Вирус создает новые папки с расширением scr в корне дисков с периодичностью в 30 мин

@rman11 · Регистрация: 26.04.2024

Author24 — интернет-сервис помощи студентам

Здравствуйте!
Устроился на новую работу в больницу. Здесь локальная сеть из более чем 100 компьютеров.
На моем компьютере самопроизвольно создаются новые папки с расширением scr в корне дисков (они НЕ расшарены, локальные) с периодичностью в 30 мин например " Антивирусы.scr". В папках ничего нет. Прогнал через cureit, kaspersky, malwarebytes ничего не обнаружено. После этого просматривал сеть, там действительно тоже присутствуют похожие папки.
Пошел к админам (их там 6 человек сидят). Они сказали, что не парься, это у нас с 2019 года, вылечить не возможно. Типа вирус распространяется через сеть. Антивирусы его не видят, а на более чем ста компьютерах одновременно переустанавливать систему они не будут.

Пожалуйста помогите!

логи autologger прилагаю

Код

d:\>dir
 Том в устройстве D имеет метку Новый том
 Серийный номер тома: FA44-C1F1

 Содержимое папки d:\

02.05.2024  09:35    <DIR>           Games.scr
27.04.2024  10:56    <DIR>           XXX.scr
02.05.2024  13:05    <DIR>           Антивирусы.scr
02.05.2024  14:05    <DIR>           Музыка.scr
02.05.2024  10:35    <DIR>           Свежак.scr
02.05.2024  14:35    <DIR>           Фотки.scr
02.05.2024  09:05    <DIR>           Это я)).scr
25.04.2024  15:48                 0 1.txt
02.05.2024  09:39       504 115 574 2024.05.02_Games_Logfile.PML
02.05.2024  14:14    <DIR>          autologger
26.04.2024  11:01     2 618 633 523 Logfile.PML
26.04.2024  17:15             2 864 Malwarebytes Отчет о проверке 2024-04-26 090259.txt
26.04.2024  08:21    <DIR>          Program Files (x86)
25.04.2024  15:08    <DIR>          unhack
               4 файлов  3 122 751 961 байт
              10 папок  231 988 449 280 байт свободно

@thyrex · 02.05.2024, 22:09

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

@rman11 · 03.05.2024, 03:38 **[ТС]**

Прилагаю архив FRST.txt и Addition.txt

@rman11 · 03.05.2024, 03:43 **[ТС]**

У меня ощущение, что этот вирус связан с программами удаленного администрирования. Если было бы иначе, реакция админов была бы более борой.

папка на сетевом диске

Код

z:\Р>dir
 Том в устройстве Z имеет метку DATA_1
 Серийный номер тома: 3C81-C44D

 Содержимое папки z:\Р

02.05.2024  17:45    <DIR>          .
02.05.2024  17:45    <DIR>          ..
02.05.2024  17:45           157 696  ! ТОЛМ.scr
09.04.2024  19:01    <DIR>          ! ХОР
01.02.2024  14:56    <DIR>          !!! Видеозапись 07-06-2019 (сперли телефон)

@thyrex · 03.05.2024, 15:42

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Код

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {A620170B-8578-4141-B0E0-9B570447E561} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-2160718523-2653786251-1748434720-41297 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Нет файла)
Task: {ACAD27D2-1C0E-4519-A3F0-1C89E731900F} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-2160718523-2653786251-1748434720-43308 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Нет файла)
Task: {3B046B77-A350-469C-9BC5-2724D3BE2EB6} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-2160718523-2653786251-1748434720-8646 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Нет файла)
Task: {3A6D013C-C90F-4529-9EC6-BCACC6013C53} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-2683693408-1953633349-1821810367-500 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Нет файла)
2024-05-02 12:35 - 2024-05-02 12:35 - 000000000 ____D C:\ XXX.scr
2024-05-02 11:05 - 2024-05-02 11:05 - 000000000 ____D C:\ Свежак.scr
2024-04-27 10:56 - 2024-04-27 10:56 - 000000000 ____D C:\ Games.scr
2024-04-27 09:21 - 2024-04-27 09:21 - 000000000 ____D C:\ Фотки.scr
2024-04-27 08:51 - 2024-04-27 08:51 - 000000000 ____D C:\ Это я)).scr
CustomCLSID: HKU\S-1-5-21-2160718523-2653786251-1748434720-43308_Classes\CLSID\{07CA83F0-DF06-4E67-89DD-E80924A49512}\localserver32 -> "C:\Users\krisin\AppData\Local\Microsoft\OneDrive\24.070.0407.0003\FileCoAuth.exe" => Нет файла
CustomCLSID: HKU\S-1-5-21-2160718523-2653786251-1748434720-43308_Classes\CLSID\{0827D883-485C-4D62-BA2C-A332DBF3D4B0}\localserver32 -> "C:\Users\krisin\AppData\Local\Microsoft\OneDrive\24.070.0407.0003\FileCoAuth.exe" => Нет файла
CustomCLSID: HKU\S-1-5-21-2160718523-2653786251-1748434720-43308_Classes\CLSID\{20894375-46AE-46E2-BAFD-CB38975CDCE6}\InprocServer32 -> C:\Users\krisin\AppData\Local\Microsoft\OneDrive\24.070.0407.0003\FileSyncShell64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2160718523-2653786251-1748434720-43308_Classes\CLSID\{3A308EFE-656D-46BB-9963-0A41C0D6BCA2}\localserver32 -> "C:\Users\krisin\AppData\Local\Microsoft\OneDrive\24.070.0407.0003\FileCoAuth.exe" => Нет файла
CustomCLSID: HKU\S-1-5-21-2160718523-2653786251-1748434720-43308_Classes\CLSID\{47E6DCAF-41F8-441C-BD0E-A50D5FE6C4D1}\localserver32 -> "C:\Users\krisin\AppData\Local\Microsoft\OneDrive\24.070.0407.0003\Microsoft.SharePoint.exe" => Нет файла
CustomCLSID: HKU\S-1-5-21-2160718523-2653786251-1748434720-43308_Classes\CLSID\{917E8742-AA3B-7318-FA12-10485FB322A2}\localserver32 -> "C:\Users\krisin\AppData\Local\Microsoft\OneDrive\24.070.0407.0003\Microsoft.SharePoint.exe" => Нет файла
CustomCLSID: HKU\S-1-5-21-2160718523-2653786251-1748434720-43308_Classes\CLSID\{F37369D9-1C22-40A0-A997-0B4D5F7B6637}\localserver32 -> "C:\Users\krisin\AppData\Local\Microsoft\OneDrive\24.070.0407.0003\FileCoAuth.exe" => Нет файла
AlternateDataStreams: C:\Users\krisin\Downloads\FRST64.exe:MBAM.Zone.Identifier [240]
FirewallRules: [{C70A8F99-11FF-43B8-9578-904C9E22248F}] => (Allow) C:\Users\user\AppData\Local\Temp\SmartFix\wget.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

@rman11 · 06.05.2024, 11:49 **[ТС]**

файл фикса

@thyrex · 06.05.2024, 21:04

Папку c:\FRST\Quarantine заархивируйте с паролем malware123, выложите на файлообменник и пришлите ссылку на скачивание.

@rman11 · 07.05.2024, 02:54 **[ТС]**

https://send.vis.ee/download/6... pHNVeaquJA

@thyrex · 09.05.2024, 12:33

Удалите старые логи FRST.txt и Addition.txt, соберите новые логи Farbar

@rman11 · 13.05.2024, 04:28 **[ТС]**

логи farbar

@thyrex · 13.05.2024, 09:13

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Код

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2160718523-2653786251-1748434720-43308\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
AutoConfigURL: [{F571C648-ECF7-44AC-B164-0CDCD1C2EE8E}] => hxxp://10.23.25.11/wpad.dat <==== ВНИМАНИЕ
Folder: C:\ Games.scr
Folder: C:\ Книжки.scr
2024-05-08 09:31 - 2024-05-08 09:31 - 000000000 ____D C:\ Порно.scr
2024-05-08 09:01 - 2024-05-08 09:01 - 000000000 ____D C:\ Games.scr
2024-05-08 07:53 - 2024-05-08 07:53 - 000026708 __RSH C:\ProgramData\ntuser.pol
2024-05-07 13:05 - 2024-05-07 13:05 - 000000000 ____D C:\ Книжки.scr
2024-05-07 12:05 - 2024-05-07 12:05 - 000000000 ____D C:\ Новое.scr
2024-05-07 10:35 - 2024-05-07 10:35 - 000000000 ____D C:\ XXX.scr
2024-05-07 10:05 - 2024-05-07 10:05 - 000000000 ____D C:\ Свежак.scr
2024-05-07 09:35 - 2024-05-07 09:35 - 000000000 ____D C:\ Фотки.scr
2024-05-07 09:05 - 2024-05-07 09:05 - 000000000 ____D C:\ Музыка.scr
2024-05-07 08:35 - 2024-05-07 08:35 - 000000000 ____D C:\ Это я)).scr
2024-05-06 11:42 - 2024-05-06 11:42 - 000000000 ____D C:\ Антивирусы.scr
2024-05-06 10:12 - 2024-05-06 10:12 - 000000000 ____D C:\ Не удалять!!!.scr
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

Где находится сетевая папка, в которой обнаружен этот файл?

Сообщение от rman11

157 696 ! ТОЛМ.scr

Вообще админы конечно странные, если не занимаются сетевой безопасностью. Достаточно выявить компьютер-источник, который и рассылает это все по сети.

@rman11 · 13.05.2024, 11:05 **[ТС]**

прикрепляю

@thyrex · 13.05.2024, 12:07

Сообщение от thyrex

Где находится сетевая папка, в которой обнаружен этот файл?

это я у себя что-ли спрашивал?

@rman11 · 15.05.2024, 07:56 **[ТС]**

Не знаю, чем вам это поможет. Эти папки и файлы создаются каждый час, и примерно каждый час удаляются в автоматическом режиме. Может их удаляет какой-то антивирус, может админский скрипт, может сам вирус.

https://send.vis.ee/download/3... UFHpI4PJhg

@thyrex · 15.05.2024, 22:50

Ну стало быть обычный сетевой червяк. Раз админы заниматься не хотят поисками первоисточника, значит, смиритесь и примите, как должное.

@rman11 · Регистрация: 26.04.2024

Спасибо за информацию, спасибо за уделенное время.
По большому счету меня мало волнует, что там происходит в сетевых дисках.

Мне не понятно, почему у меня на компьютере на обычных локальных дисках создаются левые папки. Эти диски же не расшарены. Может можно что то сделать конкретно с моей машиной? Ну типа права доступа или уровень доступа изменить, какие-нибудь службы остановить или отключить? Типа службы сетевого обнаружения. Как-нибудь перенастроить firewall?

Может можете объяснить механизм, как удаленная машина у меня на компьютере на локальных дисках может создавать папки? Это какая-то уязвимость windows 10?

@rman11 0 / 0 / 0 Регистрация: 26.04.2024 Сообщений: 9
	Вчера, 03:11 [ТС]	16
	Спасибо за информацию, спасибо за уделенное время. По большому счету меня мало волнует, что там происходит в сетевых дисках. Мне не понятно, почему у меня на компьютере на обычных локальных дисках создаются левые папки. Эти диски же не расшарены. Может можно что то сделать конкретно с моей машиной? Ну типа права доступа или уровень доступа изменить, какие-нибудь службы остановить или отключить? Типа службы сетевого обнаружения. Как-нибудь перенастроить firewall? Может можете объяснить механизм, как удаленная машина у меня на компьютере на локальных дисках может создавать папки? Это какая-то уязвимость windows 10? 0

@thyrex 13132 / 7277 / 1541 Регистрация: 06.09.2009 Сообщений: 26,607
	02.05.2024, 22:09	2
	Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. 0

@rman11 0 / 0 / 0 Регистрация: 26.04.2024 Сообщений: 9
	03.05.2024, 03:43 [ТС]	4
	У меня ощущение, что этот вирус связан с программами удаленного администрирования. Если было бы иначе, реакция админов была бы более борой. папка на сетевом диске Код z:\Р>dir Том в устройстве Z имеет метку DATA_1 Серийный номер тома: 3C81-C44D Содержимое папки z:\Р 02.05.2024 17:45 <DIR> . 02.05.2024 17:45 <DIR> .. 02.05.2024 17:45 157 696 ! ТОЛМ.scr 09.04.2024 19:01 <DIR> ! ХОР 01.02.2024 14:56 <DIR> !!! Видеозапись 07-06-2019 (сперли телефон) 0

@thyrex 13132 / 7277 / 1541 Регистрация: 06.09.2009 Сообщений: 26,607
	06.05.2024, 21:04	7
	Папку c:\FRST\Quarantine заархивируйте с паролем malware123, выложите на файлообменник и пришлите ссылку на скачивание. 0

@rman11 0 / 0 / 0 Регистрация: 26.04.2024 Сообщений: 9
	07.05.2024, 02:54 [ТС]	8
	https://send.vis.ee/download/6... pHNVeaquJA 0

@thyrex 13132 / 7277 / 1541 Регистрация: 06.09.2009 Сообщений: 26,607
	09.05.2024, 12:33	9
	Удалите старые логи FRST.txt и Addition.txt, соберите новые логи Farbar 0

@thyrex 13132 / 7277 / 1541 Регистрация: 06.09.2009 Сообщений: 26,607
	13.05.2024, 12:07	13
	Сообщение от thyrex Где находится сетевая папка, в которой обнаружен этот файл? это я у себя что-ли спрашивал? 0

@rman11 0 / 0 / 0 Регистрация: 26.04.2024 Сообщений: 9
	15.05.2024, 07:56 [ТС]	14
	Не знаю, чем вам это поможет. Эти папки и файлы создаются каждый час, и примерно каждый час удаляются в автоматическом режиме. Может их удаляет какой-то антивирус, может админский скрипт, может сам вирус. https://send.vis.ee/download/3... UFHpI4PJhg 0

@thyrex 13132 / 7277 / 1541 Регистрация: 06.09.2009 Сообщений: 26,607
	15.05.2024, 22:50	15
	Ну стало быть обычный сетевой червяк. Раз админы заниматься не хотят поисками первоисточника, значит, смиритесь и примите, как должное. 0