Приветствую. Нахожусь за 1000 км от рабочего пк, вчера через тимвивер случайно обнаружил новый браузер в автозагрузке, оказывается 1-2 мая был создан новый админский профиль, и началась странная деятельность.
Win7*64, все обновления, nod32v5, но зараза проскочила. (Месяц назад был зашифрован комп в локалке, правда винда была БЕЗ обновлений, и без антивируса. Rdp часто использую параллельно тимвиверу.
Левый профиль удалил, доктор вебом и антималвере прошелся, что-то подчистилось. Смущает меня папка: програм дата/микрософт/drm/ldide . отсюда каждую минуту запускался файл с ошибкой, и фаервол блокировал вшешний ip. Файл удалил вручную.

RDP Wrapper - Ваше?
10.10.0.253 - DNS знаком?
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):


begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\ProgramData\Microsoft\DRM\Ldide\lnterrupts.exe','');
DeleteFile('C:\ProgramData\Microsoft\DRM\Ldide\lnterrupts.exe','64');
DeleteSchedulerTask('Microsoft\Windows\EntityFramework2\NetFramework');
BC_Activate;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_ImportALL;
RebootWindows(true);
end.


Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://dragokas.com/virusnet/) или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма..

Повторите логи по правилам (http://forum.oszone.net/thread-98169.html). Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

2019.05.03_quarantine_196aac2be3bb7af4a3cc366dc54acfd1.7z

RDP Wrapper - Ваше? - нет, на этой машине твики rdp не ставил.
10.10.0.253 - DNS знаком? - да, мой основной

нет, на этой машине твики rdp не ставил. »
Тогда наверное стоит убрать.

Что с проблемой?

Проблема надеюсь решена. Постороннего софта, настроек не видно больше? Но так как тут не действие вируса в обычном виде, а явное проникновение и непонятная деятельность, хотелось бы все лазейки удалить и прикрыть на будущее.
Читал рекомендации защиты от шифровальщиков, но там азы: обновления, антивирус и все...
Был уверен что хорошо защитился, но думаю что проникновение было через брутфорс rdp. Осталось только логи поискать, есть ли?

спасибо. пока все тихо.

Проверьте уязвимые места:

Загрузите SecurityCheck by glax24 & Severnyj (https://safezone.cc/resources/security-check-by-glax24.25/download), сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

сделано.

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB3020369 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB3020369)
HotFix KB4012212 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
ESET Smart Security v.5.0.94.4 Внимание! Скачать обновления (https://www.esetnod32.ru/download/home/trial/)
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.7.1 v.4.7.02558 Внимание! Скачать обновления (https://dotnet.microsoft.com/download/dotnet-framework-runtime/net47)
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.40 (32-разрядная) v.5.40.0 Внимание! Скачать обновления (https://www.rarlab.com/download.htm)
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC (http://get.adobe.com/ru/reader/otherversions/).

Хотфиксы установите обязательно.
Рекомендации после лечения. (http://forum.oszone.net/post-1838507-9.html)