Сергей Орен Опубликовано 29 июля, 2017 Опубликовано 29 июля, 2017 Добрый день! На пользовательских машинах в отчетах активности программ появились данные о сработавшей защите от ExPetr. Заметил случайно. 28.07.2017 12:02:03 Сработало правило Контроля активности программ Контроль активности программ Host Process for Windows Services SAFAROVA\1 Запрещено: %windir%\dllhost.dat Изменение C:\Windows\dllhost.dat %windir%\dllhost.dat 28.07.2017 12:02:03 Сработало правило Контроля активности программ Контроль активности программ Host Process for Windows Services SAFAROVA\1 Запрещено: %windir%\perfc.dat Изменение C:\Windows\perfc.dat %windir%\perfc.dat 28.07.2017 12:02:03 Сработало правило Контроля активности программ Контроль активности программ Host Process for Windows Services SAFAROVA\1 Запрещено: %windir%\psexesvc.exe Изменение C:\Windows\psexesvc.exe %windir%\psexesvc.exe Сообщений о детекте на этих машинах нет, в остальных отчетах чисто. быстрая и полная проверка чистая. На серверах алертов тоже нет, проверки чистые. Что это - какая-то ошибочная реакция или по сетке пытается проникнуть вирус? Где искать источник? Прилагаю отчеты активности программ с нескольких машин. 1.txt 2 (1).txt 2.txt
Soft Опубликовано 29 июля, 2017 Опубликовано 29 июля, 2017 «Порядок оформления запроса о помощи» В теме проводится лечение только одного компьютера.
Сергей Орен Опубликовано 29 июля, 2017 Автор Опубликовано 29 июля, 2017 «Порядок оформления запроса о помощи» В теме проводится лечение только одного компьютера. Проверка Kaspersky Virus Removal Tool 2015 ничего не показала, все чисто. Логи прилагаю. CollectionLog-2017.07.29-13.22.zip
Сергей Орен Опубликовано 30 июля, 2017 Автор Опубликовано 30 июля, 2017 Кто что посоветует, откуда ноги растут, где копать?
thyrex Опубликовано 30 июля, 2017 Опубликовано 30 июля, 2017 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
Сергей Орен Опубликовано 30 июля, 2017 Автор Опубликовано 30 июля, 2017 (изменено) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Завтра, сделаю, но почему-то уверен, что ничего не покажет. Компьютер чистый, на нем установлена система с нуля, никто на нем не работал, он стоял отключенный, я его включил, обновил и наткнулся на сработавшие правила в защите. Но кроме сети, других способов распространения не было, ни флешек, ни открытых писем в почте. Если только что-то по сетке. Но расшаренных папок на компьютере вроде нет, все что по умолчанию. Опять же нет сработавших сигналов об обнаружении неизвестной программы, которая бы инициировала изменения файлов. Список слабоограниченных и сильноограниченных пуст. Карантин пуст. Сначала думал дело в этом ПК, пошел смотреть, нашел такие же сработавшие строчки в отчетах и на других компьютерах. Пятница вечер был, потому зафиксировал только на 5 машинах, потом все ушли по домам. Но опять же везде без тревоги. На серверах чисто, проверки ничего не показывают, тревог нет. Машины были и с открытыми портами 135, 445 и с закрытыми. Каков принцип распространения ExPetr? Завтра приду с утра, с чего начать? Изменено 30 июля, 2017 пользователем Сергей Орен
Сергей Орен Опубликовано 31 июля, 2017 Автор Опубликовано 31 июля, 2017 (изменено) Ну тогда лучше в ТП Скорее всего какая-то особенность формирования отчета, сейчас пришел посмотрел, такие же данные у машины, которая в сеть не подключена была. Какие-то процессы windows цепляют эти файлы походу, и это фиксируется в отчете. В отчете фигурирует как Host Process for Windows Services. Изменено 31 июля, 2017 пользователем Сергей Орен
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти