0 / 0 / 0
Регистрация: 26.04.2024
Сообщений: 9
|
|
1 | |
Вирус создает новые папки с расширением scr в корне дисков с периодичностью в 30 мин02.05.2024, 10:13. Показов 685. Ответов 15
Метки нет (Все метки)
Здравствуйте!
Устроился на новую работу в больницу. Здесь локальная сеть из более чем 100 компьютеров. На моем компьютере самопроизвольно создаются новые папки с расширением scr в корне дисков (они НЕ расшарены, локальные) с периодичностью в 30 мин например " Антивирусы.scr". В папках ничего нет. Прогнал через cureit, kaspersky, malwarebytes ничего не обнаружено. После этого просматривал сеть, там действительно тоже присутствуют похожие папки. Пошел к админам (их там 6 человек сидят). Они сказали, что не парься, это у нас с 2019 года, вылечить не возможно. Типа вирус распространяется через сеть. Антивирусы его не видят, а на более чем ста компьютерах одновременно переустанавливать систему они не будут. Пожалуйста помогите! логи autologger прилагаю Код
d:\>dir Том в устройстве D имеет метку Новый том Серийный номер тома: FA44-C1F1 Содержимое папки d:\ 02.05.2024 09:35 <DIR> Games.scr 27.04.2024 10:56 <DIR> XXX.scr 02.05.2024 13:05 <DIR> Антивирусы.scr 02.05.2024 14:05 <DIR> Музыка.scr 02.05.2024 10:35 <DIR> Свежак.scr 02.05.2024 14:35 <DIR> Фотки.scr 02.05.2024 09:05 <DIR> Это я)).scr 25.04.2024 15:48 0 1.txt 02.05.2024 09:39 504 115 574 2024.05.02_Games_Logfile.PML 02.05.2024 14:14 <DIR> autologger 26.04.2024 11:01 2 618 633 523 Logfile.PML 26.04.2024 17:15 2 864 Malwarebytes Отчет о проверке 2024-04-26 090259.txt 26.04.2024 08:21 <DIR> Program Files (x86) 25.04.2024 15:08 <DIR> unhack 4 файлов 3 122 751 961 байт 10 папок 231 988 449 280 байт свободно
0
|
02.05.2024, 10:13 | |
Ответы с готовыми решениями:
15
Вирус скрывает папки и создает файлы *.scr Подцепил вирус(создаёт файлы .scr и прячет папки) Вирус в Google Chrome, Opera - всплывающие окна, вирус создает новые папки, содержащие браузер Вирус создает инфицированные файлы .scr и .exe Подцепил Penetrator (создаёт файлы .scr и прячет папки) |
13132 / 7277 / 1541
Регистрация: 06.09.2009
Сообщений: 26,607
|
|
02.05.2024, 22:09 | 2 |
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
0
|
0 / 0 / 0
Регистрация: 26.04.2024
Сообщений: 9
|
|
03.05.2024, 03:38 [ТС] | 3 |
Прилагаю архив FRST.txt и Addition.txt
0
|
0 / 0 / 0
Регистрация: 26.04.2024
Сообщений: 9
|
|
03.05.2024, 03:43 [ТС] | 4 |
У меня ощущение, что этот вирус связан с программами удаленного администрирования. Если было бы иначе, реакция админов была бы более борой.
папка на сетевом диске Код
z:\Р>dir Том в устройстве Z имеет метку DATA_1 Серийный номер тома: 3C81-C44D Содержимое папки z:\Р 02.05.2024 17:45 <DIR> . 02.05.2024 17:45 <DIR> .. 02.05.2024 17:45 157 696 ! ТОЛМ.scr 09.04.2024 19:01 <DIR> ! ХОР 01.02.2024 14:56 <DIR> !!! Видеозапись 07-06-2019 (сперли телефон)
0
|
13132 / 7277 / 1541
Регистрация: 06.09.2009
Сообщений: 26,607
|
|
03.05.2024, 15:42 | 5 |
1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)
Код
Start:: CreateRestorePoint: HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ Task: {A620170B-8578-4141-B0E0-9B570447E561} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-2160718523-2653786251-1748434720-41297 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe /reporting (Нет файла) Task: {ACAD27D2-1C0E-4519-A3F0-1C89E731900F} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-2160718523-2653786251-1748434720-43308 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe /reporting (Нет файла) Task: {3B046B77-A350-469C-9BC5-2724D3BE2EB6} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-2160718523-2653786251-1748434720-8646 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe /reporting (Нет файла) Task: {3A6D013C-C90F-4529-9EC6-BCACC6013C53} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-2683693408-1953633349-1821810367-500 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe /reporting (Нет файла) 2024-05-02 12:35 - 2024-05-02 12:35 - 000000000 ____D C:\ XXX.scr 2024-05-02 11:05 - 2024-05-02 11:05 - 000000000 ____D C:\ Свежак.scr 2024-04-27 10:56 - 2024-04-27 10:56 - 000000000 ____D C:\ Games.scr 2024-04-27 09:21 - 2024-04-27 09:21 - 000000000 ____D C:\ Фотки.scr 2024-04-27 08:51 - 2024-04-27 08:51 - 000000000 ____D C:\ Это я)).scr CustomCLSID: HKU\S-1-5-21-2160718523-2653786251-1748434720-43308_Classes\CLSID\{07CA83F0-DF06-4E67-89DD-E80924A49512}\localserver32 -> "C:\Users\krisin\AppData\Local\Microsoft\OneDrive\24.070.0407.0003\FileCoAuth.exe" => Нет файла CustomCLSID: HKU\S-1-5-21-2160718523-2653786251-1748434720-43308_Classes\CLSID\{0827D883-485C-4D62-BA2C-A332DBF3D4B0}\localserver32 -> "C:\Users\krisin\AppData\Local\Microsoft\OneDrive\24.070.0407.0003\FileCoAuth.exe" => Нет файла CustomCLSID: HKU\S-1-5-21-2160718523-2653786251-1748434720-43308_Classes\CLSID\{20894375-46AE-46E2-BAFD-CB38975CDCE6}\InprocServer32 -> C:\Users\krisin\AppData\Local\Microsoft\OneDrive\24.070.0407.0003\FileSyncShell64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-2160718523-2653786251-1748434720-43308_Classes\CLSID\{3A308EFE-656D-46BB-9963-0A41C0D6BCA2}\localserver32 -> "C:\Users\krisin\AppData\Local\Microsoft\OneDrive\24.070.0407.0003\FileCoAuth.exe" => Нет файла CustomCLSID: HKU\S-1-5-21-2160718523-2653786251-1748434720-43308_Classes\CLSID\{47E6DCAF-41F8-441C-BD0E-A50D5FE6C4D1}\localserver32 -> "C:\Users\krisin\AppData\Local\Microsoft\OneDrive\24.070.0407.0003\Microsoft.SharePoint.exe" => Нет файла CustomCLSID: HKU\S-1-5-21-2160718523-2653786251-1748434720-43308_Classes\CLSID\{917E8742-AA3B-7318-FA12-10485FB322A2}\localserver32 -> "C:\Users\krisin\AppData\Local\Microsoft\OneDrive\24.070.0407.0003\Microsoft.SharePoint.exe" => Нет файла CustomCLSID: HKU\S-1-5-21-2160718523-2653786251-1748434720-43308_Classes\CLSID\{F37369D9-1C22-40A0-A997-0B4D5F7B6637}\localserver32 -> "C:\Users\krisin\AppData\Local\Microsoft\OneDrive\24.070.0407.0003\FileCoAuth.exe" => Нет файла AlternateDataStreams: C:\Users\krisin\Downloads\FRST64.exe:MBAM.Zone.Identifier [240] FirewallRules: [{C70A8F99-11FF-43B8-9578-904C9E22248F}] => (Allow) C:\Users\user\AppData\Local\Temp\SmartFix\wget.exe => Нет файла Reboot: End:: 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
0
|
0 / 0 / 0
Регистрация: 26.04.2024
Сообщений: 9
|
|
06.05.2024, 11:49 [ТС] | 6 |
файл фикса
0
|
13132 / 7277 / 1541
Регистрация: 06.09.2009
Сообщений: 26,607
|
|
06.05.2024, 21:04 | 7 |
Папку c:\FRST\Quarantine заархивируйте с паролем malware123, выложите на файлообменник и пришлите ссылку на скачивание.
0
|
0 / 0 / 0
Регистрация: 26.04.2024
Сообщений: 9
|
|
07.05.2024, 02:54 [ТС] | 8 |
0
|
13132 / 7277 / 1541
Регистрация: 06.09.2009
Сообщений: 26,607
|
|
09.05.2024, 12:33 | 9 |
Удалите старые логи FRST.txt и Addition.txt, соберите новые логи Farbar
0
|
0 / 0 / 0
Регистрация: 26.04.2024
Сообщений: 9
|
|
13.05.2024, 04:28 [ТС] | 10 |
логи farbar
0
|
13132 / 7277 / 1541
Регистрация: 06.09.2009
Сообщений: 26,607
|
|
13.05.2024, 09:13 | 11 |
1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)
Код
Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Ограничение <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-2160718523-2653786251-1748434720-43308\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ AutoConfigURL: [{F571C648-ECF7-44AC-B164-0CDCD1C2EE8E}] => hxxp://10.23.25.11/wpad.dat <==== ВНИМАНИЕ Folder: C:\ Games.scr Folder: C:\ Книжки.scr 2024-05-08 09:31 - 2024-05-08 09:31 - 000000000 ____D C:\ Порно.scr 2024-05-08 09:01 - 2024-05-08 09:01 - 000000000 ____D C:\ Games.scr 2024-05-08 07:53 - 2024-05-08 07:53 - 000026708 __RSH C:\ProgramData\ntuser.pol 2024-05-07 13:05 - 2024-05-07 13:05 - 000000000 ____D C:\ Книжки.scr 2024-05-07 12:05 - 2024-05-07 12:05 - 000000000 ____D C:\ Новое.scr 2024-05-07 10:35 - 2024-05-07 10:35 - 000000000 ____D C:\ XXX.scr 2024-05-07 10:05 - 2024-05-07 10:05 - 000000000 ____D C:\ Свежак.scr 2024-05-07 09:35 - 2024-05-07 09:35 - 000000000 ____D C:\ Фотки.scr 2024-05-07 09:05 - 2024-05-07 09:05 - 000000000 ____D C:\ Музыка.scr 2024-05-07 08:35 - 2024-05-07 08:35 - 000000000 ____D C:\ Это я)).scr 2024-05-06 11:42 - 2024-05-06 11:42 - 000000000 ____D C:\ Антивирусы.scr 2024-05-06 10:12 - 2024-05-06 10:12 - 000000000 ____D C:\ Не удалять!!!.scr Reboot: End:: 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
Где находится сетевая папка, в которой обнаружен этот файл? Вообще админы конечно странные, если не занимаются сетевой безопасностью. Достаточно выявить компьютер-источник, который и рассылает это все по сети.
0
|
0 / 0 / 0
Регистрация: 26.04.2024
Сообщений: 9
|
|
13.05.2024, 11:05 [ТС] | 12 |
прикрепляю
0
|
13132 / 7277 / 1541
Регистрация: 06.09.2009
Сообщений: 26,607
|
|
13.05.2024, 12:07 | 13 |
0
|
0 / 0 / 0
Регистрация: 26.04.2024
Сообщений: 9
|
|
15.05.2024, 07:56 [ТС] | 14 |
Не знаю, чем вам это поможет. Эти папки и файлы создаются каждый час, и примерно каждый час удаляются в автоматическом режиме. Может их удаляет какой-то антивирус, может админский скрипт, может сам вирус.
https://send.vis.ee/download/3... UFHpI4PJhg
0
|
13132 / 7277 / 1541
Регистрация: 06.09.2009
Сообщений: 26,607
|
|
15.05.2024, 22:50 | 15 |
Ну стало быть обычный сетевой червяк. Раз админы заниматься не хотят поисками первоисточника, значит, смиритесь и примите, как должное.
0
|
0 / 0 / 0
Регистрация: 26.04.2024
Сообщений: 9
|
|
Вчера, 03:11 [ТС] | 16 |
Спасибо за информацию, спасибо за уделенное время.
По большому счету меня мало волнует, что там происходит в сетевых дисках. Мне не понятно, почему у меня на компьютере на обычных локальных дисках создаются левые папки. Эти диски же не расшарены. Может можно что то сделать конкретно с моей машиной? Ну типа права доступа или уровень доступа изменить, какие-нибудь службы остановить или отключить? Типа службы сетевого обнаружения. Как-нибудь перенастроить firewall? Может можете объяснить механизм, как удаленная машина у меня на компьютере на локальных дисках может создавать папки? Это какая-то уязвимость windows 10?
0
|
Вчера, 03:11 | |
Вчера, 03:11 | |
Помогаю со студенческими работами здесь
16
Вирус создает файлы с расширением .exe Вирус создаёт файлы с расширением exe Вирус скрывает папки и создает кучу файлов VBS с именем папки Вирус создает на флешках файлы с названиями папок и расширением .vbs Вирус создает папки в домене Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |