В отчете данные о сработавшей защите от ExPetr

[Сергей Орен]

Добрый день! 

 

На пользовательских машинах в отчетах активности программ появились данные о сработавшей защите от ExPetr. Заметил случайно.

 

28.07.2017 12:02:03    Сработало правило Контроля активности программ    Контроль активности программ    Host Process for Windows Services    SAFAROVA\1    Запрещено: %windir%\dllhost.dat    Изменение    C:\Windows\dllhost.dat    %windir%\dllhost.dat    
28.07.2017 12:02:03    Сработало правило Контроля активности программ    Контроль активности программ    Host Process for Windows Services    SAFAROVA\1    Запрещено: %windir%\perfc.dat    Изменение    C:\Windows\perfc.dat    %windir%\perfc.dat    
28.07.2017 12:02:03    Сработало правило Контроля активности программ    Контроль активности программ    Host Process for Windows Services    SAFAROVA\1    Запрещено: %windir%\psexesvc.exe    Изменение    C:\Windows\psexesvc.exe    %windir%\psexesvc.exe    

 

Сообщений о детекте на этих машинах нет, в остальных отчетах чисто. быстрая и полная проверка чистая. На серверах алертов тоже нет, проверки чистые.

 

Что это - какая-то ошибочная реакция или по сетке пытается проникнуть вирус? Где искать источник? Прилагаю отчеты активности программ с нескольких машин. 

1.txt

2 (1).txt

2.txt

[Soft]

«Порядок оформления запроса о помощи»

В теме проводится лечение только одного компьютера. 

[Сергей Орен]

«Порядок оформления запроса о помощи»

В теме проводится лечение только одного компьютера. 

 

Проверка Kaspersky Virus Removal Tool 2015 ничего не показала, все чисто.

 

Логи прилагаю. 

 

CollectionLog-2017.07.29-13.22.zip

[Сергей Орен]

Кто что посоветует, откуда ноги растут, где копать?

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Сергей Орен]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

 

Завтра, сделаю, но почему-то уверен, что ничего не покажет. Компьютер чистый, на нем установлена система с нуля, никто на нем не работал, он стоял отключенный, я его включил, обновил и наткнулся на сработавшие правила в защите. Но кроме сети, других способов распространения не было, ни флешек, ни открытых писем в почте. Если только что-то по сетке. Но расшаренных папок на компьютере вроде нет, все что по умолчанию. 

Опять же нет сработавших сигналов об обнаружении неизвестной программы, которая бы инициировала изменения файлов. Список слабоограниченных и сильноограниченных пуст. Карантин пуст. 

Сначала думал дело в этом ПК, пошел смотреть, нашел такие же сработавшие строчки в отчетах и на других компьютерах. Пятница вечер был, потому зафиксировал только на 5 машинах, потом все ушли по домам. Но опять же везде без тревоги. На серверах чисто, проверки ничего не показывают, тревог нет.

Машины были и с открытыми портами 135, 445 и с закрытыми.

Каков принцип распространения ExPetr?

 

Завтра приду с утра, с чего начать? 

Изменено 30 июля, 2017 пользователем Сергей Орен

[thyrex]

Ну тогда лучше в ТП

[Сергей Орен]

Ну тогда лучше в ТП

 

Скорее всего какая-то особенность формирования отчета, сейчас пришел посмотрел, такие же данные у машины, которая в сеть не подключена была. Какие-то процессы windows цепляют эти файлы походу, и это фиксируется в отчете. В отчете фигурирует как Host Process for Windows Services.

Изменено 31 июля, 2017 пользователем Сергей Орен