Офисный букетик #1

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,654
Баллы
753
Я бы и рад, но после лечения не осталось ни файла, ни карантина, хотя в скрипте были команды карантина. Странно это.
Ни чего странного. Вероятная причина – он прошел по базе безопасных, и поэтому не попал в карантин.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,654
Баллы
753
Тогда не знаю. Может чем то успели вычистить из темпов до того как скрипт выполнился.
Симптомы:
Принтер периодически печатает иероглифы, не остановишь. Тормозит комп беспощадно.
Что с проблемами после твоего лечения?
 

Ярослав

Активный пользователь
Сообщения
282
Реакции
10
Баллы
58
Что с проблемами после твоего лечения?
Пользователь сказал, что в понедельник только сможет поработать, тогда видно будет. Но формулировка "комп тормозит" - мало обнадёживает, сомнительный такой признак.

А вот у меня вопрос возник, можно ли указать RSIT период за который изменения файловой системы просматривать? Меня просто вдруг осенило, что я не знаю, когда был заражён комп, т.к. пользователи у нас весьма терпеливые. У этого, например, судя по одной единственной записи:
2017-10-26 07:32:07 ----RSHD---- C:\windows\M-5050720597279729037972350920
Заражение появилось в конце октября. И это самый оптимистичный прогноз. 26 октября - как раз попало на горизонт периода за который RSIT просматривает записи. Сделай я лог в понедельник - её бы уже не было в логе.
И теперь я знаю, что по хорошему надо увидеть, что было создано не три месяца, а четыре - пять месяцев назад. Тогда, может быть, ещё что-нибудь нашёл бы.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,654
Баллы
753
Но формулировка "комп тормозит" - мало обнадёживает, сомнительный такой признак.
Адварь нужно вычищать.
А вот у меня вопрос возник, можно ли указать RSIT период за который изменения файловой системы просматривать?
На сколько помню 3 месяца был максимальный срок.
 

Ярослав

Активный пользователь
Сообщения
282
Реакции
10
Баллы
58
Адварь нужно вычищать.
Парк у заказчика процентов на 50 состоит из пеньков. Я совсем не удивлюсь, если адварь не при чём тут.

На сколько помню 3 месяца был максимальный срок.
Жаль. Я пользователю поставил антивирус (у него были только остатки от аваста) и защитник флешек, потому как флешками там пользуются весьма часто. Распространён вариант, который делает ярлыки всех папок на флэхе, а папки скрывает.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,654
Баллы
753
Парк у заказчика процентов на 50 состоит из пеньков.
Все зависит от задач, которые на них выполняются.
Я совсем не удивлюсь, если адварь не при чём тут.
Более 90% сегодняшних проблем с компами юзеров, обращающихся за помощью на форумы ассоциации, это как раз наличие адвари.
 
  • Like
Реакции: akok

Ярослав

Активный пользователь
Сообщения
282
Реакции
10
Баллы
58
Более 90% сегодняшних проблем с компами юзеров, обращающихся за помощью на форумы ассоциации, это как раз наличие адвари.
Ну, может быть, может быть. Кстати, пора опросить пользователя!
 

Ярослав

Активный пользователь
Сообщения
282
Реакции
10
Баллы
58
А вот теперь я в растерянности.
Взял логи с трёх машин. Две (эта, и соседа) находятся на одном цеху одного месторождения. Третья на другом цеху, другого месторождения. У всех трёх есть процесс, точь-в-точь, похожий на легальный:

Этот с одного месторождения:
C:\WINDOWS\CCM\CcmExec.exe
1211,17 кб, rsAh, создан: 13.01.2016 17:15:00, изменен: 13.01.2016 17:15:00
Этот с другого:
c:\windows\ccm\ccmexec.exe

1211,17 кб, rsAh, создан: 13.01.2016 17:15:00, изменен: 13.01.2016 17:15:00
Теперь, приведу мои доводы за и против этих процессов:
- Даты создания и изменения до секунды сходятся. Если бы даже это устанавливалось групповыми политиками, ТАКОГО синхрона бы не было;
+ Оба процесса коннектятся на локальный московский ip корпоративной сети;
- Если предположить, что даты создания настоящие, то недавний срок, как раз может указывать на вредность этих процессов;
+ Какого-либо прямого указания, типа упоминания в форумных темах с явным удалением этого процесса не замечено;
- В большинстве мест, где даётся описание процесса, указывается другое расположение нормальное для легального файла, а именно system32.
+ Описание процесса наиподробнейшее, как у настоящего легального, а по MD5 можно найти примеры других версий этого файла, где приводится и этот путь файла, и не говорится о его вредоносности.

Ну, короче, поровну. Не знаю. Вроде бы и может быть такой процесс, и подозрительный он какой-то.

Плюс ещё два лога с других машин.
 

Вложения

akok

Команда форума
Администратор
Сообщения
19,056
Реакции
13,202
Баллы
2,203
Хотя меня больше смущает кусок бронтока (первый лог)
C:\Documents and Settings\DrozdovOV\Application Data\smss.exe
C:\Program Files\Windows Media Player\wpshare.vbe - VirusTotal
 

akok

Команда форума
Администратор
Сообщения
19,056
Реакции
13,202
Баллы
2,203
Во втором смущает
c:\documents and settings\beletskiysb\Главное меню\Программы\Автозагрузка\search.cmd

Сразу оговорюсь, логи толком не смотрел, только аномалии которые бросились в глаза при прокрутке лога.
 

Ярослав

Активный пользователь
Сообщения
282
Реакции
10
Баллы
58
только аномалии которые бросились в глаза
Фигасе глаза у вас О_о

Во втором смущает
То видел. Оно у всех троих. С Сарварова начиная в скрипте у меня.

Видел, но не проверял.

C:\Documents and Settings\DrozdovOV\Application Data\smss.exe
На это не обратил внимание.
 

Ярослав

Активный пользователь
Сообщения
282
Реакции
10
Баллы
58
@akok, а есть у вас догадки, почему АВЗ везде показывает терминальную сессию?
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,654
Баллы
753
кусок бронтока (первый лог)
Что тебя навело на это заражение?

Посмотрим что за файлы:
C:\Documents and Settings\DrozdovOV\Application Data\smss.exe
C:\Documents and Settings\BeletskiySB\Главное меню\Программы\Автозагрузка\search.cmd
Ярослав, запусти эту утилиту на обоих компах для проверки файлов автозагрузки на VT.
После проверки сразу отпишись в этой теме. Проверять будет примерно минут по 10-15(+/-)
 
Последнее редактирование:
Сверху Снизу