Решена Проверить RDP машинку которая по Локалке подключена была к Зараженной.

[TheFirstNoob]

От этой темы: В работе - Зараженный explorer и подозрение на майнер.
По идее машинка чистая. Не увидел ничего такого левого. Но так бегло посмотрите если не сложно

 

[Sandor]

Здравствуйте!

Этот файл

C:\Users\Admin\Desktop\test.ps1

полагаю, вам известен?

Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.



Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 ExecuteRepair(9);
RebootWindows(false);
end.

Компьютер перезагрузится.



Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.

 

[Sandor]

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_auto_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.SU, MediaFire, Files.FM, MixDrop или karelia.ru - этот последний не желательно, он урезает скорость) и укажите ссылку на скачивание в своём следующем сообщении.

 

[regist]

+
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ClearQuarantine;
 QuarantineFile('C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Tools\Run.lnk', '');
 QuarantineFile('C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\File Explorer.lnk', '');
 QuarantineFile('C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Window Switcher.lnk', '');
 QuarantineFile('C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Tools\Control Panel.lnk', '');
 QuarantineFile('C:\Users\DefaultAppPool\AppData\Local\Microsoft\Windows\WinX\Group2\4 - Control Panel.lnk', '');
CreateQurantineArchive(GetAVZDirectory + 'LNK.zip');
end.

LNK.zip - из папки с AVZ прикрепите к сообщению.

 

[TheFirstNoob]

C:\Users\Admin\Desktop\test.ps1 - Да известен. Я пытался автоматизировать через PS автоблокировку RDP когда ее пытаются перебором паролей цепануть, но я за него не особо шарю и по итогу пока просто оставил как есть. Так что файл мой и все нормально. Он даже не отрабатывает через tasks.

 

[TheFirstNoob]

Так, это логи которые были со №2 сообщения. После отправки уже остальные сообщения прогрузились. Займусь сейчас.

 

[TheFirstNoob]

Файл отправил по форме.
LNK сделал.

 

[Sandor]

В целом - ничего плохого (вирусоподобного).
Некоторое время подождите, возможно будут вопросы у разработчиков наших утилит (если у вас сохранится доступ к этому компьютеру).

 

[TheFirstNoob]

К этому RDP у меня доступ постоянно есть. В отличие от другой темы. В целом если все нормально, то можно уже фиксировать ее решенной.

 

[Sandor]

Можем ещё проверить уязвимые места и устаревшее критическое ПО:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[TheFirstNoob]

SecurityCheck by glax24 & Severnyj v.1.4.0.54 [06.12.21]
WebSite: www.safezone.cc
DateLog: 23.06.2023 15:47:48
Path starting: C:\Users\RDPConnect\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: RDPConnect
VersionXML: 10.61is-18.06.2023
___________________________________________________________________________

Windows 11(6.3.22621) (x64) Professional Версия: 22H2 Lang: Russian(0419)
Дата установки ОС: 17.04.2023 14:15:24
Статус лицензии: Windows(R), Professional edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
Системный диск: C: ФС: [NTFS] Емкость: [152.1 Гб] Занято: [108.7 Гб] Свободно: [43.4 Гб]
------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен (Уровень 3)
Автоматическое обновление отключено
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба работает
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.8.5.2 Внимание! Скачать обновления
Steam v.2.10.91.91
------------------------------- [ Backup ] --------------------------------
Microsoft OneDrive v.23.119.0606.0001 [+]
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.21 (64-bit) v.6.21.0 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 361 (64-bit) v.8.0.3610.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u371-windows-x64.exe - Windows Offline (64-bit))^
Java 8 Update 361 v.8.0.3610.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u371-windows-i586.exe - Windows Offline)^
------------------------------- [ Browser ] -------------------------------
Microsoft Edge v.114.0.1823.51
------------------ [ AntivirusFirewallProcessServices ] -------------------
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.23050.5-0\MsMpEng.exe v.4.18.23050.5
Служба антивирусной программы Microsoft Defender (WinDefend) - Служба работает
Служба проверки сети антивирусной программы Microsoft Defender (WdNisSvc) - Служба остановлена
----------------------------- [ End of Log ] ------------------------------

 

[TheFirstNoob]

В целом все нормально. Сугубо по мелочи обновления. Сделаю. Единственное что слетел доступ к редактированию групповой политики. А может и я что-то наковырял. Но с этим вопросом я к Системникам тему создам уже ибо здесь по вирусной части мы закончили.

Спасибо большое!