Тема закрыта
Newbie
Отправлено 06 Сентябрь 2022 - 14:25
В библиотеке поставили на компьютере новые ssd диски с ними, так как компьютеры не шустрые - Windows 7. В этот же день пришли преподаватели со своими флешками - разнесли заразу. На микротиках увидел тьму запросов на 1433 порт на сервак с 1ской. Вывел компы в отдельную приватную сеть. Как только сделал это - пошли ICMP запросы на внешние ip адреса. Накатил антивирусы. Нашел эту дрянь сразу же. Кто подскажет, что это?
Poster
Отправлено 06 Сентябрь 2022 - 14:25
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.
Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig
Для этого проделайте следующее:
Poster
Отправлено 06 Сентябрь 2022 - 14:37
Сообщение было изменено Alexander007: 06 Сентябрь 2022 - 14:38
Global Malware Hunting.
Newbie
Отправлено 06 Сентябрь 2022 - 14:59
Если можно : C:\windows\system32\ms827f72ceapp.dll -отправить вирустотал Virustotal . Для детальной информации (интересно посмотреть ).
https://www.virustotal.com/gui/file/7893c5e68ff78d76c0b4b8ba5ae2367fa9c285efe520de44ff12498ba90df5b0
Poster
Отправлено 06 Сентябрь 2022 - 15:17
Сообщение было изменено Alexander007: 06 Сентябрь 2022 - 15:20
Global Malware Hunting.
Poster
Отправлено 06 Сентябрь 2022 - 15:39
Trojan.Packed2.43111 В карантине SpIDer Guard для рабочих станций Windows C:\windows\system32\ms827f72ceapp.dll
В библиотеке поставили на компьютере новые ssd диски с ними, так как компьютеры не шустрые - Windows 7. В этот же день пришли преподаватели со своими флешками - разнесли заразу. На микротиках увидел тьму запросов на 1433 порт на сервак с 1ской. Вывел компы в отдельную приватную сеть. Как только сделал это - пошли ICMP запросы на внешние ip адреса. Накатил антивирусы. Нашел эту дрянь сразу же. Кто подскажет, что это?
Образец добавлен еще в начале 2021 года Trojan.Packed2.43111(2), вот для чего и нужны АВ с актуальными базами ))
https://forum.eset.com/topic/28800-cleaning-rootkit-problem/
Лечитесь. И покупайте АВ. ))
Member
Отправлено 06 Сентябрь 2022 - 15:47
Чтобы понять что это - нужны логи, утилита для сбора логов на зараженной машине: https://drw.sh/yvigjt
The Master
Отправлено 06 Сентябрь 2022 - 17:01
утилита для сбора логов на зараженной машине: https://drw.sh/yvigjt
Извините за оффтоп, очень любопытно - это и есть знаменитых FixIt 2.2 или это другое?
Сообщение было изменено SergSG: 06 Сентябрь 2022 - 17:02
Guru
Отправлено 07 Сентябрь 2022 - 14:46
утилита для сбора логов на зараженной машине: https://drw.sh/yvigjt
Извините за оффтоп, очень любопытно - это и есть знаменитых FixIt 2.2 или это другое?
Утилита от него. Знаменитый FixIt 2.2 - это сервис, который позволяет и утилиту сгенерить и логи проанализировать и лечение и по итогу сделать.
Poster
Отправлено 13 Сентябрь 2022 - 13:12
>Кто подскажет, что это?
А вам его "торговое" название что-то скажет?)
Ставьте везде MS17-010 и антивирус, иначе без всяких флешек расползется по вашей сети.
0 пользователей, 1 гостей, 0 скрытых
Community Forum Software by IP.Board
Владелец лицензии: Doctor Web, Ltd.
