Перейти к содержанию

Помощь в удалении вирусов


Рекомендуемые сообщения

Здравствуйте!

Имеем доменную сеть из 350 рабочих станций, с установленным антивирусом Kaspersky Endpoin Security 11.7.0.669, ограниченным доступом в интернет, и пограничный брэндмауер paloalto.

в течении прошедших полутора недель paloalto детектирует подозрительную активность рабочих станций обозначая ее как DGA (механизм называется DNS Security). DNS запросы на рандомные доменные имена.

В домене запуск исполняемых файлов, скриптов и т.д. разрешен только с определенной папки.

Антивирусы на рабочих станциях с которых идут такие запросы ничего подозрительного не находят (пробовали разные, в том числе загрузочные диски и утилиты для поисков малварей).

На сегодня просто изолируем такие компьютеры и переустанавливаем ОС.

Наиболее частые DNS запросы:

pubt.in

m2pub.com

 

CollectionLog-2021.12.20-15.30.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

В логах не замечено ничего подозрительного/вредоносного.

 

5 минут назад, kopytov-an сказал:

paloalto детектирует подозрительную активность рабочих станций

Если есть с ними обратная связь, хорошо бы у них и уточнить.

 

ScrewDrivers Client v4 x64 - ставили самостоятельно? Смущает:

Цитата

[ScrewDrivers RDP Plugin] = C:\Program Files (x86)\triCerat\Simplify Printing\ScrewDrivers Client v4\install_rdp.exe

 

Ссылка на сообщение
Поделиться на другие сайты

!ScrewDrivers Client v4 x64 - ставили самостоятельно? Смущает:!

Да, данное программное обеспечение ставили самостоятельно. Пользуемся этой программой уже более 5 лет и ранее такого не было. Install_rdp.exe это тоже нормальный файл. 

 

!Если есть с ними обратная связь, хорошо бы у них и уточнить.!

Буквально час назад после очередного разбора лога paloalto обратил внимание на то что вполне легитимные сайты они распознают как вредоносные. Указал им на это.

Более никакой помощи собственно, только блокировка стандартным инструментом.

Ссылка на сообщение
Поделиться на другие сайты

Похоже что ряд сайтов из тех что писал выше все же имеют какую то вирусную активность, поэтому и попадают под блокировку, а компьютеры при этом становятся вирус-активными.

Но основная масса запросов все же идет на не понятные доменные имена:

bt3f4hjsf6.ru

5h3oyhv838.com

Это запросы в один из дней. Очень редкие запросы, на очень не связных по функционалу рабочих станциях. 

Каждый день появляются новые случаи по 1-3 машины, не понимаем как можно отловить. 

Ссылка на сообщение
Поделиться на другие сайты

Обновленная информация. 

Запросы на странные доменные имена происходят в момент запуска браузера который работает на базе Chromium. Будь то SrwIron, Edge, Chrome.

Если включена работа в фоновом режиме, то при переходе в фоновый режим тоже происходит запрос, всегда на 3 имени.

Если запускать Internet Explorer, ничего подобного не происходит. 

Новых процессов при запуск Edge заметить не удается.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...