Перейти к содержанию
Правила раздела

В отчете данные о сработавшей защите от ExPetr

Сергей Орен

От Сергей Орен
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Сергей Орен Постоялец

Сергей Орен

Опубликовано
Опубликовано

Добрый день! 

 

На пользовательских машинах в отчетах активности программ появились данные о сработавшей защите от ExPetr. Заметил случайно.

 

28.07.2017 12:02:03    Сработало правило Контроля активности программ    Контроль активности программ    Host Process for Windows Services    SAFAROVA\1    Запрещено: %windir%\dllhost.dat    Изменение    C:\Windows\dllhost.dat    %windir%\dllhost.dat    
28.07.2017 12:02:03    Сработало правило Контроля активности программ    Контроль активности программ    Host Process for Windows Services    SAFAROVA\1    Запрещено: %windir%\perfc.dat    Изменение    C:\Windows\perfc.dat    %windir%\perfc.dat    
28.07.2017 12:02:03    Сработало правило Контроля активности программ    Контроль активности программ    Host Process for Windows Services    SAFAROVA\1    Запрещено: %windir%\psexesvc.exe    Изменение    C:\Windows\psexesvc.exe    %windir%\psexesvc.exe    

 

Сообщений о детекте на этих машинах нет, в остальных отчетах чисто. быстрая и полная проверка чистая. На серверах алертов тоже нет, проверки чистые.

 

Что это - какая-то ошибочная реакция или по сетке пытается проникнуть вирус? Где искать источник? Прилагаю отчеты активности программ с нескольких машин. 

1.txt

2 (1).txt

2.txt

Ссылка на комментарий
Поделиться на другие сайты
Сергей Орен Постоялец

Сергей Орен

Опубликовано
  • Автор
Опубликовано

«Порядок оформления запроса о помощи»

В теме проводится лечение только одного компьютера. 

 

Проверка Kaspersky Virus Removal Tool 2015 ничего не показала, все чисто.

 

Логи прилагаю. 

 

CollectionLog-2017.07.29-13.22.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
Сергей Орен Постоялец

Сергей Орен

Опубликовано
  • Автор
Опубликовано (изменено)

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

 

Завтра, сделаю, но почему-то уверен, что ничего не покажет. Компьютер чистый, на нем установлена система с нуля, никто на нем не работал, он стоял отключенный, я его включил, обновил и наткнулся на сработавшие правила в защите. Но кроме сети, других способов распространения не было, ни флешек, ни открытых писем в почте. Если только что-то по сетке. Но расшаренных папок на компьютере вроде нет, все что по умолчанию. 

Опять же нет сработавших сигналов об обнаружении неизвестной программы, которая бы инициировала изменения файлов. Список слабоограниченных и сильноограниченных пуст. Карантин пуст. 

Сначала думал дело в этом ПК, пошел смотреть, нашел такие же сработавшие строчки в отчетах и на других компьютерах. Пятница вечер был, потому зафиксировал только на 5 машинах, потом все ушли по домам. Но опять же везде без тревоги. На серверах чисто, проверки ничего не показывают, тревог нет.

Машины были и с открытыми портами 135, 445 и с закрытыми.

Каков принцип распространения ExPetr?

 

Завтра приду с утра, с чего начать? 

Изменено пользователем Сергей Орен
Ссылка на комментарий
Поделиться на другие сайты
Сергей Орен Постоялец

Сергей Орен

Опубликовано
  • Автор
Опубликовано (изменено)

Ну тогда лучше в ТП

 

Скорее всего какая-то особенность формирования отчета, сейчас пришел посмотрел, такие же данные у машины, которая в сеть не подключена была. Какие-то процессы windows цепляют эти файлы походу, и это фиксируется в отчете. В отчете фигурирует как Host Process for Windows Services.

Изменено пользователем Сергей Орен
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Hendehog
      Расшифровка Отчета
      От Hendehog
      Добрый день.
      Коллеги можете расшифровать, что это за вирус, какого типа, и как он мог проникнуть в систему?
      У нас через него пытались крупную сумму через банк увести, в этот момент пользователю на экране показывали якобы обновление винды идет...))
      Файл KVRT DATA приложить полный не могу, если надо загружу на яндекс диск.
      Спасибо.
      Reports.rar
    • sergei5
      шифровальшик зашировал все данные
      От sergei5
      Добрый день Вирус зашифровал все данные файл с расширением  62IKGXJL  помогите восстановить. Буду вам признателен.
    • Дмитро
      Отчет в KSC по насторенному событию
      От Дмитро
      KSC 14.2 из-под win настроена политика для пользовательских машин и в ней для сетевого экрана добавлено правило, в котором идет запись в отчет.
      По факту нужно отследить отработку это правила из под отчета.
      Какой корректно выбрать отчет (ну или построить свой), где возможно было увидеть статистику по добавленному правилу сетевого экрана?
      облазил офф документации но ясности нет а ждать ответа неимоверно долго
    • Bercolitt
      Удаленный доступ к моим данным на ПК
      От Bercolitt
      У меня Windows 10 домашний, следовательно нет удаленного рабочего стола. Многие документы и картинки с моего ПК перенеслись автоматически в облачное хранилище OneDrive. Это видно в проднике. Особого доверия к этому хранилищу нет. Если возникают какие-то предупреждения от Kaspersky Plus, то в качестве пользователя указывается модифицированное имя моего ПК с добавлением знака доллара $ на конце. Это удаленный доступ хакера или программы бота к моим данным?
    • Сергей рнд
      скачал и открыл файл, зашифровались данные
      От Сергей рнд
      Добрый день, нужна помощь в расшифровке ,прислали счет на оплату, я даже не понял от кого и естественно открыл,после чего зашифровалось все что было на компе,а на экране вылетело сообщение об оплате,откатывал систему не помогло,сбил виндовс и дальше продолжил работу,однако хотелось бы востановить клиентскую базу)вложу архив с запиской вымогателя,так же могу прикрепиShortcut.txtFRST.txtAddition.txtть почту с которой мне писали.. не понял только как выполнить это действие??вложите в сообщение логи, собранные Farbar Recovery Scan Tool,
      максим.rar
×
×
  • Создать...