Перейти к содержанию

Рекомендуемые сообщения

Добрый день, прошу Вашей помощи, на рабочей станции регистрируется аномальная сетевая активность, а именно происходят запросы по 445 порту. В системе установлен Kaspersky Endpoint Security 11.0.1.90, присутствует патч MS17-010. С исходного IP адреса 192.168.1.15 идут запросы на 185.5.137.177, 5.61.23.11, 217.20.155.13, 217.20.147.1, 217.69.141.142 и другие (более подробно в логах Wireshark, при необходимости могу прикрепить). Дополнительные проверки средствами Kaspersky Virus Removal Tool, Dr.Web CureIt! и Malwarebytes AdwCleaner результатов не показали. Найти что-либо в системе не получается, но Fortigate регистрирует периодические вспышки активности. Окажите содействие в решении данной проблемы.

CollectionLog-2020.02.13-09.40.zip

Изменено пользователем RomonS
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Видны следы антивируса Emsisoft. Очистите по соотв. инструкции:

Чистка системы после некорректного удаления антивируса.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Эти тоже почистите:

C:\ProgramData\Norton

C:\ProgramData\Doctor Web

соответствующими утилитами.

 

Больше ничего плохого (вирусоподобного) не видно.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на сообщение
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------

Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз

Internet Explorer 11.0.9600.19236 Внимание! Скачать обновления

Контроль учётных записей пользователя отключен (Уровень 1)

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

------------------------------- [ HotFix ] --------------------------------

HotFix KB3177467 Внимание! Скачать обновления

HotFix KB3125574 Внимание! Скачать обновления

HotFix KB4499175 Внимание! Скачать обновления

HotFix KB4474419 Внимание! Скачать обновления

HotFix KB4490628 Внимание! Скачать обновления

HotFix KB4512486 Внимание! Скачать обновления

HotFix KB4474419 Внимание! Скачать обновления

HotFix KB4539602 Внимание! Скачать обновления

---------------------- [ AntiVirusFirewallInstall ] -----------------------

Kaspersky Endpoint Security для Windows v.11.0.1.90 Внимание! Скачать обновления

--------------------------- [ OtherUtilities ] ----------------------------

K-Lite Codec Pack 14.7.0 Full v.14.7.0 Внимание! Скачать обновления

Microsoft Office профессиональный плюс 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

Microsoft .NET Framework 4.7.2 v.4.7.03062 Внимание! Скачать обновления

Microsoft Office Professional Plus 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

-------------------------------- [ Arch ] ---------------------------------

WinRAR 4.01 (32-bit) v.4.01.0 Внимание! Скачать обновления

 

 

Хотфиксы постарайтесь установить все. Остальное по возможности тоже исправьте/обновите.

Результат сообщите.

Ссылка на сообщение
Поделиться на другие сайты

Доброе утро, хотфиксы установил, программы по возможности обновил, буду дальше наблюдать за системой.

 

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.19596
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2020-02-14 00:12:52
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2013 x86 v.15.0.4569.1506
---------------------------- [ Antivirus_WMI ] ----------------------------
Kaspersky Endpoint Security для Windows (включен и обновлен)
---------------------------- [ Firewall_WMI ] -----------------------------
Kaspersky Endpoint Security для Windows (включен)
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Kaspersky Endpoint Security для Windows (включен и обновлен)
Windows Defender (выключен и устарел)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Endpoint Security для Windows v.11.0.1.90 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
K-Lite Codec Pack 15.3.5 Standard v.15.3.5
Microsoft .NET Framework 4.8 v.4.8.03761
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.80 (32-разрядная) v.5.80.0

SecurityCheck.txt

Изменено пользователем RomonS
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От eliyyahoo
      Добрый день!
      В корпоративной системе поддержки пользователей мне не могут помочь уже 2 месяца.
      KES 11 определяет программный комплекс для расчета систем тягового электроснабжения "КОРТЭС" (разработка АО "ВНИИЖТ") как вредоносное ПО и удаляет его программные модули без предупреждения.
      Возможно ли внести указанный программный комплекс в исключения как доверенное ПО и распространить через обновления для пользователей ОАО "РЖД"?
      Спасибо!
       
    • От Rayled
      Добрый день!
      Сегодня надо было зайти на сайт kaspersky.ru, чтобы купить (продлить) лицензию. Вбил в яндексе "касперский", первой строкой выдало их рекламу, по ней и нажал, но вместо нужного сайта меня редиректнуло на "https://5015.xg4ken.com/media/redir.php?prof=..." (ссылка длинная, копировать всю не стал,  вместо точек там дальше куча команд, общая длина URL составила 788 символов). Экран браузера при этом стал чёрным. Прикрепляю видео всего этого. Проверил в Яндекс.браузере, Опере, Хроме, Файерфоксе - результат идентичный.
       
      Решил узнать что такое xg4ken.com и выдало, что это вредоносный рекламный софт, который редиректит в браузере на левые страницы вместо искомых. Почитал инструкции по избавлению о проблеме, но что-то там довольно мутно всё написано, утилиты какие-то предлагают ставить... Решил для начала сделать полную проверку диска С с помощью KIS, но результата это не дало, ничего не найдено (скрин прилагаю).
       
      Скажите, пожалуйста, ваши мысли по этому поводу и если у меня действительно на ПК проник вредоносный софт, то как от него избавиться. Заранее спасибо!

      каспер.mp4
    • От Dangerous Bastard
      Добрый день. 
      Последние пару недель ПК стал работать с сильными "тормозами", появилось много рекламных ссылок в запросах в браузерах, так же замечена не стабильное воспроизведение потокового видео. 
      Перед сбором логов просканировал систему с помощью Kaspersky Virus Removal Tool.
      Заранее благодарю.
      CollectionLog-2016.04.21-20.37.zip
    • От alexelsevier19
      Добрый день! Меня как пользователя интересует вопрос как уберечься от нового семейства вредоносов Equation Group или, если не дай Бог, как их найти. .Выбрал этот раздел Форума не случайно (см. в конце)
      В общем прошу Вас, если не трудно, ответить на такие вопросы:
       
      Возможно ли определение всех вредоносных программ семейства Equation Group c помощью обычной антивирусной проверки с тщательными настройками? Способны ли вредоносные программы Equation Group пропатчить системные лрайвера, firmware жесткого диска, внести иные изменения в загрузку ОС если включен Secure boot и используется KIS с поддержкой Elam? Если они способны внести изменения, то фиксируются ли эти изменения при указанных в вопросе 2 условиях? Если действие вирусов проходит и изменения не фиксируются Secure boot или KIS, то может ли их зафиксировать модуль ТРМ? Взаимодействуют ли компоненты вирусов Equation Group между собой в среде операционной системы компьютера или в рамках внутренней структуры семейства? Будут ли публикации по архитектуре Grayfish и её основным отличиям от Equationdrug? Приведите пожалуйста список моделей жестких дисков, firmware которых смогли изменить. Способно ли ядро и вредоносные программы семейства Equation Group маскировать себя и другие компоненты, чтобы стать неуязвимыми для поведенческого анализа?  Это касается всех компонентов и любого антивирусного или антишпионского ПО. В первую очередь это контроль программ KIS и функция HIPS в Comodo Internet Security. По каким признакам можно точно или с высокой вероятностью определить взлом firmware?  Может ли это быть наличие каких-то файлов в операционной системе или виртуальной файловой системы на диске? Известно ли лаборатории касперского о реализации производителями жестких дисков, технологий производства или защиты firmware, усложняющих его взлом? Прочитал, статьи Касперского, сформировал ряд вопросов и айда с ними в техподдрежку. Но, увы это не входит в их компетенцию. Вирусная лаборатория отослала в техподдержку. Тоже и на форумах по борьбе с вирусами.. Лечим, а не изучаем
       
    • От psiflyfire
      Добрый день!
       
      На компьютере вечно из трея лезла реклама.при открытие браузеров,одновременно  открывались сайты, тормоза системы.
      какие действия были мной сделаны. 
       
      1.Kaspersky Rescue Disk проверил им, удалил три трояна, каких не помню, после в нем же воспользовался терминалом командой windowsunlocker, было много разной грязи в реестре, все пофиксил.
      2.Удалил левые проги вроде того же АМИГО, тулбары и тому подобное.
      3. проверил систему Dr.Web CureIt!., вылечел мне файл HOST  и переместил файл dowloader.dll
      4. сделал все как описано в  Порядок оформления запроса о помощи
       
      теперь суть проблемы...при запуске  винды в трее выходят два приложения от baidu  зеленый и синий значек..через  Uninstall tool грохнул его вроде, зеленый так и не получилось удалить..даже принудительно, через некоторое время выскочил вместо синего красный..но в установленных программах,синий исчез. при подключения Флешки, baidu  выдает  окно из трея и что-то там делает.
      как его удалить? 
      CollectionLog-2014.10.01-11.20.zip
×
×
  • Создать...