|
Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] посторонняя активность |
|
[решено] посторонняя активность
|
Новый участник Сообщения: 20 |
Профиль | Отправить PM | Цитировать
Приветствую. Нахожусь за 1000 км от рабочего пк, вчера через тимвивер случайно обнаружил новый браузер в автозагрузке, оказывается 1-2 мая был создан новый админский профиль, и началась странная деятельность.
Win7*64, все обновления, nod32v5, но зараза проскочила. (Месяц назад был зашифрован комп в локалке, правда винда была БЕЗ обновлений, и без антивируса. Rdp часто использую параллельно тимвиверу. Левый профиль удалил, доктор вебом и антималвере прошелся, что-то подчистилось. Смущает меня папка: програм дата/микрософт/drm/ldide . отсюда каждую минуту запускался файл с ошибкой, и фаервол блокировал вшешний ip. Файл удалил вручную. |
|
Отправлено: 12:38, 03-05-2019 |
Ветеран Сообщения: 763
|
Профиль | Сайт | Отправить PM | Цитировать RDP Wrapper - Ваше?
10.10.0.253 - DNS знаком? Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\ProgramData\Microsoft\DRM\Ldide\lnterrupts.exe',''); DeleteFile('C:\ProgramData\Microsoft\DRM\Ldide\lnterrupts.exe','64'); DeleteSchedulerTask('Microsoft\Windows\EntityFramework2\NetFramework'); BC_Activate; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_ImportALL; RebootWindows(true); end. После перезагрузки, выполните такой скрипт: begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false); end. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. |
Отправлено: 16:50, 03-05-2019 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Новый участник Сообщения: 20
|
Профиль | Отправить PM | Цитировать 2019.05.03_quarantine_196aac2be3bb7af4a3cc366dc54acfd1.7z
RDP Wrapper - Ваше? - нет, на этой машине твики rdp не ставил. 10.10.0.253 - DNS знаком? - да, мой основной |
Отправлено: 20:32, 03-05-2019 | #3 |
Ветеран Сообщения: 763
|
Профиль | Сайт | Отправить PM | Цитировать Цитата Ramzes83:
Что с проблемой? |
|
Отправлено: 12:45, 04-05-2019 | #4 |
Новый участник Сообщения: 20
|
Профиль | Отправить PM | Цитировать Проблема надеюсь решена. Постороннего софта, настроек не видно больше? Но так как тут не действие вируса в обычном виде, а явное проникновение и непонятная деятельность, хотелось бы все лазейки удалить и прикрыть на будущее.
Читал рекомендации защиты от шифровальщиков, но там азы: обновления, антивирус и все... Был уверен что хорошо защитился, но думаю что проникновение было через брутфорс rdp. Осталось только логи поискать, есть ли? |
|
Отправлено: 18:31, 04-05-2019 | #5 |
Новый участник Сообщения: 20
|
Профиль | Отправить PM | Цитировать спасибо. пока все тихо.
|
Отправлено: 23:11, 06-05-2019 | #6 |
Ветеран Сообщения: 5255
|
Профиль | Отправить PM | Цитировать Проверьте уязвимые места:
|
------- Отправлено: 08:50, 07-05-2019 | #7 |
Новый участник Сообщения: 20
|
Профиль | Отправить PM | Цитировать сделано.
|
Отправлено: 10:58, 07-05-2019 | #8 |
Ветеран Сообщения: 5255
|
Профиль | Отправить PM | Цитировать ------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя отключен (Уровень 1) ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ Автоматическое обновление отключено ------------------------------- [ HotFix ] -------------------------------- HotFix KB3020369 Внимание! Скачать обновления HotFix KB4012212 Внимание! Скачать обновления ---------------------- [ AntiVirusFirewallInstall ] ----------------------- ESET Smart Security v.5.0.94.4 Внимание! Скачать обновления --------------------------- [ OtherUtilities ] ---------------------------- Microsoft .NET Framework 4.7.1 v.4.7.02558 Внимание! Скачать обновления -------------------------------- [ Arch ] --------------------------------- WinRAR 5.40 (32-разрядная) v.5.40.0 Внимание! Скачать обновления --------------------------- [ AdobeProduction ] --------------------------- Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC. Хотфиксы установите обязательно. Рекомендации после лечения. |
------- Отправлено: 11:19, 07-05-2019 | #9 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Delphi - Активность | Miko | Программирование и базы данных | 8 | 21-10-2010 20:51 | |
Вопрос - посторонняя папка | AleksanderSp | Лечение систем от вредоносных программ | 12 | 11-05-2010 17:03 | |
Интерфейс - Появляется посторонняя раскладка клавиатуры | Oleg NT | Microsoft Windows 7 | 2 | 07-03-2010 12:06 | |
[решено] Посторонняя запись в autoexec.bat | virtualman | Microsoft Windows 2000/XP | 2 | 29-07-2006 13:53 |
|