• Добро пожаловать на компьютерный форум Tehnari.ru. Здесь разбираемся с проблемами ПК и ноутбуков: Windows, драйверы, «железо», сборка и апгрейд, софт и безопасность. Форум работает много лет, сейчас он переехал на новый движок, но старые темы и аккаунты мы постарались сохранить максимально аккуратно.

    Форум не связан с магазинами и сервисами – мы ничего не продаём и не даём «рекламу под видом совета». Отвечают обычные участники и модераторы, которые следят за порядком и качеством подсказок.

    Если вы у нас впервые, загляните на страницу о форуме и правила – там коротко описано, как задать вопрос так, чтобы быстро получить ответ. Чтобы создавать темы и писать сообщения, сначала зарегистрируйтесь, а затем войдите под своим логином.

    Не знаете, с чего начать? Создайте тему с описанием проблемы – подскажем и при необходимости перенесём её в подходящий раздел.
    Задать вопрос Новые сообщения Как правильно спросить
    Если пришли по старой ссылке со старого Tehnari.ru – вы на нужном месте, просто продолжайте обсуждение.

Прошу проверить логи

  • Автор темы Автор темы disasm
  • Дата начала Дата начала
D

disasm

Member
Регистрация
4 Авг 2011
Сообщения
224
Реакции
0
Баллы
0
Прошу проверить логи

Здравствуйте, уважаемые эксперты по безопасности!

Прошу проверить логи с компьютера.
Вставляли флешку с трояном Wind32/Injector.DWTB, который к файлам ярлыки делает. Флешку почистил на другом компьютере, ярлыки удалил, атрибуты файлов восстановил.

Еще добавил лог утилиты от MS Autoruns.
Увидел запись "c:\programdata\{19a84471-99b2-7111-b7ba-6cf0d4e774f6}\b41794ee.exe" - это 100% троян. При удалении папки и файла, автоматически создается заново.

На старом форуме, была возможность платной проверки логов и лечение.
Здесь такое возможно? Просто достался "зоопарк" порядка 50 машин(XP,7,10). Есть проблемы с вирусами и флешками. Кто то из сотрудников из дома периодически приносит "свинью".

Для защиты флешек я довольно долго использовал утилиту-скрипт AUTOSTOP 2.6
Сейчас может появилось что то новое?
 

Вложения

Здесь такое возможно?
Нажмите для раскрытия...
Не знаю, спросите у администратора форума.

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код: 
    ;uVS v4.0.23 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
breg

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
delref KERNCAP.VBS
delall %SystemDrive%\PROGRAMDATA\{19A84471-99B2-7111-B7BA-6CF0D4E774F6}\B41794EE.EXE
deldir %SystemDrive%\PROGRAMDATA\{19A84471-99B2-7111-B7BA-6CF0D4E774F6}
restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен..

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
 
Ниже логи FRST
 

Вложения

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    Код: 
    CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3130924895-4115592518-4162173639-1000\...\Run: [{85B86C41-B182-ED01-B7BA-6CF0D4E774F6}] => c:\programdata\{19a84471-99b2-7111-b7ba-6cf0d4e774f6}\b41794ee.exe
2019-01-12 13:19 - 2019-01-12 13:20 - 000000000 ____D C:\Users\Все пользователи\{19a84471-99b2-7111-b7ba-6cf0d4e774f6}
2019-01-12 13:19 - 2019-01-12 13:20 - 000000000 ____D C:\ProgramData\{19a84471-99b2-7111-b7ba-6cf0d4e774f6}
2019-01-10 10:23 - 2019-01-12 13:19 - 000003040 _____ C:\Windows\System32\Tasks\{85B86C41-B182-ED01-B7BA-6CF0D4E774F6}
Folder: C:\Users\School\AppData\Local\{3BBA40BB-5C7A-4957-B3B2-994F3FEA3BD3}
2019-01-12 13:22 - 2017-04-01 04:47 - 000000180 _____ C:\Windows\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
Task: {B5A01DCD-4DDD-477C-A59B-5BB47D083025} - System32\Tasks\{85B86C41-B182-ED01-B7BA-6CF0D4E774F6} => c:\programdata\{19a84471-99b2-7111-b7ba-6cf0d4e774f6}\b41794ee.exe <==== ATTENTION
EmptyTemp:
  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Обратите внимание, что компьютер будет перезагружен.
  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Сделайте новые логи FRST.txt, Addition.txt

Сделайте логи Автологгера https://safezone.cc/resources/autologger-regist-drongo.59/
 
Загрузил новые логи, RSIT обновился до новой версии.
 

Вложения

Откройте AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Исправьте:
Код: 
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей

Установите антивирус, например Kaspersky Free.

  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме
 
Установите антивирус.

Microsoft Office 2007 v.12.0.4518.1014 - снят с поддержки. Обновления безопасности для данной редакции офиса уже не выпускают. Рекомендуется переход на более новую редакцию офиса.

7-Zip 18.05 v.18.05 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^

Java 8 Update 121 (64-bit) v.8.0.1210.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u192-windows-x64.exe)^

С этой рабочей станцией все.
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху