Перейти к содержанию
Правила раздела

Куча проблем и папка ghostery storage server

Xromoff

От Xromoff
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Xromoff Новичок

Xromoff

Опубликовано
Опубликовано

После торрент скачивания появилось у меня куча проблем, началась автоматическая установка ненужного софта, от которого я избавился, а вот проблема с автоматическим открыванием сайтов казино в браузере осталась, еще появилась папка папка ghostery storage server, которая не удаляется из-за того что она запущена, возможно еще что скрыто от моих глаз. KIS никаких угроз не обнаружил. Скрипты прилагаю.  


Нашел в диспетчере задач ghost32.exe остановил его и смог удалить папку ghostery storage server, но проблема с автоматическим открытием всяких сайтов не ушла.

CollectionLog-2016.11.22-13.12.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Auslogics BoostSpeed 5.4.0.10

TuneUp Utilities 2013

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\ghostery storage server\ghstore.exe');
 StopService('Ghostery Storage Server');
 QuarantineFile('c:\program files (x86)\ghostery storage server\ghstore.exe','');
 QuarantineFile('C:\Users\Александр\Desktop\Новая папка (2)\Программы\Opera.lnk', '');
 QuarantineFile('C:\ProgramData\OUxspfktPJ\AJmzctqUaZA2.bat', '');
 QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\александр\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
 QuarantineFile('C:\Users\Александр\AppData\Local\Hostinstaller\549937253_installcube.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "InternetAA" /F', 0, 15000, true);
 DeleteFile('c:\program files (x86)\ghostery storage server\ghstore.exe','32');
 DeleteFile('C:\ProgramData\OUxspfktPJ\AJmzctqUaZA2.bat', '');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
 DeleteFile('C:\Users\Александр\AppData\Local\Hostinstaller\549937253_installcube.exe', '32');
 DeleteService('Ghostery Storage Server');
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
 DeleteFileMask('c:\users\александр\appdata\local\hostinstaller', '*', true);
 DeleteDirectory('c:\program files (x86)\zaxar');
 DeleteDirectory('c:\users\александр\appdata\local\hostinstaller');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zaxar');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве. Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Прокси
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
OPR Extension: (coprofit) - C:\Users\Александр\AppData\Roaming\Opera Software\Opera Stable\Extensions\fkbmjpofpcpmmokgmkehcpbofjombfoe [2015-11-08]
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

В завершение:

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.
Подробнее читайте в этом руководстве.

 

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------

Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя отключен

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

Автоматическое обновление отключено

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 4.20 (64-разрядная) v.4.20.0 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.4.9.42923 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 111 (64-bit) v.8.0.1110.14 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u112-windows-x64.exe)^

--------------------------- [ AppleProduction ] ---------------------------

iTunes v.12.0.1.26 Внимание! Скачать обновления

^Для проверки новой версии используйте приложение Apple Software Update^

Bonjour v.3.0.0.10 Внимание! Скачать обновления

^Для проверки новой версии используйте приложение Apple Software Update^

QuickTime v.7.73.80.64 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 10 ActiveX v.10.2.152.26 Внимание! Скачать обновления

Adobe Reader XI (11.0.03) - Russian v.11.0.03 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - Проверить обновления!^

------------------------------- [ Browser ] -------------------------------

Opera 12.17 v.12.17.1863 Внимание! Скачать обновления

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • leksstav
      Alt-Linux-server-10.2 + mariadb-server-10.6.19
      От leksstav
      Всех приветствую !

      Подскажите куда копать в плане устранения ошибки.

      Имеем на борту:

      1) Alt-Linux-server-10.2
      2) mariadb-server-10.6.19

      При пустом файле my.cnf mysql запускается с таким логом:
       
      2024-10-28 12:22:16 0 [Note] Starting MariaDB 10.6.19-MariaDB-alt1 source revision server_uid Zv4jGM3BmfGDe4+uFbWEwRNyfm0= as process 4957 2024-10-28 12:22:16 0 [Note] Plugin 'InnoDB' is disabled. 2024-10-28 12:22:16 0 [Note] Plugin 'FEEDBACK' is disabled. 2024-10-28 12:22:16 0 [Note] Starting MariaDB 10.6.19-MariaDB-alt1 source revision server_uid Zv4jGM3BmfGDe4+uFbWEwRNyfm0= as process 5426 2024-10-28 12:22:16 0 [Note] InnoDB: Compressed tables use zlib 1.3.1 2024-10-28 12:22:16 0 [Note] InnoDB: Number of pools: 1 2024-10-28 12:22:16 0 [Note] InnoDB: Using crc32 + pclmulqdq instructions 2024-10-28 12:22:16 0 [Note] InnoDB: Using Linux native AIO 2024-10-28 12:22:16 0 [Note] InnoDB: Initializing buffer pool, total size = 134217728, chunk size = 134217728 2024-10-28 12:22:16 0 [Note] InnoDB: Completed initialization of buffer pool 2024-10-28 12:22:16 0 [Note] InnoDB: Starting crash recovery from checkpoint LSN=13571,13571 2024-10-28 12:22:16 0 [Note] InnoDB: To recover: 3 pages 2024-10-28 12:22:16 0 [Note] InnoDB: 128 rollback segments are active. 2024-10-28 12:22:16 0 [Note] InnoDB: Removed temporary tablespace data file: "./ibtmp1" 2024-10-28 12:22:16 0 [Note] InnoDB: Creating shared tablespace for temporary tables 2024-10-28 12:22:16 0 [Note] InnoDB: Setting file './ibtmp1' size to 12 MB. Physically writing the file full; Please wait ... 2024-10-28 12:22:16 0 [Note] InnoDB: File './ibtmp1' size is now 12 MB. 2024-10-28 12:22:16 0 [Note] InnoDB: 10.6.19 started; log sequence number 33097; transaction id 4 2024-10-28 12:22:16 0 [Note] InnoDB: Loading buffer pool(s) from /db/ib_buffer_pool 2024-10-28 12:22:16 0 [Note] Plugin 'FEEDBACK' is disabled. 2024-10-28 12:22:16 0 [Note] InnoDB: Cannot open '/db/ib_buffer_pool' for reading: No such file or directory 2024-10-28 12:22:16 0 [Note] /usr/sbin/mysqld: ready for connections. Version: '10.6.19-MariaDB-alt1' socket: '/mysql.sock' port: 0 (ALT p10) 2024-10-28 12:23:29 0 [Note] /usr/sbin/mysqld (initiated by: unknown): Normal shutdown 2024-10-28 12:23:29 0 [Note] InnoDB: FTS optimize thread exiting. 2024-10-28 12:23:29 0 [Note] InnoDB: Starting shutdown... 2024-10-28 12:23:29 0 [Note] InnoDB: Dumping buffer pool(s) to /db/ib_buffer_pool 2024-10-28 12:23:29 0 [Note] InnoDB: Buffer pool(s) dump completed at 241028 12:23:29 2024-10-28 12:23:30 0 [Note] InnoDB: Removed temporary tablespace data file: "./ibtmp1" 2024-10-28 12:23:30 0 [Note] InnoDB: Shutdown completed; log sequence number 33109; transaction id 4 2024-10-28 12:23:30 0 [Note] /usr/sbin/mysqld: Shutdown complete  
      Со страницы https://support.kaspersky.ru/ksc-linux/15/210277 беру новое содержимое для my.cnf
       
      sort_buffer_size=10M join_buffer_size=100M join_buffer_space_limit=300M join_cache_level=8 tmp_table_size=512M max_heap_table_size=512M key_buffer_size=200M innodb_buffer_pool_size=100 innodb_thread_concurrency=20 innodb_flush_log_at_trx_commit=0 innodb_lock_wait_timeout=300 max_allowed_packet=32M max_connections=151 max_prepared_stmt_count=12800 table_open_cache=60000 table_open_cache_instances=4 table_definition_cache=60000 optimizer_prune_level=0 optimizer_search_depth=8  
      И далее получаю следующий лог mysql
       
      2024-10-28 12:23:30 0 [Note] Starting MariaDB 10.6.19-MariaDB-alt1 source revision server_uid Zv4jGM3BmfGDe4+uFbWEwRNyfm0= as process 5539 2024-10-28 12:23:30 0 [Note] Plugin 'InnoDB' is disabled. 2024-10-28 12:23:30 0 [Note] Plugin 'FEEDBACK' is disabled. 2024-10-28 12:23:30 0 [Warning] 'innodb-thread-concurrency' was removed. It does nothing now and exists only for compatibility with old my.cnf files. 2024-10-28 12:23:30 0 [Note] Starting MariaDB 10.6.19-MariaDB-alt1 source revision server_uid Zv4jGM3BmfGDe4+uFbWEwRNyfm0= as process 6008 2024-10-28 12:23:30 0 [Warning] option 'innodb-buffer-pool-size': unsigned value 512 adjusted to 2097152 2024-10-28 12:23:30 0 [ERROR] InnoDB: innodb_page_size=16384 requires innodb_buffer_pool_size >= 5MiB current 2MiB 2024-10-28 12:23:30 0 [ERROR] Plugin 'InnoDB' registration as a STORAGE ENGINE failed. 2024-10-28 12:23:30 0 [Note] Plugin 'FEEDBACK' is disabled. 2024-10-28 12:23:30 0 [Warning] 'innodb-thread-concurrency' was removed. It does nothing now and exists only for compatibility with old my.cnf files. 2024-10-28 12:23:30 0 [ERROR] Unknown/unsupported storage engine: InnoDB 2024-10-28 12:23:30 0 [ERROR] Aborting  
    • tav
      Alt-Linux-server-10.2+KSC_15.0.0.12912+mariadb-server-10.6.19
      От tav
      Всех приветствую !
       
      Помогите пожалуйста разобраться почему не устанавливается KSC.
      Все логи и ход установки прикладываю.
       
      sudo /opt/kaspersky/ksc64/lib/bin/setup/postinstall.pl ЛИЦЕНЗИОННОЕ СОГЛАШЕНИЕ для Kaspersky Security Center 15 Linux И ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ для Продуктов и Сервисов ЛИЦЕНЗИОННОЕ СОГЛАШЕНИЕ АО «ЛАБОРАТОРИЯ КАСПЕРСКОГО», ОПРЕДЕЛЯЮЩЕЕ УСЛОВИЯ ИСПОЛЬЗОВАНИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ (ПО) Kaspersky Security Center 15 Linux ВНИМАНИЕ! ВНИМАТЕЛЬНО ОЗНАКОМЬТЕСЬ С УСЛОВИЯМИ ЛИЦЕНЗИОННОГО СОГЛАШЕНИЯ ПЕРЕД НАЧАЛОМ РАБОТЫ С ПРОГРАММНЫМ ОБЕСПЕЧЕНИЕМ. НАЖАТИЕ ВАМИ КНОПКИ ПОДТВЕРЖДЕНИЯ СОГЛАСИЯ В ОКНЕ С ТЕКСТОМ ЛИЦЕНЗИОННОГО СОГЛАШЕНИЯ ПРИ УСТАНОВКЕ ПО ИЛИ ВВОД СООТВЕТСТВУЮЩЕГО СИМВОЛА(-ОВ) ОЗНАЧАЕТ ВАШЕ БЕЗОГОВОРОЧНОЕ СОГЛАСИЕ С УСЛОВИЯМИ НАСТОЯЩЕГО ЛИЦЕНЗИОН НОГО СОГЛАШЕНИЯ. ЕСЛИ ВЫ НЕ СОГЛАСНЫ С УСЛОВИЯМИ НАСТОЯЩЕГО ЛИЦЕНЗИОННОГО СОГЛАШЕНИЯ, ВЫ ДОЛЖНЫ ПРЕРВАТЬ УСТАНОВКУ ПО. И ТАК ДАЛЕЕ Как с нами связаться Если у Вас есть какие-либо вопросы или комментарии к Политике конфиденциальности, методам обеспечения конфиденциальности "Лаборатории Касперского", или, если Вы хотите, чтобы мы обновили или удалили предоставлен ную Вами информацию или предпочтения, посетите веб-сайт https://www.kaspersky.com/global-privacy-policy или свяжитесь с нами: 125212, Российская Федерация, г. Москва, Ленинградское шоссе, 39А, стр.3, info@kasper sky.com, +7-495-797-8700, или с представителем "Лаборатории Касперского" в ЕС по электронной почте или по телефону: Kaspersky Labs GmbH, Ingolstadt, Germany, info@kaspersky.de, +49 (0) 841 98 18 90, или со специ алистом по защите данных в ЕС, а также для других стран: dpo@kaspersky.com. © 2022 АО "Лаборатория Касперского" Enter 'Y' to confirm that you understand and accept the terms of the End User License Agreement (EULA). You must accept the terms and conditions of the EULA to install the application. Enter 'N' providing you do not accept the terms of the EULA or 'R' to view it again [N]: y Enter 'Y' to confirm that you accept the terms of the Privacy Policy. You must accept the terms and conditions of the Privacy Policy to install the application. Entering 'Y' means that you are aware that your data will be handled and transmitted (including to third countries) as described in the Privacy Policy. Enter 'N' providing you do not accept the Privacy Policy [N]: y Choose the Administration Server installation mode: 1) Standard 2) Primary cluster node 3) Secondary cluster node Enter the range number (1, 2, or 3) [1]: 1 Enter Administration Server DNS-name or static IP-address: st9-mge-alt-kav Enter Administration Server SSL port number [13000]: Define the approximate number of devices that you intend to manage: 1) 1 to 100 networked devices 2) 101 to 1 000 networked devices 3) More than 1 000 networked devices Enter the range number (1, 2, or 3) [1]: 3 Enter the security group name for services: kladmins Enter the account name to start the Administration Server service. The account must be a member of the entered security group: ksc Enter the account name to start other services. The account must be a member of the entered security group: ksc Choose the database type to connect to: 1) MySQL 2) Postgres Enter the range number (1 or 2): 1 Enter the database address: 127.0.0.1 Enter the database port: 3306 Enter the database name: kscdb Enter the database login: kscadmin Enter the database password: Add service klnagent_srv... Fatal error: Server registration failed with code '3': 'Registering kladminserver. ' Fatal error: Setup script failed with code 2, signal 0. Installation failed.  
      ksc64_install.log st9-mge-alt-kav.ncfu.net-2024-10-29_11-14_collect.tar.gz Этапы уствновки_ 29.10.2024.txt klnagent_srv_install-wd.zip klregserver_install-wd.zip
    • KL FC Bot
      Как решить проблему нехватки кадров в кибербезопасности
      От KL FC Bot
      Дефицит квалифицированных кадров в индустрии информационной безопасности — проблема, мягко говоря, не новая. Однако в последние годы она встала особенно остро. Триггером тут послужила эпидемия коронавируса, из-за которой произошла стремительная цифровизация всего на свете и не менее стремительный рост количества атак. Из-за этого быстро растет и спрос на профессионалов в сфере кибербезопасности. А вот предложение за ним категорически не поспевает.
      Одна из ведущих организаций, занимающихся сертификацией специалистов в области ИБ, — ISC2 — публикует ежегодные отчеты о состоянии дел с трудовыми ресурсами в кибербезопасности. Согласно последнему отчету, за период с 2022 по 2023 год количество специалистов в ИБ выросло на 8,7%. Звучит вроде бы внушительно. Однако проблема в том, что дефицит таких специалистов за тот же период вырос аж на 12,6%. Таким образом, на момент публикации отчета общемировая нехватка кадров в индустрии кибербезопасности достигала 4 миллионов сотрудников. Почему же так происходит?
      Кибербезопасность в высшем образовании
      Чтобы получить ответ на этот вопрос, мы провели масштабное исследование, в ходе которого опросили более 1000 профессионалов в сфере ИТ и кибербезопасности из 29 стран мира. Мы опрашивали сотрудников разного уровня — от начинающих специалистов до директоров и руководителей SOC.
      В результате выяснилось несколько интересных фактов. В частности, далеко не все специалисты, работающие в данной сфере, изучали информационную безопасность в рамках своего высшего образования. Цифры разнятся по регионам, но в среднем соответствующие курсы были лишь у каждого второго. При этом большинство респондентов считает, что доступность специализированных курсов по информационной безопасности в рамках высшего образования недостаточна.
      Доступность специализированных курсов по кибербезопасности в учреждениях высшего образования респонденты оценили как недостаточную. Источник
      В целом полезность высшего образования для карьеры в информационной безопасности опрошенные оценили невысоко: лишь половина респондентов считает, что оно крайне полезно или очень полезно, четверть оценивает его полезность нейтрально, а еще четверть и вовсе полагает, что оно полностью бесполезно.
      Основная проблема формального образования в сфере кибербезопасности состоит в том, что оно категорически не успевает за теми изменениями, которые происходят в реальном мире. Технологии, инструменты и ландшафт угроз сейчас меняются настолько быстро, что за время обучения полученные в процессе знания успевают устареть.
       
      View the full article
    • tianddu
      удаление папки с KES без прав
      От tianddu
      Добрый день, имеем учебное заведение, примерно 180 компов заведенных в AD. Распространяются GPO  С 1 сентября начали сталкиваться с такой проблемой:
      Студент жалуется на комп, смотрим, в нем майнер. Начинаем смотреть. В трее KES нет, в панели управления висит, при попытке удаления предлагает только удалить, причем запрашивает учетку для деактивации. Самой папки с касперским нет.  Разумеется стоит защита интерфейса паролем. Стоит блокировка удаления агента паролем, но скорее всего агента тоже нет на компе уже. Появилась локальная учетка с админ правами main с паролем 123456. Из интересного в одной из учеток main на рабочем столе нашли Rubeus с гитхаба. Бегло прочитав, выясняется, что можно достаточно легко сделать подмену билета и получить на локальном компе админ права.. Окей, ставим запрет на запуск CMD в любом виде, что просто командная строка, что выполнение скриптов. Один хрен продолжаем получать компы с такими проблемами. Пароли от локальных учеток на компах и пароли администратора доменного достаточно сложные, набор цифробукв.
      Есть подозрение все таки на студентов, так как есть классы только с дизайнерами и информатикой, а есть с программистами. Так вот страдают именно классы с программистами. Точнее можем уже сузить круг до конкретной группы с таким студентом. Интересует вопрос, как это может происходить? как защититься от такого? Возможно что загружаются с флешки например в winpe а потом сносят папку с касперским?
    • serioussd
      Шифровальщик blackbit, windows server 2012r2
      От serioussd
      Сервер поймал шифровальщик blackbit, прошу помощи в чистке сервера и возможной дешифровке файлов, пропали все программы, на сервере расположены базы 1с, postgresql  два файла.zipFixlog.txt   

×
×
  • Создать...