Закрыто Злоумышленник управляет ПК как конечной точкой, полный доступ.

stMax777

stMax777

Новый пользователь
Сообщения
36
Реакции
0
Добрый день, всем опять))) поймал другого зверя на этот раз, симптомы теже как раньше, но тут он управляет моей машиной с помощью инструментария WMI, с виду все законно, все виды установок, даже с с двд не помогают, блокировка по брандмауэру не помогает, он создает кучу своих правил, у меня стомт Хоум 10 для одного языка, а служб стоит как будто у меня сервер стоит в подвале. Выручайте))) Логи сборщика Автологов прилагаю
 

Вложения

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код: 
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1

В логах аномалий не видно, если и есть доступ, то штатными средствами. Рубите общий доступ и меняйте пароль пользователя.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
в HiJack пофиксить не удалось, в реестре нет в выбранной ветке такого параметра, если речь о включении в режиме реального времени - то я включил, отключал так как требовал сборщик логов.
Вы правы, он использует штатные средства, атака через RPC...
Напоминаю, посмотрите внимательно на службы - у меня Домашняя для одного языка. все что связано с сетью - чуждо для нее.
FRST и Addition прикрепляю, жду дальнейших инструкций
 

Вложения

И тут чисто. Нужно изучать журналы операционной системы и искать точки входа. Операционная система сборка?
 
LogonSessions - Sysinternals - можно поиграться и так.
learn.microsoft.com

PsFile - Sysinternals

Узнайте, какие файлы открываются удаленно.
learn.microsoft.com
learn.microsoft.com

ShareEnum - Sysinternals

Сканируйте общие папки в сети и просмотрите их параметры безопасности, чтобы закрыть отверстия безопасности.
learn.microsoft.com

А вообще у Русиновича много полезных утилит для анализа.
www.safezone.cc

Windows System Control Center 32_64(WSCC)

Оболочка, объединяющая утилиты двух авторитетных и плодовитых производителей — Sysinternals и NirSoft. WSCC (Windows System Control Center) выступает удобной и красивой заменой соответственно пакетам Sysinternals Suite и NirLauncher...
www.safezone.cc www.safezone.cc
 
Последнее редактирование:
Скачал, играюсь… так и не победил.
Но есть информация, загрузился в безопасном режиме и бью его avz, all in 1 и др.. суть какая: в папке «систем волуме информатион» есть файлы, которые не удаляются, не реагирует на команду удаления.. я их почитал, там в общем скрытый доступ ко всему и набор файлов откуда он переустановить может каждый раз при команде установки Виндовс.. потом, несколько папок в дир С:/ удаляешь а, они тут же восстанавливаются загони, через секунду (думаю копия постоянно происходит типо shadow disk), и все мои службы установлены для терминала (про), к меня же домашняя… и они управляются почти все через свхост… удаленно, а сегодня он перенастроить мне через VROOT комодо, win restore all in one и Нортонамо
akok написал(а):
LogonSessions - Sysinternals - можно поиграться и так.
learn.microsoft.com

PsFile - Sysinternals

Узнайте, какие файлы открываются удаленно.
learn.microsoft.com
learn.microsoft.com

ShareEnum - Sysinternals

Сканируйте общие папки в сети и просмотрите их параметры безопасности, чтобы закрыть отверстия безопасности.
learn.microsoft.com

А вообще у Русиновича много полезных утилит для анализа.
www.safezone.cc

Windows System Control Center 32_64(WSCC)

Оболочка, объединяющая утилиты двух авторитетных и плодовитых производителей — Sysinternals и NirSoft. WSCC (Windows System Control Center) выступает удобной и красивой заменой соответственно пакетам Sysinternals Suite и NirLauncher...
www.safezone.cc www.safezone.cc
Нажмите для раскрытия...
Может какой лог прикрепить? Что делать-то?)))
 
тут проблема в подходах. Мы рассчитываем увидить аномалию, т.е. вредоносное ПО. А вот при входе штатными средствами аномалий нет, тут нужны другие методы.
 
Скачал, играюсь… так и не победил.
Но есть информация, загрузился в безопасном режиме и бью его avz, all in 1 и др.. суть какая: в папке «систем волуме информатион» есть файлы, которые не удаляются, не реагирует на команду удаления.. я их почитал, там в общем скрытый доступ ко всему и набор файлов откуда он переустановить может каждый раз при команде установки Виндовс.. потом, несколько папок в дир С:/ удаляешь а, они тут же восстанавливаются загони, через секунду (думаю копия постоянно происходит типо shadow disk), и все мои службы установлены для терминала (про), к меня же домашняя… и они управляются почти все через свхост… удаленно, а сегодня он перенастроить мне через VROOT комодо, win restore all in one и Нортонамо
akok написал(а):
LogonSessions - Sysinternals - можно поиграться и так.
learn.microsoft.com

PsFile - Sysinternals

Узнайте, какие файлы открываются удаленно.
learn.microsoft.com
learn.microsoft.com

ShareEnum - Sysinternals

Сканируйте общие папки в сети и просмотрите их параметры безопасности, чтобы закрыть отверстия безопасности.
learn.microsoft.com

А вообще у Русиновича много полезных утилит для анализа.
www.safezone.cc

Windows System Control Center 32_64(WSCC)

Оболочка, объединяющая утилиты двух авторитетных и плодовитых производителей — Sysinternals и NirSoft. WSCC (Windows System Control Center) выступает удобной и красивой заменой соответственно пакетам Sysinternals Suite и NirLauncher...
www.safezone.cc www.safezone.cc
Нажмите для раскрытия...
Может какой лог прикрепить? Что делать-то?)))
akok написал(а):
тут проблема в подходах. Мы рассчитываем увидить аномалию, т.е. вредоносное ПО. А вот при входе штатными средствами аномалий нет, тут нужны другие методы.
Нажмите для раскрытия...
вот что есть из аномалии))) как лечить? Запустился перед выбором аккаунта при установке
 

Вложения

  • 522FB417-8B63-4B79-B865-0101FC3957EC.webp
    522FB417-8B63-4B79-B865-0101FC3957EC.webp
    159.5 KB · Просмотры: 61
stMax777 написал(а):
Скачал, играюсь… так и не победил.
Но есть информация, загрузился в безопасном режиме и бью его avz, all in 1 и др.. суть какая: в папке «систем волуме информатион» есть файлы, которые не удаляются, не реагирует на команду удаления.. я их почитал, там в общем скрытый доступ ко всему и набор файлов откуда он переустановить может каждый раз при команде установки Виндовс.. потом, несколько папок в дир С:/ удаляешь а, они тут же восстанавливаются загони, через секунду (думаю копия постоянно происходит типо shadow disk), и все мои службы установлены для терминала (про), к меня же домашняя… и они управляются почти все через свхост… удаленно, а сегодня он перенастроить мне через VROOT комодо, win restore all in one и Нортонамо

Может какой лог прикрепить? Что делать-то?)))

вот что есть из аномалии))) как лечить? Запустился перед выбором аккаунта при установке
Нажмите для раскрытия...
Вот ещё
 

Вложения

  • image.webp
    image.webp
    50.1 KB · Просмотры: 51
Простите, что с телефона, ещё не запустил винду
 

Вложения

  • image.webp
    image.webp
    231.8 KB · Просмотры: 56
  • image.webp
    image.webp
    231 KB · Просмотры: 46
ну так файл можно открыть блокнотом и просмотреть содержимое. Не помню в первых логах отладчиков.
 
Установка без смены паролей + почта ничего не даст.
 
akok написал(а):
Установка без смены паролей + почта ничего не даст.
Нажмите для раскрытия...
Нет паролей) у него кейлогер пишет всю мою клавиатуру, и потом я пользуюсь Authenticator Microsoft, у меня удалён пароль и вход только с моего подтверждения, в целях безопасности
 
Маловероятно.
 
Войдите или зарегистрируйтесь для ответа.

Похожие темы

nikitosik123321123
  • Закрыта
Закрыто Этим браузером управляет ваша организация. + какие то непонятные правила помогите удалить и скажите что это
Ответы
4
Просмотры
382
Sandor
Sandor
Евгений56
  • Закрыта
Обсуждение завершено Некоторыми параметрами управляет ваша организация
Ответы
11
Просмотры
8K
Кирилл
Кирилл
IamNotTony
  • Закрыта
Закрыто Как удалить NET:MALWARE.URL вирус?
Ответы
5
Просмотры
106
Sandor
Sandor
Назад
Сверху Снизу