    Host Process for Windows Services    SAFAROVA\1    Запрещено: %windir%\perfc.dat    Изменение    C:\Windows\perfc.dat    %windir%\perfc.dat    
28.07.2017 12:02:03    Сработало правило Контроля активности программ    Контроль активности программ    Host Process for Windows Services    SAFAROVA\1    Запрещено: %windir%\psexesvc.exe    Изменение    C:\Windows\psexesvc.exe    %windir%\psexesvc.exe    

 

Сообщений о детекте на этих машинах нет, в остальных отчетах чисто. быстрая и полная проверка чистая. На серверах алертов тоже нет, проверки чистые.

 

Что это - какая-то ошибочная реакция или по сетке пытается проникнуть вирус? Где искать источник? Прилагаю отчеты активности программ с нескольких машин. 

1.txt

2 (1).txt

2.txt

Ссылка на комментарий
Поделиться на другие сайты
Сергей Орен

Сергей Орен

Опубликовано
  • Автор
Опубликовано

«Порядок оформления запроса о помощи»

В теме проводится лечение только одного компьютера. 

 

Проверка Kaspersky Virus Removal Tool 2015 ничего не показала, все чисто.

 

Логи прилагаю. 

 

CollectionLog-2017.07.29-13.22.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
Сергей Орен

Сергей Орен

Опубликовано
  • Автор
Опубликовано (изменено)

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

 

Завтра, сделаю, но почему-то уверен, что ничего не покажет. Компьютер чистый, на нем установлена система с нуля, никто на нем не работал, он стоял отключенный, я его включил, обновил и наткнулся на сработавшие правила в защите. Но кроме сети, других способов распространения не было, ни флешек, ни открытых писем в почте. Если только что-то по сетке. Но расшаренных папок на компьютере вроде нет, все что по умолчанию. 

Опять же нет сработавших сигналов об обнаружении неизвестной программы, которая бы инициировала изменения файлов. Список слабоограниченных и сильноограниченных пуст. Карантин пуст. 

Сначала думал дело в этом ПК, пошел смотреть, нашел такие же сработавшие строчки в отчетах и на других компьютерах. Пятница вечер был, потому зафиксировал только на 5 машинах, потом все ушли по домам. Но опять же везде без тревоги. На серверах чисто, проверки ничего не показывают, тревог нет.

Машины были и с открытыми портами 135, 445 и с закрытыми.

Каков принцип распространения ExPetr?

 

Завтра приду с утра, с чего начать? 

Изменено пользователем Сергей Орен
Ссылка на комментарий
Поделиться на другие сайты
Сергей Орен

Сергей Орен

Опубликовано
  • Автор
Опубликовано (изменено)

Ну тогда лучше в ТП

 

Скорее всего какая-то особенность формирования отчета, сейчас пришел посмотрел, такие же данные у машины, которая в сеть не подключена была. Какие-то процессы windows цепляют эти файлы походу, и это фиксируется в отчете. В отчете фигурирует как Host Process for Windows Services.

Изменено пользователем Сергей Орен
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Роман Суслов
      Прошу помощи в восстановлении данных после шифровальщика KREMLIN
      Автор Роман Суслов
      Добрый день! В результате RDP атаки была зашифрована система. Все файлы стали с расширением KREMLIN.
      После перезагрузки система мертва, т.к. зашифрованы и системные файлы тоже. 
      Нашел некий cryptor.exe на рабочем столе.
      Во вложении: письмо требование, пример зашифрованного файла и его незашифрованная версия, cryptor.exe в архиве (пароль virus).
       
      Письмо требование:
      ID: 3TpvNLVFm8BEBn58soumz8cf2sz2dzWN 
       Need restore files? Contact us in telegram(desktop.telegram.org) - @KremlinRestore
       
       
      README.txt cryptor.zip зашифрованный файл.zip
      Исходный файл для сравнения, не влез в тему.
      исходник.zip
    • Loc
      Отчет об инцидентах
      Автор Loc
      Добрый день.
       
      В Kaspersky Security Center 11 была возможность сформировать Отчет об инцидентах. Во вложении скриншот с отчетом. 
      Вопрос: Как сформировать такой отчет в Kaspersky Security Center 15.2? Среди готовых отчетов я его не нашел. Может он теперь называется по другому?
      Смотрел отчет об угрозах, но это не совсем то.
       

    • Alkart1975
      Зашифровали диск с данными српедствами BitLocker
      Автор Alkart1975
      Здравствуйте.
      Зловред зашифровал битлокером несистемный диск. Злоумышленники просят выкуп на почту davidblaine@mail2world.com и bitlockerlock.unlock@gmail.com
      С диска С удалены файлы баз данных и документы. На компьютере несколько пользователей. 
      На рабочем столе одного из пользователей оставлен файл PLEASE READ с требованием оплаты.
      Прошу помощи. Возможно ли расшифровать диск? Или восстановить файлы баз данных 1С. 
      Addition.txt FRST.txt PLEASE READ.txt
    • KL FC Bot
      Как отключить доступ Gemini к вашим данным на Android | Блог Касперского
      Автор KL FC Bot
      7 июля 2025 года Google выпустила обновление Gemini, которое дает AI-помощнику доступ к приложениям Phone, Messages, WhatsApp и Utilities на Android-устройствах. Компания анонсировала это событие e-mail-рассылкой пользователям своего чат-бота, которых просто поставили перед фактом: «Мы упростили взаимодействие Gemini с вашим устройством… Gemini скоро сможет помочь вам использовать «Телефон», «Сообщения», WhatsApp и «Утилиты» на вашем телефоне, независимо от того, включена ли ваша активность приложений Gemini или нет».
      С точки зрения Google, обновление улучшает приватность, поскольку теперь пользователям доступны функции Gemini без необходимости включать Gemini Apps Activity. Удобно, не правда ли?
       
      View the full article
    • Zakot
      Вирус зашифровал данные на сервере
      Автор Zakot
      На сервере вчера вирус зашифровал данные, возможно через RDP попал, сегодня обнаружили.
      virus.zipFRST.txtAddition.txt
×
×
  • Создать...