Неизвестный компьютер в сеансе общих папок (fsmgmt.msc)

[HiperBoomer]

Один из сотрудников внутри сети с общими папками без пароля запустил файл «DOC001.exe» (экземпляр файла, к сожалению, исчез). В сети все компьютеры с Windows 7 и один с Windows XP и не все с актуальными обновлениями. Сразу же переустановили Windows первой зараженной. Заметили странные новые сетевые пути на остальных. После поиска в гугл зашел в fsmgmt и увидел странный сеанс почти на всех компьютерах в сети.

 

CollectionLog-2021.06.11-12.58.zip

[Sandor]

Здравствуйте!

 

В логах этого компьютера не замечено ничего вирусоподобного.

 

10 минут назад, HiperBoomer сказал:

внутри сети с общими папками без пароля

Это, надеюсь, исправлено? Т.е. закрыто или установлен пароль.

Отключите все подозрительные ПК от сети и пролечите. Можно использовать KVRT, если нет установленного актуального антивируса.

 

Если планируете с нашей помощью проверить остальные, действуйте по принципу один компьютер - одна тема (заголовки только меняйте).

[HiperBoomer]

Цитата

Это, надеюсь, исправлено?

Дело в том, что очень хотелось бы обойтись без паролей внутри сети. Kaspersky Rescue Disk является аналогом KVRT?

[Sandor]

Да, но он эффективен при файловом заражении. KVRT можно запускать прямо из системы.

[HiperBoomer]

2 минуты назад, Sandor сказал:

Да, но он эффективен при файловом заражении. KVRT можно запускать прямо из системы.

KVRT ругался на отсутствие обновлений, обновления приводили к синему экрану.

Спасибо большое за ответ.

[Sandor]

2 минуты назад, HiperBoomer сказал:

KVRT ругался на отсутствие обновлений

Вы его скачивали давно или сейчас? Обычно там обновления на момент закачки должны быть.

[HiperBoomer]

Только что, Sandor сказал:

Вы его скачивали давно или сейчас? Обычно там обновления на момент закачки должны быть.

 

Возможно, вы не поняли, ругается на отсутствие обновлений системы.

[Sandor]

Я действительно не понял. Но и это тоже плохо. Вредонос может проникать как раз через незакрытые уязвимости.

Давайте на этом компьютере (с которого логи) проверим:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[HiperBoomer]

SecurityCheck.txt

[Sandor]

Все указанное следует как можно быстрее исправить. Иначе лечение будет бесполезным. 

Утилиту можете запускать на любом компьютере.

 

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Учетная запись гостя включена. Пароль не установлен.
------------------------------- [ HotFix ] --------------------------------
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.6.1 v.4.6.01055 Внимание! Скачать обновления
Microsoft Office Enterprise 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Foxit Reader v.10.1.1.37576 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.21 (64-разрядная) v.5.21.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
uTorrent v.3.5.5.45852 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
AIMP v.v4.70.2236, 22.11.2020 Внимание! Скачать обновления
K-Lite Codec Pack 15.9.0 Basic v.15.9.0 Внимание! Скачать обновления
 

[HiperBoomer]

Спасибо еще раз.

[Sandor]

На заметку - Рекомендации после удаления вредоносного ПО