Всем привет! Помогите советом, начал наблюдать на машинах исключительно типа Windows 10, случайным образом созданные папки в корне диска С, к примеру (s, h, t, i и тд) содержимое явно не системного или пользовательского характера. На машинах стоит антивирусное по McAffee Endpoint Security - никаких угроз не вызывает, сторонние сканеры так же, содержимое прикрепил. Заранее спасибо! Содержимое папки могу показать отдельно.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) SuperFly7, спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Последний раз редактировалось Vvvyg; 19.01.2022 в 18:22.
Причина: Поправил
Результат сканирования Farbar Recovery Scan Tool (FRST) (x64) Версия: 15-01-2022
Запущено с помощью kolenov.m (ВНИМАНИЕ: Пользователь не является Администратором) на Z-LIT-11 (Gigabyte Technology Co., Ltd. B460MDS3HV2) (19-01-2022 16:16:3
Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
На этой системе активного зловреда нет. Но некоторые вещи смущают.
Судя по набору файлов в папках, это что-то связанное с Tor. Либо юзер пытается использовать Tor browser, либо по сети ходит какая-то зараза, которая через Tor пытается достучаться до своих управляющих центров. Это и трояны могут быть, и шифровальщики, и бэкдоры, вот ссылки на подобные: Trojan.DownLoader30.31088 RANSOM_SIGMA.B
И по журналам, похоже, были попытки брутфорса паролей учёток:
[+] Detection: (Built-in Logic) - Account Brute Forcing
Кто владелец этих папок, посмотрите. Рекомендую включить аудит создания и удаления файлов для корневой папки диска C:, а также сменить администраторские пароли. И проверять, например, KVRT или Dr. Web CureIt! все компьютеры домена.