Офисный букетик #1

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,704
Реакции
5,007
Баллы
743
Я бы и рад, но после лечения не осталось ни файла, ни карантина, хотя в скрипте были команды карантина. Странно это.
Ни чего странного. Вероятная причина – он прошел по базе безопасных, и поэтому не попал в карантин.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,704
Реакции
5,007
Баллы
743
Тогда не знаю. Может чем то успели вычистить из темпов до того как скрипт выполнился.
Симптомы:
Принтер периодически печатает иероглифы, не остановишь. Тормозит комп беспощадно.
Что с проблемами после твоего лечения?
 

Ярослав

Пользователь
Сообщения
282
Реакции
10
Баллы
28
Что с проблемами после твоего лечения?
Пользователь сказал, что в понедельник только сможет поработать, тогда видно будет. Но формулировка "комп тормозит" - мало обнадёживает, сомнительный такой признак.

А вот у меня вопрос возник, можно ли указать RSIT период за который изменения файловой системы просматривать? Меня просто вдруг осенило, что я не знаю, когда был заражён комп, т.к. пользователи у нас весьма терпеливые. У этого, например, судя по одной единственной записи:
2017-10-26 07:32:07 ----RSHD---- C:\windows\M-5050720597279729037972350920
Заражение появилось в конце октября. И это самый оптимистичный прогноз. 26 октября - как раз попало на горизонт периода за который RSIT просматривает записи. Сделай я лог в понедельник - её бы уже не было в логе.
И теперь я знаю, что по хорошему надо увидеть, что было создано не три месяца, а четыре - пять месяцев назад. Тогда, может быть, ещё что-нибудь нашёл бы.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,704
Реакции
5,007
Баллы
743
Но формулировка "комп тормозит" - мало обнадёживает, сомнительный такой признак.
Адварь нужно вычищать.
А вот у меня вопрос возник, можно ли указать RSIT период за который изменения файловой системы просматривать?
На сколько помню 3 месяца был максимальный срок.
 

Ярослав

Пользователь
Сообщения
282
Реакции
10
Баллы
28
Адварь нужно вычищать.
Парк у заказчика процентов на 50 состоит из пеньков. Я совсем не удивлюсь, если адварь не при чём тут.

На сколько помню 3 месяца был максимальный срок.
Жаль. Я пользователю поставил антивирус (у него были только остатки от аваста) и защитник флешек, потому как флешками там пользуются весьма часто. Распространён вариант, который делает ярлыки всех папок на флэхе, а папки скрывает.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,704
Реакции
5,007
Баллы
743
Парк у заказчика процентов на 50 состоит из пеньков.
Все зависит от задач, которые на них выполняются.
Я совсем не удивлюсь, если адварь не при чём тут.
Более 90% сегодняшних проблем с компами юзеров, обращающихся за помощью на форумы ассоциации, это как раз наличие адвари.
 
  • Like
Реакции: akok

Ярослав

Пользователь
Сообщения
282
Реакции
10
Баллы
28
Более 90% сегодняшних проблем с компами юзеров, обращающихся за помощью на форумы ассоциации, это как раз наличие адвари.
Ну, может быть, может быть. Кстати, пора опросить пользователя!
 

Ярослав

Пользователь
Сообщения
282
Реакции
10
Баллы
28
А вот теперь я в растерянности.
Взял логи с трёх машин. Две (эта, и соседа) находятся на одном цеху одного месторождения. Третья на другом цеху, другого месторождения. У всех трёх есть процесс, точь-в-точь, похожий на легальный:

Этот с одного месторождения:
C:\WINDOWS\CCM\CcmExec.exe
1211,17 кб, rsAh, создан: 13.01.2016 17:15:00, изменен: 13.01.2016 17:15:00
Этот с другого:
c:\windows\ccm\ccmexec.exe

1211,17 кб, rsAh, создан: 13.01.2016 17:15:00, изменен: 13.01.2016 17:15:00
Теперь, приведу мои доводы за и против этих процессов:
- Даты создания и изменения до секунды сходятся. Если бы даже это устанавливалось групповыми политиками, ТАКОГО синхрона бы не было;
+ Оба процесса коннектятся на локальный московский ip корпоративной сети;
- Если предположить, что даты создания настоящие, то недавний срок, как раз может указывать на вредность этих процессов;
+ Какого-либо прямого указания, типа упоминания в форумных темах с явным удалением этого процесса не замечено;
- В большинстве мест, где даётся описание процесса, указывается другое расположение нормальное для легального файла, а именно system32.
+ Описание процесса наиподробнейшее, как у настоящего легального, а по MD5 можно найти примеры других версий этого файла, где приводится и этот путь файла, и не говорится о его вредоносности.

Ну, короче, поровну. Не знаю. Вроде бы и может быть такой процесс, и подозрительный он какой-то.

Плюс ещё два лога с других машин.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,464
Реакции
13,373
Баллы
2,203
Хотя меня больше смущает кусок бронтока (первый лог)
C:\Documents and Settings\DrozdovOV\Application Data\smss.exe
C:\Program Files\Windows Media Player\wpshare.vbe - VirusTotal
 

akok

Команда форума
Администратор
Сообщения
17,464
Реакции
13,373
Баллы
2,203
Во втором смущает
c:\documents and settings\beletskiysb\Главное меню\Программы\Автозагрузка\search.cmd

Сразу оговорюсь, логи толком не смотрел, только аномалии которые бросились в глаза при прокрутке лога.
 

Ярослав

Пользователь
Сообщения
282
Реакции
10
Баллы
28
только аномалии которые бросились в глаза
Фигасе глаза у вас О_о

Во втором смущает
То видел. Оно у всех троих. С Сарварова начиная в скрипте у меня.

Видел, но не проверял.

C:\Documents and Settings\DrozdovOV\Application Data\smss.exe
На это не обратил внимание.
 

Ярослав

Пользователь
Сообщения
282
Реакции
10
Баллы
28
@akok, а есть у вас догадки, почему АВЗ везде показывает терминальную сессию?
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,704
Реакции
5,007
Баллы
743
кусок бронтока (первый лог)
Что тебя навело на это заражение?

Посмотрим что за файлы:
C:\Documents and Settings\DrozdovOV\Application Data\smss.exe
C:\Documents and Settings\BeletskiySB\Главное меню\Программы\Автозагрузка\search.cmd
Ярослав, запусти эту утилиту на обоих компах для проверки файлов автозагрузки на VT.
После проверки сразу отпишись в этой теме. Проверять будет примерно минут по 10-15(+/-)
 
Последнее редактирование:
Сверху Снизу