lamp0v Опубликовано 16 ноября, 2018 Опубликовано 16 ноября, 2018 Имеется информация о том, что несколько компьютеров заражены ботнетом Torpig. Происходила передача пакетов на ряд ip-адресов, видимо идентификация ботнета произошла после анализа сигнатур пакетов. Машины были просканированы почти всеми известными утилитами, вредонос не найдет. Часть машин на Win7, часть на WinXP Лог собрал с ХР CollectionLog-2018.11.16-14.11.zip
SQ Опубликовано 16 ноября, 2018 Опубликовано 16 ноября, 2018 Здравствуйте,- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
lamp0v Опубликовано 16 ноября, 2018 Автор Опубликовано 16 ноября, 2018 Прикрепляю отчеты В дополнение - при удачном обнаружении желательно достать тело вредоноса Спасибо Addition.txt FRST.txt
SQ Опубликовано 16 ноября, 2018 Опубликовано 16 ноября, 2018 На сколько вижу в ответах вы запускали TDDSKiller, уточните пожалуйста он что-то находил и вы что-то удаляли с ним?На сколько вижу в логах есть служба без dll не понятно это была вредоносная служба или нет: S2 LanmanServer; C:\WINDOWS\system32\svchost.exe [14336 2008-04-15] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL) Уточните пожалуйста вам знаком следующий файл? C:\WINDOWS\system32\.new Если нет, выполните пожалуйста следующие инструкции: Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: Start:: CreateRestorePoint: File: C:\WINDOWS\system32\.new File: C:\WINDOWS\ucrtbase.dll Zip: C:\WINDOWS\system32\.new End:: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму
lamp0v Опубликовано 16 ноября, 2018 Автор Опубликовано 16 ноября, 2018 (изменено) Служба и файл не знакомы. Прикрепил лог-файл Farbar Recovery Scan Tool и отчет TDDSKiller, удаление не производилось. Fixlog.txt TDSSKiller.txt Изменено 16 ноября, 2018 пользователем itc_pk
SQ Опубликовано 16 ноября, 2018 Опубликовано 16 ноября, 2018 Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
lamp0v Опубликовано 18 ноября, 2018 Автор Опубликовано 18 ноября, 2018 Отчет UVS autorun_2018-11-19_08-37-11_v4.1.1.7z
SQ Опубликовано 18 ноября, 2018 Опубликовано 18 ноября, 2018 По каким-то причинам стороние антивирусы видят угрозу в следующем файле, могли бы его отправать на newvirus@kaspersky.com и сообщить результат. Это необходимо, чтобы убедиться, что это ложное срабатывание. C:\1\СПРАВКИБК\БК.EXE Выполните скрипт в uVS: ;uVS v4.1.1 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v400c OFFSGNSAVE BREG delref %Sys32%\DRIVERS\02643131.SYS delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL restart
lamp0v Опубликовано 19 ноября, 2018 Автор Опубликовано 19 ноября, 2018 Прикрепляю отчет после выполнения скрипта UVS Файл в newvirus@kaspersky.com отправил 2018-11-19_10-22-57_log.txt
SQ Опубликовано 19 ноября, 2018 Опубликовано 19 ноября, 2018 Сделайте пожалуйста лог uVS с загрузочного диска.
lamp0v Опубликовано 19 ноября, 2018 Автор Опубликовано 19 ноября, 2018 Автозапуск из загрузочного диска admin_2018-11-19_12-02-24.7z
SQ Опубликовано 19 ноября, 2018 Опубликовано 19 ноября, 2018 Я в загрузочном секторе не увидел угрозу, однако я запросил коллег также проверить ваш лог. Пожалуйста ожидайте моего следующего ответа в течение дня.
SQ Опубликовано 19 ноября, 2018 Опубликовано 19 ноября, 2018 Коллеги подтвердили в указанных логах нет ничего плохого. Сообщите, что с проблемой?
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти