+18
06-04-2019, 13:53
Хочу выяснить откуда пришел вредоностный гость.
Обратился знакомый. "Сидел в браузере, компьютер выключился. Включаю, он загружается и снова выключается". Географически, сам потыкать не могу. Попросил снять видео. Обычная загрузка до рабочего стола. Потом появляется командная строка без надписей. Закрывается и компьютер уходит на выключение.
Объяснил как дойти до безопасного режима. Посмотрели автозапуск и службы. Подозрительного ничего нет. Запустили планировщик задач, он не открывается в безопасном режиме. Пошли по путям Windows\Tasks и System32\Tasks. Во втором случаи лежит задача "sock my deck". Внутри команда на выключение по триггеру входа в систему через пользователя знакомого. Вошли с другой учеткой, удалили задачу. Не вернулась.
По дате и времени создания задачи выяснили, что работал браузер и посещали группу ВК и Яндекс.Почту. Флешки в этот день не использовали. По тому же времени известно, что задача создана в день первого выключения. То есть она не создана давно. А буквально в 12:34 создаётся, в 12:36 первое отключение.
Протыкал всю группу ВК, триггеров не нашёл. С почты брали пару доков по работе. Открыл их у себя, внутри нет макросов. Ко мне такая задача не пришла.
Откуда могло придти создание задачи?
Обратился знакомый. "Сидел в браузере, компьютер выключился. Включаю, он загружается и снова выключается". Географически, сам потыкать не могу. Попросил снять видео. Обычная загрузка до рабочего стола. Потом появляется командная строка без надписей. Закрывается и компьютер уходит на выключение.
Объяснил как дойти до безопасного режима. Посмотрели автозапуск и службы. Подозрительного ничего нет. Запустили планировщик задач, он не открывается в безопасном режиме. Пошли по путям Windows\Tasks и System32\Tasks. Во втором случаи лежит задача "sock my deck". Внутри команда на выключение по триггеру входа в систему через пользователя знакомого. Вошли с другой учеткой, удалили задачу. Не вернулась.
По дате и времени создания задачи выяснили, что работал браузер и посещали группу ВК и Яндекс.Почту. Флешки в этот день не использовали. По тому же времени известно, что задача создана в день первого выключения. То есть она не создана давно. А буквально в 12:34 создаётся, в 12:36 первое отключение.
Протыкал всю группу ВК, триггеров не нашёл. С почты брали пару доков по работе. Открыл их у себя, внутри нет макросов. Ко мне такая задача не пришла.
Откуда могло придти создание задачи?