HiperBoomer 0 Опубликовано 11 июня, 2021 Share Опубликовано 11 июня, 2021 Один из сотрудников внутри сети с общими папками без пароля запустил файл «DOC001.exe» (экземпляр файла, к сожалению, исчез). В сети все компьютеры с Windows 7 и один с Windows XP и не все с актуальными обновлениями. Сразу же переустановили Windows первой зараженной. Заметили странные новые сетевые пути на остальных. После поиска в гугл зашел в fsmgmt и увидел странный сеанс почти на всех компьютерах в сети. CollectionLog-2021.06.11-12.58.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 11 июня, 2021 Share Опубликовано 11 июня, 2021 Здравствуйте! В логах этого компьютера не замечено ничего вирусоподобного. 10 минут назад, HiperBoomer сказал: внутри сети с общими папками без пароля Это, надеюсь, исправлено? Т.е. закрыто или установлен пароль. Отключите все подозрительные ПК от сети и пролечите. Можно использовать KVRT, если нет установленного актуального антивируса. Если планируете с нашей помощью проверить остальные, действуйте по принципу один компьютер - одна тема (заголовки только меняйте). Цитата Ссылка на сообщение Поделиться на другие сайты
HiperBoomer 0 Опубликовано 11 июня, 2021 Автор Share Опубликовано 11 июня, 2021 Цитата Это, надеюсь, исправлено? Дело в том, что очень хотелось бы обойтись без паролей внутри сети. Kaspersky Rescue Disk является аналогом KVRT? Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 11 июня, 2021 Share Опубликовано 11 июня, 2021 Да, но он эффективен при файловом заражении. KVRT можно запускать прямо из системы. Цитата Ссылка на сообщение Поделиться на другие сайты
HiperBoomer 0 Опубликовано 11 июня, 2021 Автор Share Опубликовано 11 июня, 2021 2 минуты назад, Sandor сказал: Да, но он эффективен при файловом заражении. KVRT можно запускать прямо из системы. KVRT ругался на отсутствие обновлений, обновления приводили к синему экрану. Спасибо большое за ответ. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 11 июня, 2021 Share Опубликовано 11 июня, 2021 2 минуты назад, HiperBoomer сказал: KVRT ругался на отсутствие обновлений Вы его скачивали давно или сейчас? Обычно там обновления на момент закачки должны быть. Цитата Ссылка на сообщение Поделиться на другие сайты
HiperBoomer 0 Опубликовано 11 июня, 2021 Автор Share Опубликовано 11 июня, 2021 Только что, Sandor сказал: Вы его скачивали давно или сейчас? Обычно там обновления на момент закачки должны быть. Возможно, вы не поняли, ругается на отсутствие обновлений системы. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 11 июня, 2021 Share Опубликовано 11 июня, 2021 Я действительно не понял. Но и это тоже плохо. Вредонос может проникать как раз через незакрытые уязвимости. Давайте на этом компьютере (с которого логи) проверим: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работуДождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txtЕсли Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txtПрикрепите этот файл к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
HiperBoomer 0 Опубликовано 11 июня, 2021 Автор Share Опубликовано 11 июня, 2021 SecurityCheck.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 11 июня, 2021 Share Опубликовано 11 июня, 2021 Все указанное следует как можно быстрее исправить. Иначе лечение будет бесполезным. Утилиту можете запускать на любом компьютере. ------------------------------- [ Windows ] ------------------------------- Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления ^Используйте Средство устранения неполадок при проблемах установки^ Контроль учётных записей пользователя отключен (Уровень 1) ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ Учетная запись гостя включена. Пароль не установлен. ------------------------------- [ HotFix ] -------------------------------- HotFix KB3125574 Внимание! Скачать обновления HotFix KB4012212 Внимание! Скачать обновления HotFix KB4499175 Внимание! Скачать обновления HotFix KB4474419 Внимание! Скачать обновления HotFix KB4490628 Внимание! Скачать обновления HotFix KB4539602 Внимание! Скачать обновления --------------------------- [ OtherUtilities ] ---------------------------- Microsoft .NET Framework 4.6.1 v.4.6.01055 Внимание! Скачать обновления Microsoft Office Enterprise 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice Foxit Reader v.10.1.1.37576 Внимание! Скачать обновления ^Локализованные версии могут обновляться позже англоязычных!^ ------------------------------ [ ArchAndFM ] ------------------------------ WinRAR 5.21 (64-разрядная) v.5.21.0 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- uTorrent v.3.5.5.45852 Внимание! Клиент сети P2P с рекламным модулем!. -------------------------------- [ Media ] -------------------------------- AIMP v.v4.70.2236, 22.11.2020 Внимание! Скачать обновления K-Lite Codec Pack 15.9.0 Basic v.15.9.0 Внимание! Скачать обновления Цитата Ссылка на сообщение Поделиться на другие сайты
HiperBoomer 0 Опубликовано 11 июня, 2021 Автор Share Опубликовано 11 июня, 2021 Спасибо еще раз. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 11 июня, 2021 Share Опубликовано 11 июня, 2021 На заметку - Рекомендации после удаления вредоносного ПО Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.