Помощь в удалении вирусов

[kopytov-an]

Здравствуйте!

Имеем доменную сеть из 350 рабочих станций, с установленным антивирусом Kaspersky Endpoin Security 11.7.0.669, ограниченным доступом в интернет, и пограничный брэндмауер paloalto.

в течении прошедших полутора недель paloalto детектирует подозрительную активность рабочих станций обозначая ее как DGA (механизм называется DNS Security). DNS запросы на рандомные доменные имена.

В домене запуск исполняемых файлов, скриптов и т.д. разрешен только с определенной папки.

Антивирусы на рабочих станциях с которых идут такие запросы ничего подозрительного не находят (пробовали разные, в том числе загрузочные диски и утилиты для поисков малварей).

На сегодня просто изолируем такие компьютеры и переустанавливаем ОС.

Наиболее частые DNS запросы:

pubt.in

m2pub.com

 

CollectionLog-2021.12.20-15.30.zip

[Sandor]

Здравствуйте!

 

В логах не замечено ничего подозрительного/вредоносного.

 

5 минут назад, kopytov-an сказал:

paloalto детектирует подозрительную активность рабочих станций

Если есть с ними обратная связь, хорошо бы у них и уточнить.

 

ScrewDrivers Client v4 x64 - ставили самостоятельно? Смущает:

Цитата

[ScrewDrivers RDP Plugin] = C:\Program Files (x86)\triCerat\Simplify Printing\ScrewDrivers Client v4\install_rdp.exe

 

[kopytov-an]

!ScrewDrivers Client v4 x64 - ставили самостоятельно? Смущает:!

Да, данное программное обеспечение ставили самостоятельно. Пользуемся этой программой уже более 5 лет и ранее такого не было. Install_rdp.exe это тоже нормальный файл. 

 

!Если есть с ними обратная связь, хорошо бы у них и уточнить.!

Буквально час назад после очередного разбора лога paloalto обратил внимание на то что вполне легитимные сайты они распознают как вредоносные. Указал им на это.

Более никакой помощи собственно, только блокировка стандартным инструментом.

[Sandor]

4 минуты назад, kopytov-an сказал:

Указал им на это

Если будет ответ, сообщите здесь, пожалуйста.

[kopytov-an]

Похоже что ряд сайтов из тех что писал выше все же имеют какую то вирусную активность, поэтому и попадают под блокировку, а компьютеры при этом становятся вирус-активными.

Но основная масса запросов все же идет на не понятные доменные имена:

bt3f4hjsf6.ru

5h3oyhv838.com

Это запросы в один из дней. Очень редкие запросы, на очень не связных по функционалу рабочих станциях. 

Каждый день появляются новые случаи по 1-3 машины, не понимаем как можно отловить. 

[Sandor]

Создайте ещё тему в соседнем разделе. Ссылку на эту тему там укажите.

[kopytov-an]

Обновленная информация. 

Запросы на странные доменные имена происходят в момент запуска браузера который работает на базе Chromium. Будь то SrwIron, Edge, Chrome.

Если включена работа в фоновом режиме, то при переходе в фоновый режим тоже происходит запрос, всегда на 3 имени.

Если запускать Internet Explorer, ничего подобного не происходит. 

Новых процессов при запуск Edge заметить не удается.