Перейти к содержанию
Правила раздела
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

Неизвестный компьютер в сеансе общих папок (fsmgmt.msc)

HiperBoomer

Автор HiperBoomer
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

HiperBoomer Новичок

HiperBoomer

Опубликовано
Опубликовано

Один из сотрудников внутри сети с общими папками без пароля запустил файл «DOC001.exe» (экземпляр файла, к сожалению, исчез). В сети все компьютеры с Windows 7 и один с Windows XP и не все с актуальными обновлениями. Сразу же переустановили Windows первой зараженной. Заметили странные новые сетевые пути на остальных. После поиска в гугл зашел в fsmgmt и увидел странный сеанс почти на всех компьютерах в сети.

 

1.jpg

2.jpg

CollectionLog-2021.06.11-12.58.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

В логах этого компьютера не замечено ничего вирусоподобного.

 

10 минут назад, HiperBoomer сказал:

внутри сети с общими папками без пароля

Это, надеюсь, исправлено? Т.е. закрыто или установлен пароль.

Отключите все подозрительные ПК от сети и пролечите. Можно использовать KVRT, если нет установленного актуального антивируса.

 

Если планируете с нашей помощью проверить остальные, действуйте по принципу один компьютер - одна тема (заголовки только меняйте).

Ссылка на комментарий
Поделиться на другие сайты
HiperBoomer Новичок

HiperBoomer

Опубликовано
  • Автор
Опубликовано
Цитата

Это, надеюсь, исправлено?

Дело в том, что очень хотелось бы обойтись без паролей внутри сети. Kaspersky Rescue Disk является аналогом KVRT?

Ссылка на комментарий
Поделиться на другие сайты
HiperBoomer Новичок

HiperBoomer

Опубликовано
  • Автор
Опубликовано
2 минуты назад, Sandor сказал:

Да, но он эффективен при файловом заражении. KVRT можно запускать прямо из системы.

KVRT ругался на отсутствие обновлений, обновления приводили к синему экрану.

Спасибо большое за ответ.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
2 минуты назад, HiperBoomer сказал:

KVRT ругался на отсутствие обновлений

Вы его скачивали давно или сейчас? Обычно там обновления на момент закачки должны быть.

Ссылка на комментарий
Поделиться на другие сайты
HiperBoomer Новичок

HiperBoomer

Опубликовано
  • Автор
Опубликовано
Только что, Sandor сказал:

Вы его скачивали давно или сейчас? Обычно там обновления на момент закачки должны быть.

 

Возможно, вы не поняли, ругается на отсутствие обновлений системы.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Я действительно не понял. Но и это тоже плохо. Вредонос может проникать как раз через незакрытые уязвимости.

Давайте на этом компьютере (с которого логи) проверим:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Все указанное следует как можно быстрее исправить. Иначе лечение будет бесполезным. 

Утилиту можете запускать на любом компьютере.

 

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Учетная запись гостя включена. Пароль не установлен.
------------------------------- [ HotFix ] --------------------------------
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.6.1 v.4.6.01055 Внимание! Скачать обновления
Microsoft Office Enterprise 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Foxit Reader v.10.1.1.37576 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.21 (64-разрядная) v.5.21.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
uTorrent v.3.5.5.45852 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
AIMP v.v4.70.2236, 22.11.2020 Внимание! Скачать обновления
K-Lite Codec Pack 15.9.0 Basic v.15.9.0 Внимание! Скачать обновления
 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Couita
      Неизвестное срабатывание.
      Автор Couita
      Проект в Visual Studio 2019 Winforms с одной кнопкой и пакетом AntdUI вызывает срабатывание антивируса Kaspersky Standard. 
      Первое срабатывание:  VHO:Trojan-PSW.MSIL.Convagent.gen 
      MD5: 17F7D1AFB121CF22F6C93E62134E7681
      Второе срабатывание: not-a-virus:VHO:RiskTool.MSIL.Convagent.gen
      MD5: 44bdb7ae0fb1682e7a5fd23adfa72040
      Является ли это ложным срабатыванием?
    • Stone_Pickle
      [РЕШЕНО] Неизвестный вирус-майнер.
      Автор Stone_Pickle
      Здравствуйте еще раз, как объяснили в прошлой теме один компьютер одна тема. 
      Единственное подозрение у меня на C:\Program Files\Client Helper
      Актуальные логи прикладываю
      CollectionLog-2025.03.25-08.16.zip
    • Сергей N
      Вирус спал 10 лет. И вот сегодня зашифровал часть папок и файлов
      Автор Сергей N
      Можно ли тут что-то сделать? Файлы и папки не копируются и не пересылаются

    • Денис Виноградов
      Зашифровали файлы на пк и на общем диске
      Автор Денис Виноградов
      Добрый день, на выходные оставляли ПК включенным, с утра человек уже увидел картину со всеми зашифрованными файлами на пк и также на общем диске в сети. Прикрепляю исходный файл, зашифрованный и текст с требованием связаться для расшифровки файлов. Просьба подсказать, что можно придумать в данной ситуации
      files.zip
    • Stone_Pickle
      Неизвестный вирус возможно в Program Files\Client Helper
      Автор Stone_Pickle
      Добрый день, на двух компах спустя два месяца после установки одной игрушки пошли проблемы, а именно повышенная нагрузка на ЦП\ГП и слетел PATCH(наверное) к ping arp ipconfig и прочим консольным командам.
      Касперский, Др.Веб, АВЗ под PE и на боевой системе ничего не нашли, подозреваю неизвестный софт по пути из заголовка C:\Program Files\Client Helper
      Windows 10, Windows 11 

      Прикладываю логи с двух компьютеров, буду признателен за любую помощь. Очень не хочется переустанавливать системы
      CollectionLog-2025.03.24-20.59.zip CollectionLog-2025.03.24-21.04.zip
×
×
  • Создать...