mcluch 0 Опубликовано 26 ноября, 2019 Share Опубликовано 26 ноября, 2019 (изменено) Доброго дня! Сегодня ночью несколько компьютеров с kaspersky endpoint security 10 10.3.3.275 , были подвержены атаке. Касперский обнаружил Обнаружено: HEUR:Trojan.Win32.Genericв файле C:\Windows\winupdate64.logПри этом удалилась библиотека sens.dll в каталоге C:\Windows\System32. Обнаружили отсутствие sens.dll изза того что все подключения впн писали ошибку Ошибка 711 не удается загрузить службу диспетчера подключений удаленного доступа. А далее при запуске этой службы вылетала ошибка Ошибка 126 не найден указанный модуль С подключениями сейчас нормально, но вот попасть ни на один фтп невозможно, что локальный что внешний. Что с проводника, что с браузера. Ошибка что просто не может получить доступ, но доступ точно есть Что это за вирус такой, где он сидит зараза? CollectionLog-2019.11.26-18.40.zip Изменено 26 ноября, 2019 пользователем mcluch Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 26 ноября, 2019 Share Опубликовано 26 ноября, 2019 (изменено) IPSec - политики сами настраивали? O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 135 UDP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 139 UDP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 445 UDP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 14443 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 14444 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 21 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 2222 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 3333 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 4444 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 5555 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 6666 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 7777 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 8443 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 8888 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 9000 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 9999 TCP) (mirrored) - Action: Block Эти задания ваши? O22 - Task: Centr - C:\Windows\system32\rasdial.exe Centr gelengik rfv19qaz O22 - Task: centr2 - C:\Windows\system32\rasdial.exe Centr2 gelengik rfv19qaz O22 - Task: kill - D:\1c.bat O22 - Task: obmen - D:\lombard82\ScriptForFilial.bat - Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите. - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. Изменено 26 ноября, 2019 пользователем regist Цитата Ссылка на сообщение Поделиться на другие сайты
mcluch 0 Опубликовано 27 ноября, 2019 Автор Share Опубликовано 27 ноября, 2019 (изменено) IPSec - политики сами настраивали? O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 135 UDP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 139 UDP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 445 UDP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 14443 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 14444 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 21 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 2222 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 3333 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 4444 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 5555 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 6666 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 7777 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 8443 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 8888 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 9000 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 9999 TCP) (mirrored) - Action: Block Эти задания ваши? O22 - Task: Centr - C:\Windows\system32\rasdial.exe Centr gelengik rfv19qaz O22 - Task: centr2 - C:\Windows\system32\rasdial.exe Centr2 gelengik rfv19qaz O22 - Task: kill - D:\1c.bat O22 - Task: obmen - D:\lombard82\ScriptForFilial.bat - Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите. - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. Политики не нашы! Сняли, и заработало пока, вроде, все Задания наши Файл загрузили https://virusinfo.info/showthread.php?t=224034 https://virusinfo.info/virusdetector/report.php?md5=D4CAD4C5562AA3F1B0D28A97DFF1F757 Но все равно откуда то появляется гадость. Снова обнаружен HEUR:Trojan.Win32.Generic в файле C:\Windows\winupdate64.log Полная проверка ничего не находит более ClearLNK-2019.11.27_07.39.54.log Изменено 27 ноября, 2019 пользователем mcluch Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 27 ноября, 2019 Share Опубликовано 27 ноября, 2019 Но все равно откуда то появляется гадость. Снова обнаружен HEUR:Trojan.Win32.Generic в файле C:\Windows\winupdate64.log зЗаархивируйте в zip архив с паролем virus, загрузите на любой файлообменник без капчи и пришлите ссылку на скачивание мне в ЛС,Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" . Подробнее читайте в руководстве Как подготовить лог UVS. Скачайте этот скрипт, запустите стандартную проверку. Полученные логи потом выложите здесь. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.