Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] посторонняя активность

Ответить
Настройки темы
[решено] посторонняя активность

Новый участник


Сообщения: 17
Благодарности: 1

Профиль | Отправить PM | Цитировать


Изображения
Тип файла: jpg photo_2019-05-03_12-36-02.jpg
(183.9 Kb, 3 просмотров)
Тип файла: jpg photo_2019-05-03_12-36-36.jpg
(83.6 Kb, 2 просмотров)
Вложения
Тип файла: zip CollectionLog-2019.05.03-11.55.zip
(56.7 Kb, 1 просмотров)
Приветствую. Нахожусь за 1000 км от рабочего пк, вчера через тимвивер случайно обнаружил новый браузер в автозагрузке, оказывается 1-2 мая был создан новый админский профиль, и началась странная деятельность.
Win7*64, все обновления, nod32v5, но зараза проскочила. (Месяц назад был зашифрован комп в локалке, правда винда была БЕЗ обновлений, и без антивируса. Rdp часто использую параллельно тимвиверу.
Левый профиль удалил, доктор вебом и антималвере прошелся, что-то подчистилось. Смущает меня папка: програм дата/микрософт/drm/ldide . отсюда каждую минуту запускался файл с ошибкой, и фаервол блокировал вшешний ip. Файл удалил вручную.

Отправлено: 12:38, 03-05-2019

 

Аватара для akok

Ветеран


Консультант


Сообщения: 686
Благодарности: 169

Профиль | Сайт | Отправить PM | Цитировать


RDP Wrapper - Ваше?
10.10.0.253 - DNS знаком?
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код: Выделить весь код
 begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\Microsoft\DRM\Ldide\lnterrupts.exe','');
 DeleteFile('C:\ProgramData\Microsoft\DRM\Ldide\lnterrupts.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\EntityFramework2\NetFramework');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код: Выделить весь код
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма..

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

-------
https://safezone.cc


Отправлено: 16:50, 03-05-2019 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 17
Благодарности: 1

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: zip CollectionLog-2019.05.03-20.25.zip
(75.4 Kb, 2 просмотров)

2019.05.03_quarantine_196aac2be3bb7af4a3cc366dc54acfd1.7z

RDP Wrapper - Ваше? - нет, на этой машине твики rdp не ставил.
10.10.0.253 - DNS знаком? - да, мой основной

Отправлено: 20:32, 03-05-2019 | #3


Аватара для akok

Ветеран


Консультант


Сообщения: 686
Благодарности: 169

Профиль | Сайт | Отправить PM | Цитировать


Цитата Ramzes83:
нет, на этой машине твики rdp не ставил. »
Тогда наверное стоит убрать.

Что с проблемой?

-------
https://safezone.cc


Отправлено: 12:45, 04-05-2019 | #4


Новый участник


Сообщения: 17
Благодарности: 1

Профиль | Отправить PM | Цитировать


Проблема надеюсь решена. Постороннего софта, настроек не видно больше? Но так как тут не действие вируса в обычном виде, а явное проникновение и непонятная деятельность, хотелось бы все лазейки удалить и прикрыть на будущее.
Читал рекомендации защиты от шифровальщиков, но там азы: обновления, антивирус и все...
Был уверен что хорошо защитился, но думаю что проникновение было через брутфорс rdp. Осталось только логи поискать, есть ли?

Отправлено: 18:31, 04-05-2019 | #5


Новый участник


Сообщения: 17
Благодарности: 1

Профиль | Отправить PM | Цитировать


спасибо. пока все тихо.

Отправлено: 23:11, 06-05-2019 | #6


Аватара для Sandor

Ветеран


Консультант


Сообщения: 4371
Благодарности: 1072

Профиль | Отправить PM | Цитировать


Проверьте уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Отправлено: 08:50, 07-05-2019 | #7


Новый участник


Сообщения: 17
Благодарности: 1

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: txt SecurityCheck.txt
(9.6 Kb, 2 просмотров)

сделано.

Отправлено: 10:58, 07-05-2019 | #8


Аватара для Sandor

Ветеран


Консультант


Сообщения: 4371
Благодарности: 1072

Профиль | Отправить PM | Цитировать


------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB3020369 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
---------------------- [ AntiVirusFirewallInstall ] -----------------------
ESET Smart Security v.5.0.94.4 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.7.1 v.4.7.02558 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.40 (32-разрядная) v.5.40.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.

Хотфиксы установите обязательно.
Рекомендации после лечения.

Отправлено: 11:19, 07-05-2019 | #9



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] посторонняя активность

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Delphi - Активность Miko Программирование и базы данных 8 21-10-2010 20:51
Вопрос - посторонняя папка AleksanderSp Лечение систем от вредоносных программ 12 11-05-2010 17:03
Интерфейс - Появляется посторонняя раскладка клавиатуры Oleg NT Microsoft Windows 7 2 07-03-2010 12:06
[решено] Посторонняя запись в autoexec.bat virtualman Microsoft Windows 2000/XP 2 29-07-2006 13:53




 
Переход