Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] посторонняя активность (http://forum.oszone.net/showthread.php?t=340379)

Ramzes83 03-05-2019 12:38 2870134
посторонняя активность
 
Вложений: 3
Приветствую. Нахожусь за 1000 км от рабочего пк, вчера через тимвивер случайно обнаружил новый браузер в автозагрузке, оказывается 1-2 мая был создан новый админский профиль, и началась странная деятельность.
Win7*64, все обновления, nod32v5, но зараза проскочила. (Месяц назад был зашифрован комп в локалке, правда винда была БЕЗ обновлений, и без антивируса. Rdp часто использую параллельно тимвиверу.
Левый профиль удалил, доктор вебом и антималвере прошелся, что-то подчистилось. Смущает меня папка: програм дата/микрософт/drm/ldide . отсюда каждую минуту запускался файл с ошибкой, и фаервол блокировал вшешний ip. Файл удалил вручную.

akok 03-05-2019 16:50 2870174
RDP Wrapper - Ваше?
10.10.0.253 - DNS знаком?
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\Microsoft\DRM\Ldide\lnterrupts.exe','');
 DeleteFile('C:\ProgramData\Microsoft\DRM\Ldide\lnterrupts.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\EntityFramework2\NetFramework');
  BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма..

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Ramzes83 03-05-2019 20:32 2870289
Вложений: 1
2019.05.03_quarantine_196aac2be3bb7af4a3cc366dc54acfd1.7z

RDP Wrapper - Ваше? - нет, на этой машине твики rdp не ставил.
10.10.0.253 - DNS знаком? - да, мой основной

akok 04-05-2019 12:45 2870353
Цитата:
Цитата Ramzes83
нет, на этой машине твики rdp не ставил. »
Тогда наверное стоит убрать.

Что с проблемой?

Ramzes83 04-05-2019 18:31 2870389
Проблема надеюсь решена. Постороннего софта, настроек не видно больше? Но так как тут не действие вируса в обычном виде, а явное проникновение и непонятная деятельность, хотелось бы все лазейки удалить и прикрыть на будущее.
Читал рекомендации защиты от шифровальщиков, но там азы: обновления, антивирус и все...
Был уверен что хорошо защитился, но думаю что проникновение было через брутфорс rdp. Осталось только логи поискать, есть ли?

Ramzes83 06-05-2019 23:11 2870675
спасибо. пока все тихо.

Sandor 07-05-2019 08:50 2870704
Проверьте уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ramzes83 07-05-2019 10:58 2870715
Вложений: 1
сделано.

Sandor 07-05-2019 11:19 2870719
------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB3020369 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
---------------------- [ AntiVirusFirewallInstall ] -----------------------
ESET Smart Security v.5.0.94.4 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.7.1 v.4.7.02558 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.40 (32-разрядная) v.5.40.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.

Хотфиксы установите обязательно.
Рекомендации после лечения.


Время: 03:40.

Время: 03:40.
© OSzone.net 2001-