Перейти к содержанию
Правила раздела
Важная информация для бета-тестеров

Неизвестный компьютер в сеансе общих папок (fsmgmt.msc)

HiperBoomer

От HiperBoomer
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

HiperBoomer Новичок

HiperBoomer

Опубликовано
Опубликовано

Один из сотрудников внутри сети с общими папками без пароля запустил файл «DOC001.exe» (экземпляр файла, к сожалению, исчез). В сети все компьютеры с Windows 7 и один с Windows XP и не все с актуальными обновлениями. Сразу же переустановили Windows первой зараженной. Заметили странные новые сетевые пути на остальных. После поиска в гугл зашел в fsmgmt и увидел странный сеанс почти на всех компьютерах в сети.

 

1.jpg

2.jpg

CollectionLog-2021.06.11-12.58.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

В логах этого компьютера не замечено ничего вирусоподобного.

 

10 минут назад, HiperBoomer сказал:

внутри сети с общими папками без пароля

Это, надеюсь, исправлено? Т.е. закрыто или установлен пароль.

Отключите все подозрительные ПК от сети и пролечите. Можно использовать KVRT, если нет установленного актуального антивируса.

 

Если планируете с нашей помощью проверить остальные, действуйте по принципу один компьютер - одна тема (заголовки только меняйте).

Ссылка на комментарий
Поделиться на другие сайты
HiperBoomer Новичок

HiperBoomer

Опубликовано
  • Автор
Опубликовано
Цитата

Это, надеюсь, исправлено?

Дело в том, что очень хотелось бы обойтись без паролей внутри сети. Kaspersky Rescue Disk является аналогом KVRT?

Ссылка на комментарий
Поделиться на другие сайты
HiperBoomer Новичок

HiperBoomer

Опубликовано
  • Автор
Опубликовано
2 минуты назад, Sandor сказал:

Да, но он эффективен при файловом заражении. KVRT можно запускать прямо из системы.

KVRT ругался на отсутствие обновлений, обновления приводили к синему экрану.

Спасибо большое за ответ.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
2 минуты назад, HiperBoomer сказал:

KVRT ругался на отсутствие обновлений

Вы его скачивали давно или сейчас? Обычно там обновления на момент закачки должны быть.

Ссылка на комментарий
Поделиться на другие сайты
HiperBoomer Новичок

HiperBoomer

Опубликовано
  • Автор
Опубликовано
Только что, Sandor сказал:

Вы его скачивали давно или сейчас? Обычно там обновления на момент закачки должны быть.

 

Возможно, вы не поняли, ругается на отсутствие обновлений системы.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Я действительно не понял. Но и это тоже плохо. Вредонос может проникать как раз через незакрытые уязвимости.

Давайте на этом компьютере (с которого логи) проверим:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Все указанное следует как можно быстрее исправить. Иначе лечение будет бесполезным. 

Утилиту можете запускать на любом компьютере.

 

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Учетная запись гостя включена. Пароль не установлен.
------------------------------- [ HotFix ] --------------------------------
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.6.1 v.4.6.01055 Внимание! Скачать обновления
Microsoft Office Enterprise 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Foxit Reader v.10.1.1.37576 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.21 (64-разрядная) v.5.21.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
uTorrent v.3.5.5.45852 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
AIMP v.v4.70.2236, 22.11.2020 Внимание! Скачать обновления
K-Lite Codec Pack 15.9.0 Basic v.15.9.0 Внимание! Скачать обновления
 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Денис Виноградов
      Зашифровали файлы на пк и на общем диске
      От Денис Виноградов
      Добрый день, на выходные оставляли ПК включенным, с утра человек уже увидел картину со всеми зашифрованными файлами на пк и также на общем диске в сети. Прикрепляю исходный файл, зашифрованный и текст с требованием связаться для расшифровки файлов. Просьба подсказать, что можно придумать в данной ситуации
      files.zip
    • talga_mprint
      Неизвестный шифровальщик с расширением файлов .m0D0cQNMb
      От talga_mprint
      Доброго времени суток, нужна помощь в определении или расшифровке файлов.
      В пятницу вечером (070225) на компьютере сотрудника были зашифрованный файлы, предположительно через RDP(!rdp осуществляется через vpn с 2 ключами безопасности).

      Так же присутствует readme файл с email для контактов и выкупа. 
      Addition.txt FRST.txt encrypt-files.rar
      m0D0cQNMb.README.txt
    • iaroslav
      Майнер на компьютере
      От iaroslav
      Я подозреваю что у меня майнер или троян так как у меня не открываются параметры( все способы перепробовал) а также при открытии например панели управления выскакивает табличка: операция отменена из за огранечений..... Обратитесь к администратору хотя я и есть администратор. Перед этим я использовал AVbr и только потом AutoLogger
      AV_block_remove_2025.02.02-17.03.log report2.log report1.log CollectionLog-2025.02.02-17.19.zip
    • Ivan Serov
      Зависание и перезагрузка компьютера
      От Ivan Serov
      Приветствую. Спокойно сидел в пк, как вдруг завис экран на одной картинке, звук непрерывный и потом компьютер перезагрузился. Стоит запись "Дамп памяти ядра". При необходимости могу скинуть.
      Компьютер был перезагружен после критической ошибки. Код ошибки: 0x0000007e (0xffffffffc0000005, 0xfffff80454f90e36, 0xffff968309bf5d28, 0xffff968309bf5560). Дамп памяти сохранен в: C:\WINDOWS\MEMORY.DMP. Код отчета: e629bc3c-8a0e-450c-a73a-9176ef5d590d.
      Прикладываю малый дамп, сведения о системе и DxDiag.
      Desktop.zip
    • egor536457253453
      Нашел майнер на компьютере
      От egor536457253453
      Недавно пытался обойди блокировку дискорда, но получил майнер, пытался его удалить через Kaspersky Virus Removal Tool и Dr.Web CureIt, но ничего не помогло, помогите пожалуйста. ЛОГИ:

      CollectionLog-2025.02.04-10.10.zip
×
×
  • Создать...