Прошу проверить логи

disasm · 12.01.2019, 03:32

Здравствуйте, уважаемые эксперты по безопасности!

Прошу проверить логи с компьютера.
Вставляли флешку с трояном Wind32/Injector.DWTB, который к файлам ярлыки делает. Флешку почистил на другом компьютере, ярлыки удалил, атрибуты файлов восстановил.

Еще добавил лог утилиты от MS Autoruns.
Увидел запись "c:\programdata\{19a84471-99b2-7111-b7ba-6cf0d4e774f6}\b41794ee.exe" - это 100% троян. При удалении папки и файла, автоматически создается заново.

На старом форуме, была возможность платной проверки логов и лечение.
Здесь такое возможно? Просто достался "зоопарк" порядка 50 машин(XP,7,10). Есть проблемы с вирусами и флешками. Кто то из сотрудников из дома периодически приносит "свинью".

Для защиты флешек я довольно долго использовал утилиту-скрипт AUTOSTOP 2.6
Сейчас может появилось что то новое?

mike 1 · 12.01.2019, 13:38

Цитата:

Здесь такое возможно?

Не знаю, спросите у администратора форума.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

Код:

;uVS v4.0.23 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
breg

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
delref KERNCAP.VBS
delall %SystemDrive%\PROGRAMDATA\{19A84471-99B2-7111-B7BA-6CF0D4E774F6}\B41794EE.EXE
deldir %SystemDrive%\PROGRAMDATA\{19A84471-99B2-7111-B7BA-6CF0D4E774F6}
restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен..

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

disasm · 12.01.2019, 14:36

Ниже логи FRST

mike 1 · 12.01.2019, 22:41

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3130924895-4115592518-4162173639-1000\...\Run: [{85B86C41-B182-ED01-B7BA-6CF0D4E774F6}] => c:\programdata\{19a84471-99b2-7111-b7ba-6cf0d4e774f6}\b41794ee.exe
2019-01-12 13:19 - 2019-01-12 13:20 - 000000000 ____D C:\Users\Все пользователи\{19a84471-99b2-7111-b7ba-6cf0d4e774f6}
2019-01-12 13:19 - 2019-01-12 13:20 - 000000000 ____D C:\ProgramData\{19a84471-99b2-7111-b7ba-6cf0d4e774f6}
2019-01-10 10:23 - 2019-01-12 13:19 - 000003040 _____ C:\Windows\System32\Tasks\{85B86C41-B182-ED01-B7BA-6CF0D4E774F6}
Folder: C:\Users\School\AppData\Local\{3BBA40BB-5C7A-4957-B3B2-994F3FEA3BD3}
2019-01-12 13:22 - 2017-04-01 04:47 - 000000180 _____ C:\Windows\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
Task: {B5A01DCD-4DDD-477C-A59B-5BB47D083025} - System32\Tasks\{85B86C41-B182-ED01-B7BA-6CF0D4E774F6} => c:\programdata\{19a84471-99b2-7111-b7ba-6cf0d4e774f6}\b41794ee.exe <==== ATTENTION
EmptyTemp:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Сделайте новые логи FRST.txt, Addition.txt

Сделайте логи Автологгера https://safezone.cc/resources/autolo...ist-drongo.59/

disasm · 12.01.2019, 23:25

Загрузил новые логи, RSIT обновился до новой версии.

mike 1 · 13.01.2019, 00:47

Откройте AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Исправьте:

Код:

 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей

Установите антивирус, например Kaspersky Free.

Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите отчет в вашей теме

disasm · 13.01.2019, 04:44

лог SecurityCheck.txt

mike 1 · 13.01.2019, 14:46

Установите антивирус.

Microsoft Office 2007 v.12.0.4518.1014 - снят с поддержки. Обновления безопасности для данной редакции офиса уже не выпускают. Рекомендуется переход на более новую редакцию офиса.

7-Zip 18.05 v.18.05 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^

Java 8 Update 121 (64-bit) v.8.0.1210.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u192-windows-x64.exe)^

С этой рабочей станцией все.

disasm · 13.01.2019, 15:14

Цитата:

Сообщение от mike 1

С этой рабочей станцией все.

Спасибо большое за помощь!

12.01.2019, 22:41	#4 (permalink)
mike 1 Helper Регистрация: 28.10.2013 Адрес: Москва Сообщений: 678 Сказал(а) спасибо: 1 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 5469	ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: Код: CreateRestorePoint: CloseProcesses: HKU\S-1-5-21-3130924895-4115592518-4162173639-1000\...\Run: [{85B86C41-B182-ED01-B7BA-6CF0D4E774F6}] => c:\programdata\{19a84471-99b2-7111-b7ba-6cf0d4e774f6}\b41794ee.exe 2019-01-12 13:19 - 2019-01-12 13:20 - 000000000 ____D C:\Users\Все пользователи\{19a84471-99b2-7111-b7ba-6cf0d4e774f6} 2019-01-12 13:19 - 2019-01-12 13:20 - 000000000 ____D C:\ProgramData\{19a84471-99b2-7111-b7ba-6cf0d4e774f6} 2019-01-10 10:23 - 2019-01-12 13:19 - 000003040 _____ C:\Windows\System32\Tasks\{85B86C41-B182-ED01-B7BA-6CF0D4E774F6} Folder: C:\Users\School\AppData\Local\{3BBA40BB-5C7A-4957-B3B2-994F3FEA3BD3} 2019-01-12 13:22 - 2017-04-01 04:47 - 000000180 _____ C:\Windows\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File Task: {B5A01DCD-4DDD-477C-A59B-5BB47D083025} - System32\Tasks\{85B86C41-B182-ED01-B7BA-6CF0D4E774F6} => c:\programdata\{19a84471-99b2-7111-b7ba-6cf0d4e774f6}\b41794ee.exe <==== ATTENTION EmptyTemp: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму Сделайте новые логи FRST.txt, Addition.txt Сделайте логи Автологгера https://safezone.cc/resources/autolo...ist-drongo.59/ __________________ Антивирусная школа по подготовке консультантов https://safezone.cc/training (если хотите самостоятельно лечить компьютеры от вирусов)

13.01.2019, 00:47	#6 (permalink)
mike 1 Helper Регистрация: 28.10.2013 Адрес: Москва Сообщений: 678 Сказал(а) спасибо: 1 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 5469	Откройте AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Исправьте: Код: >> Разрешен автозапуск с HDD >> Разрешен автозапуск с сетевых дисков >> Разрешен автозапуск со сменных носителей Установите антивирус, например Kaspersky Free. Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите отчет в вашей теме __________________ Антивирусная школа по подготовке консультантов https://safezone.cc/training (если хотите самостоятельно лечить компьютеры от вирусов)

13.01.2019, 14:46	#8 (permalink)
mike 1 Helper Регистрация: 28.10.2013 Адрес: Москва Сообщений: 678 Сказал(а) спасибо: 1 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 5469	Установите антивирус. Microsoft Office 2007 v.12.0.4518.1014 - снят с поддержки. Обновления безопасности для данной редакции офиса уже не выпускают. Рекомендуется переход на более новую редакцию офиса. 7-Zip 18.05 v.18.05 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ Java 8 Update 121 (64-bit) v.8.0.1210.13 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u192-windows-x64.exe)^ С этой рабочей станцией все. __________________ Антивирусная школа по подготовке консультантов https://safezone.cc/training (если хотите самостоятельно лечить компьютеры от вирусов)

12.01.2019, 03:32
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	На нашем форуме есть похожие темы, ознакомьтесь: Прошу проверить логи Прошу проверить логи Прошу проверить логи Прошу проверить логи

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070