Всем привет!
Любой файл, скачивающийся через ИЕ на машину - подменяется и блокируется.
Параллельно, все те системы, которые используют параметры ИЕ для доступа в инет, имеют сложности )
Основная масса привычных инструментов типа cureit, zemana, adwcleaner и тп, ничего не обнаруживает.
Самому справиться не удалось, очень надеюсь на помощь специалистов.
Машина в домене, применялись политики SRP, но их оказалось недостаточно, как мы видим; если это имеет значение.
Пинги по именам и айпи ходят, трейс хороший, локалка работает ок.
Спасибо.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Fallagar, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
это один пользователь из четырёх, которые имеют доступ на эту машину.
я выполнил для каждого из них, возможно, не зря )
загрузить полностью не удается весь пакет, лимиты в треде, так что я выгрузил на я-диск. https://yadi.sk/d/kW_lwXKJ3Rrq2X
Последний раз редактировалось Fallagar; 28.01.2018 в 23:29.
Просьба пару скачиваемых заражённых файлов упаковать в архив .zip с паролем virus и загрузить по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Полезно, если url такого файла приведёте (в личку).
не получается, он, сразу, на подлёте, удаляется средствами ИЕ, насколько я понял, без карантина.
машина будет переставлена, так что исследовательского материала не уверен, что смогу дать.
отпишусь дополнительно.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
мне кажется, подозрение, что инфекция живет в профилях 4 активных пользователей, подтверждается.
свежая соседская виртуалка, полностью чистая установка, два логина/логаута по кругу, и вот, вуаля!
сами профили не перемещаемые, но папки из них редиректнуты в сетевое размещение. как то оно туда забралось, наверное. не смог отыскать )
ещё одну, третью, виртуалку поднял, посильнее ограничил, туда одного из пользователей завел, пока вроде не симптомов не наблюдаю.
С расширением порядок.Если ещё не убили систему и профиль - сделайте новый полный образ автозапуска uVS с запущенным IE во время (или сразу после) скачивания вируса.
Ничего не видно подозрительного. Но очень мне не нравится такое хитроумное внедрение в систему, да ещё с учётом, что используются банк-клиент.
Профили сетевые есть возможность проверить антивирусом?
да, всё проверил
и ещё раз
и потом ещё раз.
странности.
примерно понятно, через какого прошло пользователя, привилегированого, но ничего в файлах профилей и локально нет лишнего на первый взгляд
банки вынесли наконец на отдельную машину с отдельным пользователем, без связи со всем остальным в профиле.
сделал новые виртуальные сервера, новые развёртывания, пользователя нового заведу сейчас для этого юзера, ограничений ещё добавим, будем посмотреть. потом ему всё равно давать доступ к его старому ресурсу, так что будут логи какие-то валиться по нему. посмотрим ещё.
может, потом целиком старые виртуалки на исследование удастся передать посмотреть, если интересно.
Уважаемый(ая) Fallagar, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
