Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Заражены домашние компьютеры.

A1279

Автор A1279
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

  • Ответов 35
  • Создана
  • Последний ответ

Топ авторов темы

  • A1279

    19

  • Tiare

    13

  • R_A_D_E

    1

  • icotonev

    1

Популярные дни

Топ авторов темы

Популярные дни

Tiare Профи

Tiare

Опубликовано
Опубликовано

A1279, выгружаете все защитное ПО и драйвера виртуальных приводов.

 

 

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится 45imrt0n.exe случайное имя утилиты (gmer)

45imrt0n.exe -del service afteihxr
45imrt0n.exe -del service auizkx
45imrt0n.exe -del service gmavlnzik
45imrt0n.exe -del service itpxy
45imrt0n.exe -del service jjevfu
45imrt0n.exe -del service kieykepm
45imrt0n.exe -del service kjszqe
45imrt0n.exe -del service llrmn
45imrt0n.exe -del service mwgoajxs
45imrt0n.exe -del service nnigpcy
45imrt0n.exe -del service oboei
45imrt0n.exe -del service pwncstxh
45imrt0n.exe -del service qrbosch
45imrt0n.exe -del service rjajoxcqf
45imrt0n.exe -del service suyqifmk
45imrt0n.exe -del service tgywnvrj
45imrt0n.exe -del service tlmnpyz
45imrt0n.exe -del service twnhnxsm
45imrt0n.exe -del service wcbdmz
45imrt0n.exe -del service wuhomynmo
45imrt0n.exe -del service xezilq
45imrt0n.exe -del service zgkjvgn
45imrt0n.exe -del service zhxpgdflo
45imrt0n.exe -del file "C:\WINDOWS\system32\buctibp.dll"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\zhxpgdflo"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\zgkjvgn"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xezilq"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wuhomynmo"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wcbdmz"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\twnhnxsm"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tlmnpyz"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tgywnvrj"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\suyqifmk"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rjajoxcqf"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qrbosch"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\pwncstxh"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\oboei"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\nnigpcy"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\mwgoajxs"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\llrmn"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kjszqe"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kieykepm"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\jjevfu"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\itpxy"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gmavlnzik"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\auizkx"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\afteihxr"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\zhxpgdflo"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\zgkjvgn"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xezilq"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\wuhomynmo"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\wcbdmz"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\twnhnxsm"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\tlmnpyz"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\tgywnvrj"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\suyqifmk"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\rjajoxcqf"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\qrbosch"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\pwncstxh"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\oboei"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\nnigpcy"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\mwgoajxs"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\llrmn"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kjszqe"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kieykepm"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\jjevfu"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\itpxy"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gmavlnzik"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\auizkx"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\afteihxr"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\zhxpgdflo"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\zgkjvgn"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\xezilq"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\wuhomynmo"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\wcbdmz"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\twnhnxsm"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\tlmnpyz"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\tgywnvrj"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\suyqifmk"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\rjajoxcqf"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\qrbosch"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\pwncstxh"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\oboei"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\nnigpcy"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\mwgoajxs"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\llrmn"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\kjszqe"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\kieykepm"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\jjevfu"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\itpxy"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\gmavlnzik"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\auizkx"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\afteihxr"
45imrt0n.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.

 

Внимание: Компьютер перезагрузится!

 

Сделайте новый лог gmer.

 

 

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\~DF5928.tmp','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\netprotocol.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\addoon32.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Pgrgrv.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Jergrp.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\netprotdrvss.exe','');
QuarantineFile('C:\WINDOWS\jodrive32.exe','');
QuarantineFile('C:\WINDOWS\aadrive32.exe','');
QuarantineFile('C:\WINDOWS\system32\chg.exe','');
QuarantineFile('E:\MiniNT\system32\rasman.dll','');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Jergrp.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Pgrgrv.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\addoon32.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\netprotocol.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\~DF5928.tmp');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\netprotdrvss.exe');
DeleteFile('C:\WINDOWS\jodrive32.exe');
DeleteFile('C:\WINDOWS\aadrive32.exe');
DelBHO('1E796980-9CC5-11D1-A83F-00C04FC99D61');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Jergrp');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Pgrgrv');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','adonpdf');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
DeleteFileMask('C:\Documents and Settings\Администратор\Application Data\','*.tmp',false);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair( 8);
RebootWindows(true);
end.

 

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

 

>> Разрешен автозапуск с HDD

>> Разрешен автозапуск с сетевых дисков

>> Разрешен автозапуск со сменных носителей

 

Это серьезная уязвимость для вашей системы, поэтому желательно отключить автозапуск на этих устройствах. Если решите то,

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

 

 

 

- Norton Internet Security 2006 – использовали ранее и удаляли? Удалите остатки

 

- SUPERAntiSpyware - используете? Если нет, то для полной деинсталяции воспользуйтесь этой утилитой

 

- обновите Java до актуальной версии

- обновите Adobe Reader до актуальной версии

 

 

Повторите логи AVZ + RSIT + GMER

 

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

 

 

 

ВСЕ обновления виндовс установлены?

Ссылка на комментарий
Поделиться на другие сайты
A1279 Новичок

A1279

Опубликовано
  • Автор
Опубликовано

Из лаборатории Касперского пришел ответ:

 

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

~DF5928.tmp

 

Файл в процессе обработки.

 

bcqr00019.dat,

bcqr00020.dat,

rasman.dll

 

Вредоносный код в файлах не обнаружен.

 

netprotdrvss.exe - Trojan.Win32.Buzus.izik

 

В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.

 

С уважением, Лаборатория Касперского

Ссылка на комментарий
Поделиться на другие сайты
Tiare Профи

Tiare

Опубликовано
Опубликовано (изменено)

A1279, а где же логи AVZ + RSIT и отчет MBAM?

 

 

Выход в интернет на "больном" компьютере появился?

Изменено пользователем Tiare
Ссылка на комментарий
Поделиться на другие сайты
A1279 Новичок

A1279

Опубликовано
  • Автор
Опубликовано (изменено)

Извеняюсь за задержку. Вот логи.

virusinfo_syscure.zip

virusinfo_syscheck.zip

mbam_log_2011_11_06__13_57_18_.txt

log.txt

info.txt

GMER_log.log

Изменено пользователем A1279
Ссылка на комментарий
Поделиться на другие сайты
Tiare Профи

Tiare

Опубликовано
Опубликовано (изменено)
Интернет появился.

Отлично! Все ваши компьютеры необходимо изолировать друг от друга на время лечения, т.к. зараза может пролезть вновь. Этот компьютер - в первую очередь!

 

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\tmpC.tmp','');
QuarantineFile('c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013\service32.exe','');
QuarantineFile('c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini','');
QuarantineFile('c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop.ini','');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\tmpC.tmp');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\~DFF4AE.tmp');
DeleteFile('c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013\service32.exe');
DeleteFile('c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini');
DeleteFile('c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop.ini');
DelCLSID('1E796980-9CC5-11D1-A83F-00C04FC99D61');
DeleteFileMask('c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013', '*.*', true);
DeleteFileMask('c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413', '*.*', true);
DeleteDirectory('c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013');
DeleteDirectory('c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

удалите эти строки в MBAM. После удаления откройте лог и прикрепите его к вашему сообщению.

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} (Trojan.Agent) -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogoff (PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.

Зараженные папки:
c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413 (Worm.AutoRun) -> No action taken.

Зараженные файлы:
c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013\service32.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop.ini (Worm.AutoRun) -> No action taken.

 

 

Проверьте эти файлы на virustotal

Раскрывающийся текст:

кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата .

Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме. 

c:\program files\tmeter\trafsvc.exe
c:\program files\modempro\modempro.exe
c:\windows\system32\mqsvc.exe

 

 

-Установите Internet Explorer 8 (даже если им не пользуетесь)

- обновите Java до актуальной версии

- обновите Adobe Reader до актуальной версии

- обновите Adobe Flash Player до актуальной версии

+ Ставьте ВСЕ обновления на Windows! Это обязательно, т.к. у вас заражение сетевым червем (без актуальных обновлений системы он к вам вернется)!

 

 

После всего

1) повторите логи AVZ

2) Скачайте скачайте HijackThis, сохраните в отдельную папку (например, в папку C:\Program files\Hijackthis\). После этого сделайте новый лог RSIT.

 

 

Какие проблемы остались?

Изменено пользователем Tiare
Ссылка на комментарий
Поделиться на другие сайты
Tiare Профи

Tiare

Опубликовано
Опубликовано
В интернет из оперы заходит, а из интернет эксплорера нет

подробнее? что именно происходит?

 

 

 

Вам необходимо закрыть доступ ко всем расшаренным ресурсам (на время лечения) и поставить сложные пароли на все учетные записи (на всех ваших компьютерах).

Ссылка на комментарий
Поделиться на другие сайты
A1279 Новичок

A1279

Опубликовано
  • Автор
Опубликовано (изменено)

Добрый день. VirusTotal дал такие результаты:

 

по mqsvc.exe --- http://www.virustotal.com/file-scan/report...3dc1-1320731891

 

по trafsvc.exe --- http://www.virustotal.com/file-scan/report...0a7c-1320731359

 

по modempro.exe --- http://www.virustotal.com/file-scan/report...2f9c-1320732073

 

 

 

Mbam - после повторного сканирования ничего не нашел.

 

Internet explorer не открывает никакие страницы, пишет: "Internet Explorer не может отобразить эту веб-страницу" и под адресной строкой пишет:"Все надстройки обозревателя Internet Explorer отключены. Щелкните здесь для управления, отключения или удаления надстроек". Захожу в надстройки, но там везде состояние ВКЛЮЧЕНО. Оперой скачал и установил Internet Explorer-8 результат тот-же.

mbam_log_2011_11_08__12_44_32_.txt

Изменено пользователем A1279
Ссылка на комментарий
Поделиться на другие сайты
Tiare Профи

Tiare

Опубликовано
Опубликовано

Сделайте эти логи для контроля, если в них будет чисто, значит с лечением этого компьютера закончим.

После всего

1) повторите логи AVZ

2) Скачайте скачайте HijackThis, сохраните в отдельную папку (например, в папку C:\Program files\Hijackthis\). После этого сделайте новый лог RSIT.

 

 

Попробуйте деинсталлировать Internet Explorer через Пуск - Панель управления - Установка и удаление программ, потом скачайте новую версию и установите ее.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Technician6
      Не переносятся компьютеры в группу.
      Автор Technician6
      Имеем корп сервер KSC14 - компьютеры видны, но в управляемых, когда переносишь их в нужную группу, они просто не переносятся и вываливается ошибка как на скрине.

       
      ни через веб интерфейс ни через консоль не переносится. Вопрос, как исправить?
    • Mutabor
      Моя домашняя сеть в составе ботсети.
      Автор Mutabor
      Здравствуйте, моя домашняя сеть подключена к ботсети. Я узнал об этом из Касперского, зайдя в мониторинг умного дома увидел, что к моей домашней сети подключено 250 устройств.
      Ранее хакер взломал мой роутер и почту, поменяв пороли. Я все пароли поменял,
      на сложные, использовав генератор паролей, на почту смог войти по отпечатку пальца через смарфон, а роутер перезагрузил.
      Для того чтобы выйти из этой бот сети я создал в роутере белый список, привезав мак адреса моих устройств, так же создал гостевую сеть и перенаправил в нее устройства которые не поддерживают шифрования WAN 3 personal, это две колонки Алиса и телевизор. Три устройства поддерживающие это шифрование я оставил в основной сети. Это два смартфона и андроид телевизор.
      После этого Касперский показал что я вышел из ботсети, однако на следующее утро я снова увидел, что являюсь её участником.
      Так же на компьютере Касперский пишет, что у меня открыт 22 SSH порт, как его закрыть на моем роутере TP-Link Archer C80 я не знаю, перерыл всё меню. интернет, задавал вопрос ии, ответа так и не нашёл.
      Хотя я заходил на  https://www.yougetsignal.com/tools/open-ports/ чтобы проверить открыт ли этот порт у меня, пишет что порт закрыт.
      Осталась единственная надежда на вас, может вы сможете помочь, пожалуйста помогите выйти из этой ботсети.
    • Reshat
      Зашифровали компьютер
      Автор Reshat
      Добрый день!Зашифровали компьютер с файлами пишут:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by KOZANOSTRA
      Your decryption ID is <ID>*KOZANOSTRA-<ID>
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - vancureez@tuta.io
      2) Telegram - @DataSupport911 or https://t.me/DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      Файлы скана прикрепляю к сообщению.
      Addition.txt FRST.txt
    • 4tetree
      Зашифровали компьютер
      Автор 4tetree
      Добрый день!Зашифровали компьютер с файлами пишут:
       
      ссылка удалена ссылка на скачивание двух зараженных файлов
    • KL FC Bot
      Как защитить свой роутер от взлома и установки домашнего прокси | Блог Касперского
      Автор KL FC Bot
      Недавно раскрытый взлом тысяч домашних маршрутизаторов ASUS показывает, что, кроме вас и ближайших соседей, ваша домашняя точка доступа Wi-Fi нужна еще и обычным киберпреступникам, и даже хакерам на госслужбе, проводящим целевые шпионские атаки. Новая атака, предположительно связанная с печально известной группировкой APT31, продолжается, она опасна своей скрытностью и необычным способом защиты от нее, поэтому важно разобраться, зачем злоумышленникам роутеры и как защищаться от хакерских трюков.
      Как используют взломанные маршрутизаторы
      Домашний прокси. Когда хакеры атакуют крупные компании и госучреждения, атаку часто вычисляют по необычным адресам, с которых идет обращение к защищаемой сети. Подозрительно, когда компания работает в одной стране, а ее сотрудник внезапно входит в корпоративную сеть из другой. Не менее подозрительны обращения с известных адресов VPN-серверов. Чтобы замаскироваться, злоумышленники применяют взломанный роутер в нужной стране и даже нужном городе, рядом с объектом атаки. Они направляют все запросы на роутер, а тот переадресует данные атакуемому компьютеру. При мониторинге это выглядит как обычное обращение сотрудника к рабочим ресурсам из дома, ничего подозрительного. Командный сервер. На взломанном устройстве выкладывают вредоносное ПО, чтобы скачивать его на заражаемые компьютеры. Или, наоборот, выкачивают нужную информацию из атакованной сети прямо на ваш роутер. Ловушка для конкурентов. Роутер могут использовать как приманку, чтобы изучать способы взлома, применяемые другими группировками хакеров. Прибор для майнинга. Любое вычислительное устройство можно применять для майнинга криптовалюты. Использовать для майнинга роутер не очень эффективно, но, когда злоумышленник не платит ни за электричество, ни за технику, ему это все равно выгодно. Инструмент манипуляции вашим трафиком. На роутере можно перехватывать и изменять содержимое интернет-соединений — так злоумышленники могут атаковать все подключенные к домашней сети устройства. Спектр применения этой техники, — от кражи паролей до внедрения рекламы в веб-страницы. Бот для DDoS-атак. Любые домашние устройства, включая роутеры, видеоняни, умные колонки и даже чайники, можно объединить в сеть ботов и «положить» любой онлайн-сервис миллионами одновременных запросов с этих устройств. Эти варианты будут полезны разным группам злоумышленников. Если майнинг, реклама и DDoS чаще интересны киберпреступникам с финансовой мотивацией, то целевые атаки под прикрытием домашнего IP-адреса проводят либо банды вымогателей, либо группировки, занимающиеся настоящим шпионажем. Звучит как детектив, но распространено настолько широко, что об этом в разное время выпустили несколько предупреждений Американское агентство по безопасности инфраструктуры (CISA) и ФБР. Шпионы, как им и положено, действуют предельно незаметно, поэтому владельцы роутера замечают его «двойное назначение» крайне редко.
       
      View the full article
×
×
  • Создать...