[akok]

RDP Wrapper - Ваше?
10.10.0.253 - DNS знаком?
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

 begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\Microsoft\DRM\Ldide\lnterrupts.exe','');
 DeleteFile('C:\ProgramData\Microsoft\DRM\Ldide\lnterrupts.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\EntityFramework2\NetFramework');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма..

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Ramzes83]

2019.05.03_quarantine_196aac2be3bb7af4a3cc366dc54acfd1.7z

RDP Wrapper - Ваше? - нет, на этой машине твики rdp не ставил.
10.10.0.253 - DNS знаком? - да, мой основной

[akok]

Цитата Ramzes83:

нет, на этой машине твики rdp не ставил. »

Тогда наверное стоит убрать.

Что с проблемой?

[Ramzes83]

Проблема надеюсь решена. Постороннего софта, настроек не видно больше? Но так как тут не действие вируса в обычном виде, а явное проникновение и непонятная деятельность, хотелось бы все лазейки удалить и прикрыть на будущее.
Читал рекомендации защиты от шифровальщиков, но там азы: обновления, антивирус и все...
Был уверен что хорошо защитился, но думаю что проникновение было через брутфорс rdp. Осталось только логи поискать, есть ли?

[Ramzes83]

спасибо. пока все тихо.

[Sandor]

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Ramzes83]

сделано.

[Sandor]

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB3020369 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
---------------------- [ AntiVirusFirewallInstall ] -----------------------
ESET Smart Security v.5.0.94.4 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.7.1 v.4.7.02558 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.40 (32-разрядная) v.5.40.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.

Хотфиксы установите обязательно.
Рекомендации после лечения.