Перейти к содержанию

Чистка от нечистот


Hendehog

Рекомендуемые сообщения

Здравствуйте друзья.

Ситуация следюущая,есть огромный парк ПК находился в домене одной организации,теперь перешел в наш домен.

На ПК от этой организации стоит куча их софта,в том числе софта для удаленного подключения.Возможно и скрытое что-то есть.

Компьютеров много и руками каждый вычищать крайне проблематично.Софт на всех компах естественно одинаковый.

Вопросы.

1.Можете ли вы помочь в сканировании одного из таких ПК на предмет скрытого шпионского ПО

2.Можете ли помочь со скриптом на удаление одной программки которая в купе с собой ставит еще удаленный доступ (через инталлятор ее удалить нельзя,только убивать службу и сносить папки в разных местах....)

 

Суть вообщем в том,чтобы вычистить все нежелательное ПО массово.

Спасибо.

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Предположу, что правила раздела вам известны.

4 минуты назад, Hendehog сказал:

Можете ли вы помочь в сканировании одного из таких ПК

Вполне.

 

4 минуты назад, Hendehog сказал:

вычистить все нежелательное ПО массово

Для этой цели существует продукт - https://www.kaspersky.ru/small-to-medium-business-security

Ссылка на комментарий
Поделиться на другие сайты

Для массовой работы есть KVRT и аналогичные утилиты.
Наши утилиты предназначены для точечной работы. Ибо помимо удаления службы, папки ... есть ещё куча разных ключей в реестре которые надо вычищать и если их не вычистить, то может быть ряд ошибок потом.

Помимо этого пути к папкам/ключам для каждого ПК могут отличаться, так что в лучшем случае скрипт просто не будет работать.

Ссылка на комментарий
Поделиться на другие сайты

38 minutes ago, regist said:

Для массовой работы есть KVRT и аналогичные утилиты.
Наши утилиты предназначены для точечной работы. Ибо помимо удаления службы, папки ... есть ещё куча разных ключей в реестре которые надо вычищать и если их не вычистить, то может быть ряд ошибок потом.

Помимо этого пути к папкам/ключам для каждого ПК могут отличаться, так что в лучшем случае скрипт просто не будет работать.

Проблема в том,что KVRT и прочие не считают ПО удаленного доступа чем-то запрещенным,ведь оно вполне легальное.

Пути всегда одни у этого софта,имена пользователей просто меняются.

Я скину вам логи,посмотрите пожалуйста и скажите что из этого получится,спасибо.

Ссылка на комментарий
Поделиться на другие сайты

18 минут назад, Hendehog сказал:

Проблема в том,что KVRT и прочие не считают ПО удаленного доступа чем-то запрещенным,ведь оно вполне легальное.

Програмым для скрытого удалённого управления должны детектироваться, что-то вроде: not a virus remote tool.

Ссылка на комментарий
Поделиться на другие сайты

Лог прикладываю.

Одна из программ,называется 1С Коннект,в нее вшита программа RMS - которая устанавливается без согласия пользователя.

лежит это все дело по путям 

C:\Program Files (x86)\1C-Connect\BPh_RDA\rutserv.exe
C:\Users\Fedorenko.ds\Documents\1C-Connect
C:\Users\Fedorenko.ds\Documents\1C-Connect\bin\BPh_RDA\rms

Так же в службу прописывается RManService.

Суть в том,что корректно удалить данное ПО нельзя,нет ни деинсталлятора. 1С разработчики ответили,что удалите папку и все - ну вообщем все через одно место.

Я конечно накидал скрипт который тормозит службу,и удаляет папку.

Но хотелось чтобы спецы посмотрели как с этой пакостью бороться и вычистить ее полностью.

 


 

CollectionLog-2020.09.23-16.15.zip

Ссылка на комментарий
Поделиться на другие сайты

6 минут назад, Hendehog сказал:

программа RMS

Кроме неё видны ещё

 

Цитата

AnyDesk

Goverlan Remote Control (Server)

UltraVNC

Ставили самостоятельно?

Ссылка на комментарий
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\1c-connect\bph_rda\rfusclient.exe');
 StopService('RManService');
 QuarantineFile('c:\program files (x86)\1c-connect\bph_rda\rfusclient.exe', '');
 DeleteFile('c:\program files (x86)\1c-connect\bph_rda\rfusclient.exe', '32');
 DeleteService('RManService');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KL-).

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. 
Прикрепите к следующему сообщению свежий CollectionLog.
 

Ссылка на комментарий
Поделиться на другие сайты

22 minutes ago, regist said:

Програмым для скрытого удалённого управления должны детектироваться, что-то вроде: not a virus remote tool.

Ну как-то не особо они детектируются..

1.png

Ссылка на комментарий
Поделиться на другие сайты

Если вы сами это не настраивали, то "Пофиксите" в HijackThis:

O15 - HKCU\..\ProtocolDefaults:  - [@ivt] protocol is in Unknown Zone, should be Intranet Zone
O15 - HKCU\..\ProtocolDefaults:  - [file] protocol is in Unknown Zone, should be Internet Zone
O15 - HKCU\..\ProtocolDefaults:  - [ftp] protocol is in Unknown Zone, should be Internet Zone
O15 - HKCU\..\ProtocolDefaults:  - [http] protocol is in Unknown Zone, should be Internet Zone
O15 - HKCU\..\ProtocolDefaults:  - [https] protocol is in Unknown Zone, should be Internet Zone
O15 - HKCU\..\ProtocolDefaults:  - [shell] protocol is in Unknown Zone, should be My Computer Zone

[/CODE]

 

+

[URL=http://forum.kasperskyclub.ru/index.php?showtopic=7607]"Пофиксите" в HijackThis[/URL]:
[CODE]

O4 - HKU\S-1-5-21-4144156682-471372856-3921063978-2821\..\Run: [Buhphone] = C:\Users\Fedorenko.ds\Documents\1C-Connect\1C-Connect.exe /autorun (User 'fedorenko.ds')

[/CODE]

 

По вашему вопросу. Из-за того, что SID для каждого ПК и имена юзеров будут отличаться, то написать универсальный скрипт AVZ будет сложновато. Давайте посмотрим на проблему через другую утилиту. Тут уже вычистили, так что давайте создайте ещё одну тему по другому ПК (заодно сравним какие отличие на разных ПК).

В первом посте укажите ссылку на эту тему и вместо стандартных логов выложите следующий лог:

 

 

Скачайте [URL=https://safezone.cc/resources/211/]AutorunsVTchecker[/URL]. Распакуйте и запустите. Не дожидаясь окончания сканирования,      
[LIST=1][*]Скачайте [B][URL="https://safezone.cc/resources/7/"]Universal Virus Sniffer[/URL][/B] (uVS)
[*]Извлеките uVS из [I]архива[/I] или из [I]zip-папки[/I]. Откройте папку с UVS и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт [B]"Запустить под текущим пользователем"[/B].
[*]Выберите меню [B]"Файл"[/B] => [B]"Сохранить полный образ автозапуска"[/B]. Программа предложит вам указать место сохранения лога в формате [B]"имя_компьютера_дата_сканирования"[/B]. Лог необходимо сохранить на рабочем столе.
[INDENT][SIZE="1"][B]!!!Внимание.[/B] Если у вас установлены архиваторы [B]WinRAR[/B] или [B]7-Zip[/B], то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.[/SIZE][/INDENT]
[*]Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.
[INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT]
[/LIST]
Подробнее читайте в руководстве [B][URL="https://safezone.cc/threads/14508/#post-79351"]Как подготовить лог UVS.[/URL][/B]

 

Ссылка на комментарий
Поделиться на другие сайты

7 hours ago, regist said:

Если вы сами это не настраивали, то "Пофиксите" в HijackThis:


O15 - HKCU\..\ProtocolDefaults:  - [@ivt] protocol is in Unknown Zone, should be Intranet Zone

	O15 - HKCU\..\ProtocolDefaults:  - [file] protocol is in Unknown Zone, should be Internet Zone

	O15 - HKCU\..\ProtocolDefaults:  - [ftp] protocol is in Unknown Zone, should be Internet Zone

	O15 - HKCU\..\ProtocolDefaults:  - [http] protocol is in Unknown Zone, should be Internet Zone

	O15 - HKCU\..\ProtocolDefaults:  - [https] protocol is in Unknown Zone, should be Internet Zone

	O15 - HKCU\..\ProtocolDefaults:  - [shell] protocol is in Unknown Zone, should be My Computer Zone



	[/CODE]


Можете подробнее рассказать , что это  и что мы чистим?

Подскажите пожалуйста каким образом можно на ПК обнаружить ERP Систему и вычистить? Или программы подобного плана по контролю за предприятиями?

 

 

 

 

Ссылка на комментарий
Поделиться на другие сайты

3 часа назад, Sandor сказал:

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. 
Прикрепите к следующему сообщению свежий CollectionLog.

Это сделайте, пожалуйста.

Ссылка на комментарий
Поделиться на другие сайты

2 часа назад, Hendehog сказал:

Можете подробнее рассказать , что это  и что мы чистим?

https://regist.safezone.cc/hijackthis_help/hijackthis.html#O15

там же ссылка на статью MS, где подробней описано что это и для чего.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Swift
      От Swift
      В данной теме представлен обзор с подробным описанием подарочного сувенира, который можно получить из магазина фан-клуба по бонусной программе, за форумное бета-тестирование, merch и т. п.
      .
      Пожалуйста, не обсуждайте в этой теме другие сувениры.
       
      Набор оснащен чистящим спреем для очистки экрана, щипцами для клавиатуры, выдвижной щеткой для клавиатуры высокой плотности с настоящей тканью из микрофибры для очистки экрана и очков, а также многофункциональной чистящей ручкой для удовлетворения различных потребностей в очистке. Чистящая щетка-ручка легко очищает грязь в динамиках и других частях наушника, силиконовым наконечником способен убрать стойкую грязь в труднодоступных местах, не повреждая компоненты и отверстия продукта. Очиститель экрана и салфетка из микрофибры для электроники деликатно и легко удалят масло и отпечатки пальцев с экрана телефона, планшета, ноутбука, индикатора, телевизора, стекла очков, объектива фотоаппарата.
       
      • Комплектация: щётка для чистки
      клавиатуры, кольцо для снятия
      клавиш, щётка для чистки наушников,
      перо для чистки наушников и чехла,
      флок губка для влажной чистки
      дисплея, ёмкость для чистящего
      средства
      • Материал: пластик
      • Цвет: белый, зелёный
      • Размер: 122х43х30мм
       



    • AFG
      От AFG
      Много чего скачано с торрентов было, много чего удалено, прошу вас помочь найти вирусы если таковы есть.
      Есть дополнительная проблема, не знаю касается вирусов или нет, но в трипл A игровых проектах, бывают вылеты на рабочий стол, С и даже БЕЗ ошибок и краш репортов.
      CollectionLog-2023.08.10-13.17.zip
×
×
  • Создать...