Перейти к содержанию

Чистка от нечистот


Рекомендуемые сообщения

Здравствуйте друзья.

Ситуация следюущая,есть огромный парк ПК находился в домене одной организации,теперь перешел в наш домен.

На ПК от этой организации стоит куча их софта,в том числе софта для удаленного подключения.Возможно и скрытое что-то есть.

Компьютеров много и руками каждый вычищать крайне проблематично.Софт на всех компах естественно одинаковый.

Вопросы.

1.Можете ли вы помочь в сканировании одного из таких ПК на предмет скрытого шпионского ПО

2.Можете ли помочь со скриптом на удаление одной программки которая в купе с собой ставит еще удаленный доступ (через инталлятор ее удалить нельзя,только убивать службу и сносить папки в разных местах....)

 

Суть вообщем в том,чтобы вычистить все нежелательное ПО массово.

Спасибо.

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Предположу, что правила раздела вам известны.

4 минуты назад, Hendehog сказал:

Можете ли вы помочь в сканировании одного из таких ПК

Вполне.

 

4 минуты назад, Hendehog сказал:

вычистить все нежелательное ПО массово

Для этой цели существует продукт - https://www.kaspersky.ru/small-to-medium-business-security

Ссылка на сообщение
Поделиться на другие сайты

Для массовой работы есть KVRT и аналогичные утилиты.
Наши утилиты предназначены для точечной работы. Ибо помимо удаления службы, папки ... есть ещё куча разных ключей в реестре которые надо вычищать и если их не вычистить, то может быть ряд ошибок потом.

Помимо этого пути к папкам/ключам для каждого ПК могут отличаться, так что в лучшем случае скрипт просто не будет работать.

Ссылка на сообщение
Поделиться на другие сайты
38 minutes ago, regist said:

Для массовой работы есть KVRT и аналогичные утилиты.
Наши утилиты предназначены для точечной работы. Ибо помимо удаления службы, папки ... есть ещё куча разных ключей в реестре которые надо вычищать и если их не вычистить, то может быть ряд ошибок потом.

Помимо этого пути к папкам/ключам для каждого ПК могут отличаться, так что в лучшем случае скрипт просто не будет работать.

Проблема в том,что KVRT и прочие не считают ПО удаленного доступа чем-то запрещенным,ведь оно вполне легальное.

Пути всегда одни у этого софта,имена пользователей просто меняются.

Я скину вам логи,посмотрите пожалуйста и скажите что из этого получится,спасибо.

Ссылка на сообщение
Поделиться на другие сайты
18 минут назад, Hendehog сказал:

Проблема в том,что KVRT и прочие не считают ПО удаленного доступа чем-то запрещенным,ведь оно вполне легальное.

Програмым для скрытого удалённого управления должны детектироваться, что-то вроде: not a virus remote tool.

Ссылка на сообщение
Поделиться на другие сайты

Лог прикладываю.

Одна из программ,называется 1С Коннект,в нее вшита программа RMS - которая устанавливается без согласия пользователя.

лежит это все дело по путям 

C:\Program Files (x86)\1C-Connect\BPh_RDA\rutserv.exe
C:\Users\Fedorenko.ds\Documents\1C-Connect
C:\Users\Fedorenko.ds\Documents\1C-Connect\bin\BPh_RDA\rms

Так же в службу прописывается RManService.

Суть в том,что корректно удалить данное ПО нельзя,нет ни деинсталлятора. 1С разработчики ответили,что удалите папку и все - ну вообщем все через одно место.

Я конечно накидал скрипт который тормозит службу,и удаляет папку.

Но хотелось чтобы спецы посмотрели как с этой пакостью бороться и вычистить ее полностью.

 


 

CollectionLog-2020.09.23-16.15.zip

Ссылка на сообщение
Поделиться на другие сайты
6 минут назад, Hendehog сказал:

программа RMS

Кроме неё видны ещё

 

Цитата

AnyDesk

Goverlan Remote Control (Server)

UltraVNC

Ставили самостоятельно?

Ссылка на сообщение
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\1c-connect\bph_rda\rfusclient.exe');
 StopService('RManService');
 QuarantineFile('c:\program files (x86)\1c-connect\bph_rda\rfusclient.exe', '');
 DeleteFile('c:\program files (x86)\1c-connect\bph_rda\rfusclient.exe', '32');
 DeleteService('RManService');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KL-).

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. 
Прикрепите к следующему сообщению свежий CollectionLog.
 

Ссылка на сообщение
Поделиться на другие сайты
22 minutes ago, regist said:

Програмым для скрытого удалённого управления должны детектироваться, что-то вроде: not a virus remote tool.

Ну как-то не особо они детектируются..

1.png

Ссылка на сообщение
Поделиться на другие сайты

Если вы сами это не настраивали, то "Пофиксите" в HijackThis:

O15 - HKCU\..\ProtocolDefaults:  - [@ivt] protocol is in Unknown Zone, should be Intranet Zone
O15 - HKCU\..\ProtocolDefaults:  - [file] protocol is in Unknown Zone, should be Internet Zone
O15 - HKCU\..\ProtocolDefaults:  - [ftp] protocol is in Unknown Zone, should be Internet Zone
O15 - HKCU\..\ProtocolDefaults:  - [http] protocol is in Unknown Zone, should be Internet Zone
O15 - HKCU\..\ProtocolDefaults:  - [https] protocol is in Unknown Zone, should be Internet Zone
O15 - HKCU\..\ProtocolDefaults:  - [shell] protocol is in Unknown Zone, should be My Computer Zone

[/CODE]

 

+

[URL=http://forum.kasperskyclub.ru/index.php?showtopic=7607]"Пофиксите" в HijackThis[/URL]:
[CODE]

O4 - HKU\S-1-5-21-4144156682-471372856-3921063978-2821\..\Run: [Buhphone] = C:\Users\Fedorenko.ds\Documents\1C-Connect\1C-Connect.exe /autorun (User 'fedorenko.ds')

[/CODE]

 

По вашему вопросу. Из-за того, что SID для каждого ПК и имена юзеров будут отличаться, то написать универсальный скрипт AVZ будет сложновато. Давайте посмотрим на проблему через другую утилиту. Тут уже вычистили, так что давайте создайте ещё одну тему по другому ПК (заодно сравним какие отличие на разных ПК).

В первом посте укажите ссылку на эту тему и вместо стандартных логов выложите следующий лог:

 

 

Скачайте [URL=https://safezone.cc/resources/211/]AutorunsVTchecker[/URL]. Распакуйте и запустите. Не дожидаясь окончания сканирования,      
[LIST=1][*]Скачайте [B][URL="https://safezone.cc/resources/7/"]Universal Virus Sniffer[/URL][/B] (uVS)
[*]Извлеките uVS из [I]архива[/I] или из [I]zip-папки[/I]. Откройте папку с UVS и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт [B]"Запустить под текущим пользователем"[/B].
[*]Выберите меню [B]"Файл"[/B] => [B]"Сохранить полный образ автозапуска"[/B]. Программа предложит вам указать место сохранения лога в формате [B]"имя_компьютера_дата_сканирования"[/B]. Лог необходимо сохранить на рабочем столе.
[INDENT][SIZE="1"][B]!!!Внимание.[/B] Если у вас установлены архиваторы [B]WinRAR[/B] или [B]7-Zip[/B], то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.[/SIZE][/INDENT]
[*]Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.
[INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT]
[/LIST]
Подробнее читайте в руководстве [B][URL="https://safezone.cc/threads/14508/#post-79351"]Как подготовить лог UVS.[/URL][/B]

 

Ссылка на сообщение
Поделиться на другие сайты
7 hours ago, regist said:

Если вы сами это не настраивали, то "Пофиксите" в HijackThis:


O15 - HKCU\..\ProtocolDefaults:  - [@ivt] protocol is in Unknown Zone, should be Intranet Zone

	O15 - HKCU\..\ProtocolDefaults:  - [file] protocol is in Unknown Zone, should be Internet Zone

	O15 - HKCU\..\ProtocolDefaults:  - [ftp] protocol is in Unknown Zone, should be Internet Zone

	O15 - HKCU\..\ProtocolDefaults:  - [http] protocol is in Unknown Zone, should be Internet Zone

	O15 - HKCU\..\ProtocolDefaults:  - [https] protocol is in Unknown Zone, should be Internet Zone

	O15 - HKCU\..\ProtocolDefaults:  - [shell] protocol is in Unknown Zone, should be My Computer Zone



	[/CODE]


Можете подробнее рассказать , что это  и что мы чистим?

Подскажите пожалуйста каким образом можно на ПК обнаружить ERP Систему и вычистить? Или программы подобного плана по контролю за предприятиями?

 

 

 

 

Ссылка на сообщение
Поделиться на другие сайты
3 часа назад, Sandor сказал:

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. 
Прикрепите к следующему сообщению свежий CollectionLog.

Это сделайте, пожалуйста.

Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, Hendehog сказал:

Можете подробнее рассказать , что это  и что мы чистим?

https://regist.safezone.cc/hijackthis_help/hijackthis.html#O15

там же ссылка на статью MS, где подробней описано что это и для чего.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...