Перейти к содержанию

Помощь в удалении вирусов


kopytov-an

Рекомендуемые сообщения

Здравствуйте!

Имеем доменную сеть из 350 рабочих станций, с установленным антивирусом Kaspersky Endpoin Security 11.7.0.669, ограниченным доступом в интернет, и пограничный брэндмауер paloalto.

в течении прошедших полутора недель paloalto детектирует подозрительную активность рабочих станций обозначая ее как DGA (механизм называется DNS Security). DNS запросы на рандомные доменные имена.

В домене запуск исполняемых файлов, скриптов и т.д. разрешен только с определенной папки.

Антивирусы на рабочих станциях с которых идут такие запросы ничего подозрительного не находят (пробовали разные, в том числе загрузочные диски и утилиты для поисков малварей).

На сегодня просто изолируем такие компьютеры и переустанавливаем ОС.

Наиболее частые DNS запросы:

pubt.in

m2pub.com

 

CollectionLog-2021.12.20-15.30.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

В логах не замечено ничего подозрительного/вредоносного.

 

5 минут назад, kopytov-an сказал:

paloalto детектирует подозрительную активность рабочих станций

Если есть с ними обратная связь, хорошо бы у них и уточнить.

 

ScrewDrivers Client v4 x64 - ставили самостоятельно? Смущает:

Цитата

[ScrewDrivers RDP Plugin] = C:\Program Files (x86)\triCerat\Simplify Printing\ScrewDrivers Client v4\install_rdp.exe

 

Ссылка на комментарий
Поделиться на другие сайты

!ScrewDrivers Client v4 x64 - ставили самостоятельно? Смущает:!

Да, данное программное обеспечение ставили самостоятельно. Пользуемся этой программой уже более 5 лет и ранее такого не было. Install_rdp.exe это тоже нормальный файл. 

 

!Если есть с ними обратная связь, хорошо бы у них и уточнить.!

Буквально час назад после очередного разбора лога paloalto обратил внимание на то что вполне легитимные сайты они распознают как вредоносные. Указал им на это.

Более никакой помощи собственно, только блокировка стандартным инструментом.

Ссылка на комментарий
Поделиться на другие сайты

Похоже что ряд сайтов из тех что писал выше все же имеют какую то вирусную активность, поэтому и попадают под блокировку, а компьютеры при этом становятся вирус-активными.

Но основная масса запросов все же идет на не понятные доменные имена:

bt3f4hjsf6.ru

5h3oyhv838.com

Это запросы в один из дней. Очень редкие запросы, на очень не связных по функционалу рабочих станциях. 

Каждый день появляются новые случаи по 1-3 машины, не понимаем как можно отловить. 

Ссылка на комментарий
Поделиться на другие сайты

Обновленная информация. 

Запросы на странные доменные имена происходят в момент запуска браузера который работает на базе Chromium. Будь то SrwIron, Edge, Chrome.

Если включена работа в фоновом режиме, то при переходе в фоновый режим тоже происходит запрос, всегда на 3 имени.

Если запускать Internet Explorer, ничего подобного не происходит. 

Новых процессов при запуск Edge заметить не удается.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Вадим_АнтиВирус
      Автор Вадим_АнтиВирус
      Здравствуйте.
      Вчера я скачал программу, под названием FataHook.exe
      Я ее запустил, вроде все замечательно работало. Потом в неожиданный момент пишу в браузере Microsoft Edge: Что делать, если вирус на компьютере?
      Проходит секунд 5-6 и вирус сразу закрывает браузер.
      Папка hosts отсутствует из за ее блокировки вирусом.
      Не могу запустить ни один антивирус под любым названием (даже с измененным).
      Если перейду в параметры, то там вообще отсутствует кнопка безопасности Windows.
      Если в поиске написать: Защита от вирусов и угроз, то выдает ошибку: Вам понадобится новое приложение, чтобы открыть эту ссылку windowsdefender.
       
      Помогите пожалуйста удалить данный вирус!!!
    • Chel_Yaa
      Автор Chel_Yaa
      Заметил что ноутбук начал шуметь во время простоя также видеокарта забита на 100%
       
       
      CollectionLog-2025.06.16-20.26.zip
    • Samael
      Автор Samael
      Здравствуйте! Антивирус касперский постоянно находит HEUR:Trojan.multi.GenBadur.genw, после лечения с перезагрузкой вирус заново появляется в системе. Прилагаю логи! 
      CollectionLog-2025.05.07-03.44.zip
    • Amgasan
      Автор Amgasan
      Обнаружил загрузку ГП на но утбуке, при проверке DoctorWeb CureIt выдало Tool.btcmine.2794, после перезагрузки снова восстанавливается как файл WinServiceNetworking.exe. 
      CollectionLog-2025.06.17-21.00.zip
    • Alexey82
      Автор Alexey82
      Добрый день.
      Прошу помощи в удалении Trojan:Win32/Kepavll!rfn.
       
      Сработал стандартный Защитник Windows (Windows 10) Microsoft Defender.
      В папке ProgramData появилось много папок с названиями всех известных антивирусов, при попытке открыть страницы в браузере с упоминанием о удалении троянов - браузер закрывается.
      Прогнал CureIt, нашел угрозы, удалил не всё, лог приложил.
      Объясню сразу момент - приложение GPP Remote Service установлено мной лично для доступа к домашнему ноуту.
      Собственно все началось после того, как захотел ознакомиться с игрой Wizardum, как ни странно скачивал торрент отсюда (h__s://bуrutgаmе.оrg/41154-wizоrdum.htmI), в момент запуска установщика, на него выругался Microsoft Defender.
       
      Прошу помощи с удалением.
       
      Заранее спасибо откликнувшимся специалистам.
      CollectionLog-2025.06.27-06.20.zip cureit.rar
×
×
  • Создать...