Hendehog 0 Опубликовано 23 сентября, 2020 Share Опубликовано 23 сентября, 2020 Здравствуйте друзья. Ситуация следюущая,есть огромный парк ПК находился в домене одной организации,теперь перешел в наш домен. На ПК от этой организации стоит куча их софта,в том числе софта для удаленного подключения.Возможно и скрытое что-то есть. Компьютеров много и руками каждый вычищать крайне проблематично.Софт на всех компах естественно одинаковый. Вопросы. 1.Можете ли вы помочь в сканировании одного из таких ПК на предмет скрытого шпионского ПО 2.Можете ли помочь со скриптом на удаление одной программки которая в купе с собой ставит еще удаленный доступ (через инталлятор ее удалить нельзя,только убивать службу и сносить папки в разных местах....) Суть вообщем в том,чтобы вычистить все нежелательное ПО массово. Спасибо. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 23 сентября, 2020 Share Опубликовано 23 сентября, 2020 Здравствуйте! Предположу, что правила раздела вам известны. 4 минуты назад, Hendehog сказал: Можете ли вы помочь в сканировании одного из таких ПК Вполне. 4 минуты назад, Hendehog сказал: вычистить все нежелательное ПО массово Для этой цели существует продукт - https://www.kaspersky.ru/small-to-medium-business-security Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 23 сентября, 2020 Share Опубликовано 23 сентября, 2020 Для массовой работы есть KVRT и аналогичные утилиты. Наши утилиты предназначены для точечной работы. Ибо помимо удаления службы, папки ... есть ещё куча разных ключей в реестре которые надо вычищать и если их не вычистить, то может быть ряд ошибок потом. Помимо этого пути к папкам/ключам для каждого ПК могут отличаться, так что в лучшем случае скрипт просто не будет работать. Цитата Ссылка на сообщение Поделиться на другие сайты
Hendehog 0 Опубликовано 23 сентября, 2020 Автор Share Опубликовано 23 сентября, 2020 38 minutes ago, regist said: Для массовой работы есть KVRT и аналогичные утилиты. Наши утилиты предназначены для точечной работы. Ибо помимо удаления службы, папки ... есть ещё куча разных ключей в реестре которые надо вычищать и если их не вычистить, то может быть ряд ошибок потом. Помимо этого пути к папкам/ключам для каждого ПК могут отличаться, так что в лучшем случае скрипт просто не будет работать. Проблема в том,что KVRT и прочие не считают ПО удаленного доступа чем-то запрещенным,ведь оно вполне легальное. Пути всегда одни у этого софта,имена пользователей просто меняются. Я скину вам логи,посмотрите пожалуйста и скажите что из этого получится,спасибо. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 23 сентября, 2020 Share Опубликовано 23 сентября, 2020 18 минут назад, Hendehog сказал: Проблема в том,что KVRT и прочие не считают ПО удаленного доступа чем-то запрещенным,ведь оно вполне легальное. Програмым для скрытого удалённого управления должны детектироваться, что-то вроде: not a virus remote tool. Цитата Ссылка на сообщение Поделиться на другие сайты
Hendehog 0 Опубликовано 23 сентября, 2020 Автор Share Опубликовано 23 сентября, 2020 Лог прикладываю. Одна из программ,называется 1С Коннект,в нее вшита программа RMS - которая устанавливается без согласия пользователя. лежит это все дело по путям C:\Program Files (x86)\1C-Connect\BPh_RDA\rutserv.exe C:\Users\Fedorenko.ds\Documents\1C-Connect C:\Users\Fedorenko.ds\Documents\1C-Connect\bin\BPh_RDA\rms Так же в службу прописывается RManService. Суть в том,что корректно удалить данное ПО нельзя,нет ни деинсталлятора. 1С разработчики ответили,что удалите папку и все - ну вообщем все через одно место. Я конечно накидал скрипт который тормозит службу,и удаляет папку. Но хотелось чтобы спецы посмотрели как с этой пакостью бороться и вычистить ее полностью. CollectionLog-2020.09.23-16.15.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 23 сентября, 2020 Share Опубликовано 23 сентября, 2020 6 минут назад, Hendehog сказал: программа RMS Кроме неё видны ещё Цитата AnyDesk Goverlan Remote Control (Server) UltraVNC Ставили самостоятельно? Цитата Ссылка на сообщение Поделиться на другие сайты
Hendehog 0 Опубликовано 23 сентября, 2020 Автор Share Опубликовано 23 сентября, 2020 Да,эти самостоятельно. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 23 сентября, 2020 Share Опубликовано 23 сентября, 2020 Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\program files (x86)\1c-connect\bph_rda\rfusclient.exe'); StopService('RManService'); QuarantineFile('c:\program files (x86)\1c-connect\bph_rda\rfusclient.exe', ''); DeleteFile('c:\program files (x86)\1c-connect\bph_rda\rfusclient.exe', '32'); DeleteService('RManService'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KL-). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Цитата Ссылка на сообщение Поделиться на другие сайты
Hendehog 0 Опубликовано 23 сентября, 2020 Автор Share Опубликовано 23 сентября, 2020 22 minutes ago, regist said: Програмым для скрытого удалённого управления должны детектироваться, что-то вроде: not a virus remote tool. Ну как-то не особо они детектируются.. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 23 сентября, 2020 Share Опубликовано 23 сентября, 2020 Если вы сами это не настраивали, то "Пофиксите" в HijackThis: O15 - HKCU\..\ProtocolDefaults: - [@ivt] protocol is in Unknown Zone, should be Intranet Zone O15 - HKCU\..\ProtocolDefaults: - [file] protocol is in Unknown Zone, should be Internet Zone O15 - HKCU\..\ProtocolDefaults: - [ftp] protocol is in Unknown Zone, should be Internet Zone O15 - HKCU\..\ProtocolDefaults: - [http] protocol is in Unknown Zone, should be Internet Zone O15 - HKCU\..\ProtocolDefaults: - [https] protocol is in Unknown Zone, should be Internet Zone O15 - HKCU\..\ProtocolDefaults: - [shell] protocol is in Unknown Zone, should be My Computer Zone [/CODE] + [URL=http://forum.kasperskyclub.ru/index.php?showtopic=7607]"Пофиксите" в HijackThis[/URL]: [CODE] O4 - HKU\S-1-5-21-4144156682-471372856-3921063978-2821\..\Run: [Buhphone] = C:\Users\Fedorenko.ds\Documents\1C-Connect\1C-Connect.exe /autorun (User 'fedorenko.ds') [/CODE] По вашему вопросу. Из-за того, что SID для каждого ПК и имена юзеров будут отличаться, то написать универсальный скрипт AVZ будет сложновато. Давайте посмотрим на проблему через другую утилиту. Тут уже вычистили, так что давайте создайте ещё одну тему по другому ПК (заодно сравним какие отличие на разных ПК). В первом посте укажите ссылку на эту тему и вместо стандартных логов выложите следующий лог: Скачайте [URL=https://safezone.cc/resources/211/]AutorunsVTchecker[/URL]. Распакуйте и запустите. Не дожидаясь окончания сканирования, [LIST=1][*]Скачайте [B][URL="https://safezone.cc/resources/7/"]Universal Virus Sniffer[/URL][/B] (uVS) [*]Извлеките uVS из [I]архива[/I] или из [I]zip-папки[/I]. Откройте папку с UVS и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт [B]"Запустить под текущим пользователем"[/B]. [*]Выберите меню [B]"Файл"[/B] => [B]"Сохранить полный образ автозапуска"[/B]. Программа предложит вам указать место сохранения лога в формате [B]"имя_компьютера_дата_сканирования"[/B]. Лог необходимо сохранить на рабочем столе. [INDENT][SIZE="1"][B]!!!Внимание.[/B] Если у вас установлены архиваторы [B]WinRAR[/B] или [B]7-Zip[/B], то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.[/SIZE][/INDENT] [*]Дождитесь окончания работы программы и прикрепите лог к сообщению в теме. [INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT] [/LIST] Подробнее читайте в руководстве [B][URL="https://safezone.cc/threads/14508/#post-79351"]Как подготовить лог UVS.[/URL][/B] Цитата Ссылка на сообщение Поделиться на другие сайты
Hendehog 0 Опубликовано 23 сентября, 2020 Автор Share Опубликовано 23 сентября, 2020 7 hours ago, regist said: Если вы сами это не настраивали, то "Пофиксите" в HijackThis: O15 - HKCU\..\ProtocolDefaults: - [@ivt] protocol is in Unknown Zone, should be Intranet Zone O15 - HKCU\..\ProtocolDefaults: - [file] protocol is in Unknown Zone, should be Internet Zone O15 - HKCU\..\ProtocolDefaults: - [ftp] protocol is in Unknown Zone, should be Internet Zone O15 - HKCU\..\ProtocolDefaults: - [http] protocol is in Unknown Zone, should be Internet Zone O15 - HKCU\..\ProtocolDefaults: - [https] protocol is in Unknown Zone, should be Internet Zone O15 - HKCU\..\ProtocolDefaults: - [shell] protocol is in Unknown Zone, should be My Computer Zone [/CODE] Можете подробнее рассказать , что это и что мы чистим? Подскажите пожалуйста каким образом можно на ПК обнаружить ERP Систему и вычистить? Или программы подобного плана по контролю за предприятиями? Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 23 сентября, 2020 Share Опубликовано 23 сентября, 2020 3 часа назад, Sandor сказал: Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Это сделайте, пожалуйста. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 23 сентября, 2020 Share Опубликовано 23 сентября, 2020 2 часа назад, Hendehog сказал: Можете подробнее рассказать , что это и что мы чистим? https://regist.safezone.cc/hijackthis_help/hijackthis.html#O15 там же ссылка на статью MS, где подробней описано что это и для чего. Цитата Ссылка на сообщение Поделиться на другие сайты
Hendehog 0 Опубликовано 24 сентября, 2020 Автор Share Опубликовано 24 сентября, 2020 18 hours ago, Sandor said: Это сделайте, пожалуйста. CollectionLog-2020.09.24-11.06.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.