[решено] Подозрение на заражение

Sandor · Отправлено: **07:58, 26-07-2022** | #11

Тут уже выглядит лучше.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Leaves · Отправлено: **10:35, 26-07-2022** | #12

Цитата Sandor:

Прикрепите отчеты к своему следующему сообщению. »

Отчеты:

Sandor · Отправлено: **13:22, 26-07-2022** | #13

В системе шесть администраторов. На мой взгляд - многовато. Желательно у всех сменить пароли на учётную запись.

Следующий скрипт сделает некоторые небольшие изменения и удалит разрешающие правила на перечисленные порты.
Если открывали их специально, сообщите до выполнения скрипта.

Сообщите известны ли вам все эти файлы:

Цитата:

2022-02-26 08:53 - 2022-02-26 08:31 - 087057343 _____ () C:\ProgramData\migrate.exe
2022-02-26 08:53 - 2022-02-26 07:54 - 000000032 _____ () C:\ProgramData\ru.bat
2022-02-26 08:53 - 2022-02-26 08:14 - 000002368 _____ () C:\ProgramData\st.bat
2020-12-14 01:15 - 2020-12-16 05:51 - 000048640 _____ () C:\ProgramData\Update-os.exe
2020-12-30 15:17 - 2020-12-30 22:48 - 019071488 _____ (6.1.23.45) C:\ProgramData\Virus.exe
2020-12-17 11:23 - 2020-12-24 19:18 - 019071488 _____ (6.1.23.45) C:\ProgramData\VirusTotal.exe
2020-12-18 14:18 - 2020-12-18 14:24 - 018866688 _____ (WinRAR) C:\ProgramData\winrar-x64-591d.exe

Понадобится также перезагрузка.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
Task: {C922BA2B-20E2-430A-8C83-898531D33855} - System32\Tasks\wificart => C:\Windows\system32\config\systemprofile\AppData\Roaming\wificart.exe (Нет файла) <==== ВНИМАНИЕ
2022-02-26 08:53 - 2022-02-26 08:31 - 087057343 _____ () C:\ProgramData\migrate.exe
2022-02-26 08:53 - 2022-02-26 07:54 - 000000032 _____ () C:\ProgramData\ru.bat
2022-02-26 08:53 - 2022-02-26 08:14 - 000002368 _____ () C:\ProgramData\st.bat
2020-12-14 01:15 - 2020-12-16 05:51 - 000048640 _____ () C:\ProgramData\Update-os.exe
2020-12-30 15:17 - 2020-12-30 22:48 - 019071488 _____ (6.1.23.45) C:\ProgramData\Virus.exe
2020-12-17 11:23 - 2020-12-24 19:18 - 019071488 _____ (6.1.23.45) C:\ProgramData\VirusTotal.exe
2020-12-18 14:18 - 2020-12-18 14:24 - 018866688 _____ (WinRAR) C:\ProgramData\winrar-x64-591d.exe
FirewallRules: [{4B9C2C1A-290C-4979-B74D-CE0A344A222D}] => (Block) LPort=88
FirewallRules: [{C7E9BE11-A2F2-4803-8920-DC6FAC5F7BA2}] => (Allow) LPort=3389
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Leaves · Отправлено: **13:49, 26-07-2022** | #14

Цитата Sandor:

На мой взгляд - многовато. »

Согласен. Поправил

Цитата Sandor:

Сообщите известны ли вам все эти файлы: »

Неизвестны

Цитата Sandor:

Если открывали их специально, сообщите до выполнения скрипта. »

Все порты открыты нами. Получается скрипт выполнять нет необходимости?

Sandor · Отправлено: **13:53, 26-07-2022** | #15

Выполните, я его подправил.
Порт 3389 держать открытым - плохая идея. Отсюда и постоянное заражение.

Leaves · Отправлено: **06:42, 27-07-2022** | #16

Цитата Sandor:

Порт 3389 держать открытым - плохая идея »

Странно, он не используется, он поменян и в правилах не могу его найти.

Цитата Sandor:

Выполните, я его подправил. »

Хорошо

Sandor · Отправлено: **07:58, 27-07-2022** | #17

Скрипт в том числе уберет разрешение на этот порт.

Leaves · Отправлено: **19:23, 27-07-2022** | #18

Цитата Sandor:

Скрипт в том числе уберет разрешение на этот порт. »

Не могу понять, это просто старая запись осталась.
Я писал ранее что

Цитата Leaves:

Странно, он не используется, он поменян и в правилах не могу его найти. »

имел ввиду что RDP порт используется, но изменен его номер. После выполнения скрипта будет ли работать RDP?

После выполнения скрипта не заходит по RDP (((( на экране: "Клиент групповой политики" и крутится значок и не заходит. Завтра будет кипешь конкретный ....

Leaves · Отправлено: **19:39, 27-07-2022** | #19

Цитата Leaves:

Завтра будет кипешь конкретный .... »

Дал волю эмоциям, надо было просто подождать))

Цитата Sandor:

Программа создаст лог-файл (Fixlog.txt) »

Прикрепляю

Sandor · Отправлено: **08:22, 28-07-2022** | #20

Хорошо. Проблема решена?