Перейти к содержанию
Правила раздела

"Удалённый ПК пытается получить доступ"

Игорьwerik

От Игорьwerik
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Игорьwerik Опытный

Игорьwerik

Опубликовано
Опубликовано (изменено)

Моё почтение!Проблемка в том,что сегодня утром,при подключении к сети,ПК выдал сообщение:Удалённый компьетер пытается получить доступ к Вашему компьютеру!Дело в том что такое в первый раз!Установлен Nod32,просканировал,чисто!Решил обратиться к Вам,уважаемые господа,как к специалистам! :) Проверте пожалуйста логи!

 

Сообщение от модератора akoK
Удалил карантин.

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено пользователем akoK
Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано (изменено)

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\msiexec.exe','');
QuarantineFile('C:\WINDOWS\system32\cmdow.exe','');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\wscsvc', 'Start', 2);
BC_ImportQuarantineList;
BC_Activate;
ExecuteRepair(8);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Повторите логи. И лог HJT не забываем :)

Изменено пользователем akoK
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Игорьwerik Опытный

Игорьwerik

Опубликовано
  • Автор
Опубликовано (изменено)

Спасибо akoK,выполнил!Логи новые прилагаю,и заодно HJT! :)

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено пользователем Игорьwerik
Ссылка на комментарий
Поделиться на другие сайты
MotherBoard Ветеран

MotherBoard

Опубликовано
Опубликовано (изменено)

выполните скрипт в AVZ

 

begin
ExecuteRepair(3);
ExecuteRepair(5);
RebootWindows(true);
end.

 

повторите лог: virusinfo_syscure.zip

Изменено пользователем akoK
убрал лишнюю команду
Ссылка на комментарий
Поделиться на другие сайты
snifer67 Ветеран

snifer67

Опубликовано
Опубликовано

+ к вышесказанному.

 

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\vdiznzyw.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

Ссылка на комментарий
Поделиться на другие сайты
Игорьwerik Опытный

Игорьwerik

Опубликовано
  • Автор
Опубликовано (изменено)

akoK,snifer67,MotherBoard Спасибо за помощь!Но это будет завтра,я уже дома!Скажите пожалуйста,какой именно скрипт мне выполнять?

Хорошо akoKскину,с одним условием :) Вы мне скажите что это было, ;) и скинете мне в личку,или на ящик!?Идёт!? ;) (я точно не помню,но я вроди удалил архив,а если выполнить скрипт снова,архив создастся?)

Изменено пользователем Игорьwerik
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано (изменено)

<удален вредный совет>

 

Рекомендуется удалить ПО, которое может конфликтовать

с установленным ESS:

- McAfee.

Если данные программы были ранее удалены некорректно,

можно воспользоваться специализированными утилитами

по очистке их следов с сайтов производителей данного ПО.

 

После проведённого лечения рекомендуется установить следующие обновления:

- откройте файл ScanVuln.txt;

- выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt);

- пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления;

- перезагрузите компьютер;

- повторно выполните скрипт и убедитесь, что уязвимости устранены.

 

приложите к новому сообщению файл 

C:\WINDOWS\system32\linkdel.cmd

 

что с проблемой?

 

Сообщение от модератора akoK
В начале оптимизацию системы необходимо согласовать с пользователем.
Изменено пользователем akoK
Ссылка на комментарий
Поделиться на другие сайты
Игорьwerik Опытный

Игорьwerik

Опубликовано
  • Автор
Опубликовано (изменено)

Лечение провёл,конфликтующее ПО удалил!А вот скрипт не выполняется,выдаёт ошибки!Ошибка скрипта:BEGIN expected,позиция {1:1},и аналогично {9:1}А как согласовать оптимизацию системы с пользователем?

Изменено пользователем Игорьwerik
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
А как согласовать оптимизацию системы с пользователем?

 

т.е. примерно так:

хотели ли Вы исправить это

9. Мастер поиска и устранения проблем

>> Обнаружен отладчик системного процесса

>> Заблокирована настройка автоматического обновления

>> Таймаут завершения процессов находится за пределами допустимых значений

>> Таймаут завершения служб находится за пределами допустимых значений

>> Таймаут, по истечению которого принимается решение о том, что процесс не отвечает, находится за пределами допустимых значений

>> Разрешен автозапуск с HDD

>> Разрешен автозапуск с сетевых дисков

>> Разрешен автозапуск со сменных носителей

ведь Вы опытный пользователь, и сами без труда разберётесь, что такое таймауты, локи полиси и т.д....

 

где файл cmd ?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • couitatg
      Очень странное и необычное заражение вирусом удалённого доступа
      От couitatg
      В субботу, пока я играл в игру, антивирус Касперского проводил сканирование в фоновом режиме. По отчетам, он обнаружил 56 попыток майнинга, а также удалил 351 вирусный объект.
      После этого я решил провести дополнительное сканирование. В результате была выявлена безфайловая угроза и фейковый процесс msedge.exe, который установил TCP-соединение.
      Спустя 20–30 минут попыток устранить угрозу, я заметил, что Windows Defender работает как единственный антивирус в системе, а Касперский будто бы не функционирует. Defender обнаружил троян Njrat в msedge.exe, но не смог его устранить. Более того, в исключениях Windows Defender оказались указаны диск, файл msedge.exe и папка Program Files.
      Позже я обнаружил майнер в поддельных файлах taskmgr.exe, regedit.exe и svchost.exe.
      Самым неприятным оказалось то, что был выявлен руткит (C:\Program Files\DrWeb\drwebnet.sys), хотя антивирус Dr.Web на системе отсутствовал. У руткита была действительная цифровая подпись от Microsoft. Windows Defender смог успешно устранить руткит, но с трояном Njrat так и не справился.
      Затем аналогичная копия руткита обнаружилась в папке антивируса Avast, который тоже не был установлен на системе.
      Наконец, система подверглась попытке шифрования вирусом (предположительно Chaos Ransomware). Мне удалось остановить процесс с помощью утилиты Process Hacker.

      CollectionLog-2024.12.15-13.23.zip
    • Snake200221
      PowerShell пытается перекинуть на вредоносную ссылку
      От Snake200221
      Здравствуйте, при включении компьютера и окончательном входе в систему PowerShell пытается перекинуть на вредоносную ссылку. Касперский сразу же блокирует
       
      Также недавно активировал систему командой в сmd, а именно "powershell iex (irm 'activated.run/key')". Может быть это она спровоцировала данную проблему 
      CollectionLog-2025.01.04-00.02.zip
    • mrTomny
      PowerShell пытается перекинуть на вредоносную ссылку
      От mrTomny
      Вопрос не решился? у меня такая же проблема вылезла....
      инфо.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Maxim228
      Powershell и Yandex Browser пытаются запустить переход по вредоносной ссылке
      От Maxim228
      Проблема в следующем: Powershell иногда запускается и сразу закрывается, после чего антивирус публикует уведомление, что был заблокирован переход по ссылке. 
      Много раз запускал проверку на вирусы, никакие угрозы найти не удалось.
      Тест сообщения антивируса:
      Помогите устранить проблему пожалуйста(когда писал это сообщение появилось еще 2 уведомления о блокировке).
      Дополнение: когда я писал это сообщение касперский жаловался на переход по ссылке, но уже через браузер.
       
      отчет.txt
    • Bercolitt
      Удаленный доступ к моим данным на ПК
      От Bercolitt
      У меня Windows 10 домашний, следовательно нет удаленного рабочего стола. Многие документы и картинки с моего ПК перенеслись автоматически в облачное хранилище OneDrive. Это видно в проднике. Особого доверия к этому хранилищу нет. Если возникают какие-то предупреждения от Kaspersky Plus, то в качестве пользователя указывается модифицированное имя моего ПК с добавлением знака доллара $ на конце. Это удаленный доступ хакера или программы бота к моим данным?
×
×
  • Создать...