Лидеры

Всем привет! Календарь рассказывает, что на улице сегодня 20 января и давно уже пора открывать новую страничку ежегодных путешествий, которая в этом сезоне немного (временно) запаздывает. Причин, как обычно, две: "то одно, то другое" (с) Нет, на самом деле есть внешние, не зависящие от меня обстоятельства, но есть и разные личные и корпоративные планы, которые пока держат меня "на грунте". Главная внешняя причина временного затишья в перемещениях - само собой, которая всем нам известна. По причине всё ещё никак не затухающих короновирусных обстоятельств "живых" мероприятий, встреч, тусовок стало гораздо меньше. Они потихоньку начали оживать в конце прошлого года, но в январе как-то ничего особенного по нашим темам в мире не происходило, посему я до сих пор дома и в офисе. Однако, судя по вестям с полей и по личному опыту, очередной штамм злобного короновируса (который "омикрон") оказался совершенно не такой уж и злобный - а на уровне обычного сезонного гриппа, и особенно легко переносится уже привитыми организмами. Посему, как полтора-два года назад и обещали знающие био-вирусологи, слишком фатальные мутации вируса будут вытесняться менее каверзными апгрейдами, что постепенно приведёт к снижению агрессивности пандемии и сведёт её к уровню обычных сезонных инфекций. Что, надеюсь, сейчас и происходит. Посему планы на весну-лето этого года у меня в графике весьма активные! Рассказывать пока не буду - суеверен, боюсь сглазить. Но скучно не будет - это точно. Но что-то я уже много текста настрочил, а ни одной фотки пока не выложил.. Ага, есть у меня несколько и неплохих => Жителям центральных районов европейской части России наконец-то после многих тёплых лет выдали вполне себе снежную зиму - ура! Вот какие красивые картинки у нас в офисе поснимал мой коллега и регулярный случайный попутчик О.А. -> Там в отражении где-то прячусь я А здесь не прячусь: Справа от меня за окном вот такие картинки: "Маленькому фикусу холодно зимой.." почти (с), хоть это и не фикус. Я просто не знаю что это за дерево... На балконе вот так: На улице тоже неплохо -> Всё на этом про московскую офисную зиму, надо переходить к другим темам.

Перечитал написанное выше и хочу во-первых, подтвердить, что график путешесткий корректировался действительно по климатически-геологическим причинам (о как!). А во-вторых, всё же биологические вирусы не менее непредсказуемы, чем их кибернетические родственники, посему держим пальцы крестиком, чтобы вся эта кутерьма с короновирусной заразой устаканилась не позднее лета этого года. Похулигинил био-вирус аж два года - и хватит! Освободите помещение! А поскольку были упомянуты тёплое море с пляжи с песочком, то сразу сознаюсь, что это Мальдивы - и вот вам ещё фоток на темы овощного туризма отдыха: Берега здесь то размывает, то снова намывает песок, приходится бороться разными методами. Обычно берега укрепляют мешками с песком, который за несколько лет превращается в камень. Ткань мешка постепенно "съедается" морем, остаётся каменный округлый песчаный булыжник. Или просто бетонные стенки заливают: Ни разу не жил на водных виллах. Говорят, что от шума волн внизу заснуть сложно.. 500-метровый мостик на другой остров: Местные называют эту цаплю "Джордж". Кстати, тёмное "облако" в воде - это стая мальков, на которых и охотится этот Джордж. Мы же прозвали этих птичек "Жора" и "Витёк" На другом острове большой ремонт, туристическое население отсутствует.. Можно дойти до самого края песчаной косы и втыкать на закат... "В лесу родилась ёлочка..." (с) И так далее... Водичка в штиль - просто ай! И кораллы в ней. Необитаемый остров. Можно поиграть в Робинзона Крузо. Или в Пятницу. Закаты случались вполне себе на твёрдую пятёрку: Спа-салон и удобства в массажном домике Однажды вечером приплыла огромная манта -> Ну, чтоб все там были! Всё на этом на сегодня.

Но почему же не было традиционных зимних путешествий как в старые-добрые времена? Действительно, что-то давненько январское посленовогоднее я дома не проводил.. И весьма разное бывало... То Новый Год на вершинах индонезийских вулканов, то Эквадор и Галапагосы, то покатушки по пустыням Намибии, а в прошлом году вообще мега-автопробег Магадан-Якутск-Москва 12тыс.км за рулём случился. А в этом году - ну, только с детьми на тёплом море и желтом песочке побездельничал, да Новый год встретил - и всё на этом. Но - не извольте беспокоиться! По причинам климатически-геологическим традиционные зимние тур-путешествия перенесены на более позднее время, о чём всё расскажу и объясню по мере следования по заранее спланированному графику перемещений.

Roma1 еще ожидает, но ему почти всегда в последнюю очередь приходит, живет в небольшом городке в 170 км. на удаление между двумя миллиониками.

Ещё это, пожалуйста.

Данный вердикт: Trojan.Multi.Accesstr.a используется Лабораторией Касперского для детектирования файлов cmd.exe и powershell.exe, хранящихся под другими именами в системной директории. В схожих запросах от пользователей встречали следующее: Файл C:\Windows\system32\sethc.exe является cmd.exe, что может быть использовано для получения несанкционированного доступа к системе. Поскольку оригинальный sethc.exe не был найден, система не была пролечена корректно. Необходимо самостоятельно заменить файл на оригинальный. Иными словами, исполняемый файл sethc.exe (который отвечает за вывод сообщения о залипании клавиш) был подменен на cmd.exe. Таким образом можно на этапе логина в систему, сделать "залипание" клавиш и получить доступ к cmd.exe Стоит сразу проверить указанный файл. В некоторых случаях может быть подменен файл: utilman.exe (отвечает за центр специальных возможностей) Также необходимо проверить следующие файлы и при необходимости заменить на оригинальные: "%SystemRoot%\\system32\\osk.exe", "%SystemRoot%\\syswow64\\osk.exe", "%SystemRoot%\\system32\\magnify.exe", "%SystemRoot%\\syswow64\\magnify.exe", "%SystemRoot%\\system32\\displayswitch.exe", "%SystemRoot%\\syswow64\\displayswitch.exe", "%SystemRoot%\\system32\\atbroker.exe", "%SystemRoot%\\syswow64\\atbroker.exe", "%SystemRoot%\\system32\\utilman.exe", "%SystemRoot%\\syswow64\\utilman.exe", "%SystemRoot%\\system32\\sethc.exe", "%SystemRoot%\\syswow64\\sethc.exe", "%SystemRoot%\\system32\\easeofaccessdialog.exe", "%SystemRoot%\\syswow64\\easeofaccessdialog.exe", "%SystemRoot%\\system32\\narrator.exe", "%SystemRoot%\\syswow64\\narrator.exe", Найти проблемный файл можно следующим образом: Сделать сортировку по размеру в папке System32 и сравнить размеры файлов с файлом cmd.exe или powershell.exe Если дело не в нем, то для полноценного анализа детекта в инфраструктуре Лаборатории Касперского потребуются трассировки продукта с захватом детекта: https://support.kaspersky.ru/common/diagnostics/12797#block1 Ссылки по теме: https://blogs.technet.microsoft.com/jonathantrull/2016/10/03/detecting-sticky-key-backdoors/ https://attack.mitre.org/wiki/Technique/T1015 http://winitpro.ru/index.php/2012/05/29/dyra-pozvolyayushhaya-zapustit-lyuboe-prilozheniya-na-ekrane-vxoda-v-windows/ Продукты Лаборатории Касперского успешно выполняет лечение компьютера при включенной опции: «Лечение активного заражения» в настройках продукта. НО, успешно оно пройдет только если в системе обнаружится оригинальный файл. Если файла не будет - детект будет повторяться.

Впрочем, уже видно: Пробуем ещё так: Отключите до перезагрузки антивирус. Выделите следующий код: Start:: StartBatch: ECHO Y|CHKDSK C: /F pushd c:\windows\system32 bcdedit.exe /set {default} recoveryenabled yes net stop bits net stop cryptSvc net stop wuauserv net stop msiserver del /s /q C:\Windows\SoftwareDistribution\download\*.* del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*" net start bfe net start bits net start cryptSvc net start eventsystem net start msiserver net start rpcss net start sdrsvc net start trustedinstaller net start vss net start winmgmt net start wuauserv bitsadmin /list /allusers bitsadmin /reset /allusers EndBatch: cmd: DISM.exe /Online /Cleanup-image /Restorehealth cmd: sfc /scannow cmd: winmgmt /salvagerepository cmd: winmgmt /verifyrepository cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R C:\Windows\Temp\*.* C:\WINDOWS\system32\*.tmp C:\WINDOWS\syswow64\*.tmp EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Во время перезагрузки будет запущена проверка диска, не прерывайте. Подробнее читайте в этом руководстве.

И каков был результат? Пока не нужно.

Если установили Malwarebytes, соберите лог для верности. Если ещё не успели, пока не нужно. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: SystemRestore: On CreateRestorePoint: cmd: sfc /scannow cmd: DISM.exe /Online /Cleanup-image /Restorehealth Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Выполнение может занять некоторое время, дождитесь окончания. Подробнее читайте в этом руководстве.

Пока уберем имеющиеся вирусы 1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Start:: CreateRestorePoint: CloseProcesses: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-2405493334-2814958782-2126608307-1001\...\Run: [br] => C:\Windows\svchost.exe [10199528 2022-01-16] () [Файл не подписан] <==== ВНИМАНИЕ GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ C:\WINDOWS\system32\svchosts.exe C:\Windows\svchost.exe AlternateDataStreams: C:\ProgramData\TEMP:B755D674 [270] AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [422] AlternateDataStreams: C:\ProgramData\TEMP:B755D674 [270] AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [422] Reboot: End:: 2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши. 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера.

Статья в базе знаний Лаборатории Касперского: https://support.kaspersky.ru/common/diagnostics/15387

@ska79 эх, нет в тебе чувства товарищества, надо было отказаться от получения. Теперь мне приходится ждать одному. Есть кто ещё ожидает заказа, обработанные 8 декабря? Или я один остался, эээх

Мы здесь совершенно не при делах! Честное слово...

Нужно писать сразу всеми поочередно, либо раздарить близким

Вижу, нет смысла заказывать несколько ручек. Лучше заказать одну и сразу ее начать использовать.