С некоторых машин в локальной сети идут постоянные попытки RDP подключения на сервер

[vanamingo]

Добрый день, с некоторых маши н в локальной сети (в том числе логи которой прилагаю) идут постоянные попытки RDP подключения на сервер. Установленный Kaspersky Endpoint Security (как и cureit, KVRT) угроз не видят. Помогите.

CollectionLog-2021.08.24-11.38.zip

[SQ]

Здравствуйте,

 

Сами прописывали прокси-сервер?
 

R1 - HKU\S-1-5-21-2176067753-3448270478-3856969261-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = 195.158.28.30:1080 (disabled)

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O4 - MSConfig\startupreg: AVI Normalize Sound Volume Software.exe [command] = (HKLM) (2016/07/19) (no file)
O4 - MSConfig\startupreg: NPSStartup [command] = (HKLM) (2018/01/26) (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\    YandexDisk1 SyncDone: (no name) - {C5F6CDD1-FB7B-4971-A53F-4B00757F756B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\    YandexDisk2 SyncProgress: (no name) - {75EF3512-D401-4172-BA0F-00E000DCBCE4} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\    YandexDisk3 SyncDisabled: (no name) - {8EEE3CD5-1F70-4B63-B19D-A5F1457761DB} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\    YandexDisk4 SyncError: (no name) - {9CE04609-A360-4266-9937-9D799E8D2D5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\    YandexDisk5 SyncPart: (no name) - {63ADB0D1-6DA0-46A2-89D0-E0CE44536E32} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\   DropboxExt01: (no name) - {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\   DropboxExt02: (no name) - {FB314EDF-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\   DropboxExt03: (no name) - {FB314EE1-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\   DropboxExt04: (no name) - {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\   DropboxExt05: (no name) - {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\   DropboxExt06: (no name) - {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\   DropboxExt07: (no name) - {FB314EDD-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\   DropboxExt08: (no name) - {FB314EE0-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\   DropboxExt09: (no name) - {FB314EE2-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\   DropboxExt10: (no name) - {FB314EDE-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\   DropboxExt01: (no name) - {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\   DropboxExt02: (no name) - {FB314EDF-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\   DropboxExt03: (no name) - {FB314EE1-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\   DropboxExt04: (no name) - {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\   DropboxExt05: (no name) - {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\   DropboxExt06: (no name) - {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\   DropboxExt07: (no name) - {FB314EDD-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\   DropboxExt08: (no name) - {FB314EE0-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\   DropboxExt09: (no name) - {FB314EE2-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\   DropboxExt10: (no name) - {FB314EDE-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\"DropboxExt1": (no name) - {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\"DropboxExt2": (no name) - {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\"DropboxExt3": (no name) - {FB314EDD-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\"DropboxExt4": (no name) - {FB314EDE-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\"DropboxExt5": (no name) - {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\"DropboxExt6": (no name) - {FB314EDF-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\"DropboxExt7": (no name) - {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\"DropboxExt8": (no name) - {FB314EE0-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O22 - Task: \Microsoft\Windows Live\SOXE\Extractor Definitions Update Task - {3519154C-227E-47F3-9CC9-12C3F05817F1} - (no file)

 

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

 

[vanamingo]

Доброе утро, спасибо за работу и оперативность! 

Прокси не мой. Указанное пофиксил, отчёт прилагаю.

AdwCleaner[C04].txt

[SQ]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

1. Нажмите кнопку Scan.
2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[vanamingo]

Доброе утро, сделано!

FRST.txt Addition.txt

[SQ]

Здравствуйте,

 

Удалите остатки от антивируса Avast утилитой Avast Remover.

Сами настраивали политику безопасности. GroupPolicy: Ограничение ?

GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicyScripts: Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ

1. Выделите следующий код::

   Start::
   CreateRestorePoint:
   Task: {7B97F280-C4A3-4CD2-B5C2-E6E29AE3D9E3} - \GoogleUpdateTaskUserS-1-5-21-2176067753-3448270478-3856969261-500Core -> Нет файла <==== ВНИМАНИЕ
   Task: {A8B5F418-A8BB-4F4D-B51D-1849BFFF34F2} - \GoogleUpdateTaskUserS-1-5-21-2176067753-3448270478-3856969261-500UA -> Нет файла <==== ВНИМАНИЕ
   ProxyServer: [S-1-5-21-2176067753-3448270478-3856969261-1000] => 195.158.28.30:1080
   CHR HKLM-x32\...\Chrome\Extension: [jbolfgndggfhhpbnkgnpjkfhinclbigj] - <отсутствует Path/update_url>
   U3 avgbdisk; отсутствует ImagePath
   Folder: C:\Users\DZEN\AppData\Local\fontconfig
   Folder: C:\ProgramData\AVG
   File: C:\browstat.exe
   File: C:\fonts.exe
   File: C:\Windows\nvapi.dll
   ContextMenuHandlers1: [WondershareVideoConverterFileOpreation] -> {FEB746CA-95C2-485F-B386-C30D4E56D22E} =>  -> Нет файла
   AlternateDataStreams: C:\ProgramData\TEMP:2CFDCA54 [171]
   AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [134]
   AlternateDataStreams: C:\ProgramData\TEMP:7CB86D39 [102]
   AlternateDataStreams: C:\ProgramData\TEMP:B755D674 [270]
   AlternateDataStreams: C:\ProgramData\TEMP:E8956AB5 [145]
   AlternateDataStreams: C:\ProgramData\TEMP:FB1B13D8 [144]
   AlternateDataStreams: C:\Users\Владелец\Downloads\N68-VS3 FX(1.80)ROM.zip:com.dropbox.attrs [54]
   AlternateDataStreams: C:\Users\Владелец\Downloads\N68C-GS FX(1.40)ROM.zip:com.dropbox.attrs [54]
   AlternateDataStreams: C:\Users\Владелец\AppData\Local\Temp:SDO6UUAuVe4wouZR1OQg25aU7YIe [452]
   AlternateDataStreams: C:\Users\Владелец\AppData\Local\Temp:zHEcVqzTaDgYHiLpKaX46 [1822]
   File: C:\program files (x86)\psi\psi.exe
   FirewallRules: [TCP Query User{034C42D1-CC80-4BA3-A84A-D3A437B40416}C:\users\владелец\desktop\winbox.exe] => (Allow) C:\users\владелец\desktop\winbox.exe => Нет файла
   FirewallRules: [UDP Query User{2E2F70F7-869C-4293-A0D3-960D0C3A1A59}C:\users\владелец\desktop\winbox.exe] => (Allow) C:\users\владелец\desktop\winbox.exe => Нет файла
   FirewallRules: [{FC6188C1-ED36-4D89-9913-3EE44CFE78E1}] => (Block) C:\users\владелец\desktop\winbox.exe => Нет файла
   FirewallRules: [{58F99B02-C9F7-40E3-B599-FF3EDF98AB82}] => (Block) C:\users\владелец\desktop\winbox.exe => Нет файла
   FirewallRules: [{FE10386E-FAC1-4DAB-BA67-09199860E7F1}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
   FirewallRules: [{AB812751-445D-4BDC-AAC8-53CF91614569}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
   FirewallRules: [{D1A20ABC-D1C5-40EA-9A0C-3C6B519B4A9B}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => Нет файла
   FirewallRules: [{BF8CDBD7-1ABE-47AC-BF2B-348B02CF756A}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => Нет файла
   FirewallRules: [TCP Query User{F44A7FA1-ECB4-4822-B8FA-C4E2447F8715}C:\program files\java\jre1.8.0_161\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_161\bin\javaw.exe => Нет файла
   FirewallRules: [UDP Query User{2035AF42-F4E5-4BD1-91B0-1FB4D4CD0842}C:\program files\java\jre1.8.0_161\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_161\bin\javaw.exe => Нет файла
   FirewallRules: [TCP Query User{1A5DD09F-3BF8-40D2-9E50-E86F53F55FE3}C:\users\владелец\appdata\local\temp\7zo01d8bd82\netbscanner.exe] => (Allow) C:\users\владелец\appdata\local\temp\7zo01d8bd82\netbscanner.exe => Нет файла
   FirewallRules: [UDP Query User{3EBA54DD-690A-4D3C-AE3F-8DC2F7F8A462}C:\users\владелец\appdata\local\temp\7zo01d8bd82\netbscanner.exe] => (Allow) C:\users\владелец\appdata\local\temp\7zo01d8bd82\netbscanner.exe => Нет файла
   FirewallRules: [TCP Query User{0E9C2F90-8980-48F9-BC07-6F8FC7ABB97C}C:\program files (x86)\java\jre1.8.0_161\bin\jp2launcher.exe] => (Allow) C:\program files (x86)\java\jre1.8.0_161\bin\jp2launcher.exe => Нет файла
   FirewallRules: [UDP Query User{1FFAF957-0008-4E7D-9098-4B3351873C04}C:\program files (x86)\java\jre1.8.0_161\bin\jp2launcher.exe] => (Allow) C:\program files (x86)\java\jre1.8.0_161\bin\jp2launcher.exe => Нет файла
   FirewallRules: [{F9A2D922-8807-426B-8945-1F1D85FA6A5B}] => (Allow) C:\Users\Владелец\AppData\Local\Temp\7zS75BF\HP.EasyStart.exe => Нет файла
   FirewallRules: [{4421C4FF-6A6F-420B-B7D5-6AC1F849B2F5}] => (Allow) C:\Program Files (x86)\TP-LINK\TP-LINK Wireless Configuration Utility\RTLDHCP.exe (Realtek) [Файл не подписан]
   FirewallRules: [{FA8DBA45-3E4B-46C6-A7D6-2DC9141772C9}] => (Allow) C:\Program Files (x86)\TP-LINK\TP-LINK Wireless Configuration Utility\RTLDHCP.exe (Realtek) [Файл не подписан]
   FirewallRules: [{C792EC4C-3CD9-4E3C-A11F-AB24D46ACB47}] => (Allow) C:\Program Files (x86)\TP-LINK\TP-LINK Wireless Configuration Utility\RTLDHCP.exe (Realtek) [Файл не подписан]
   FirewallRules: [{71BA2E44-E7B7-4E9E-BE8C-FBAD5C9F5929}] => (Allow) C:\Program Files (x86)\TP-LINK\TP-LINK Wireless Configuration Utility\RTLDHCP.exe (Realtek) [Файл не подписан]
   FirewallRules: [{A2AD143C-F747-4EAC-9233-978E847B22C5}] => (Allow) C:\Program Files (x86)\TP-LINK\TP-LINK Wireless Configuration Utility\RTLDHCP.exe (Realtek) [Файл не подписан]
   FirewallRules: [{420490AA-701C-4141-8825-1B345DE9B34B}] => (Allow) C:\Program Files (x86)\TP-LINK\TP-LINK Wireless Configuration Utility\RTLDHCP.exe (Realtek) [Файл не подписан]
   FirewallRules: [TCP Query User{438F2A59-B124-49B8-8D28-AC200BD0EC68}C:\program files (x86)\supermicro\ipmiview\jre\bin\javaw.exe] => (Allow) C:\program files (x86)\supermicro\ipmiview\jre\bin\javaw.exe => Нет файла
   FirewallRules: [UDP Query User{91F43F23-49DD-4A7C-95C1-280549FA9647}C:\program files (x86)\supermicro\ipmiview\jre\bin\javaw.exe] => (Allow) C:\program files (x86)\supermicro\ipmiview\jre\bin\javaw.exe => Нет файла
   FirewallRules: [TCP Query User{A210503A-C728-44A5-8294-6BB294B6386A}C:\users\владелец\appdata\local\direct-commander\app-3.49.3\direct commander.exe] => (Allow) C:\users\владелец\appdata\local\direct-commander\app-3.49.3\direct commander.exe => Нет файла
   FirewallRules: [UDP Query User{04E91D22-0E56-46C0-BE4B-37B1CB45AE51}C:\users\владелец\appdata\local\direct-commander\app-3.49.3\direct commander.exe] => (Allow) C:\users\владелец\appdata\local\direct-commander\app-3.49.3\direct commander.exe => Нет файла
   FirewallRules: [TCP Query User{4DC8D9DF-D6C7-46B1-87AE-22EF4D221C89}C:\users\владелец\appdata\local\viber\qtwebengineprocess.exe] => (Block) C:\users\владелец\appdata\local\viber\qtwebengineprocess.exe => Нет файла
   FirewallRules: [UDP Query User{1A48BE85-5442-4074-97A2-9D30A88495BD}C:\users\владелец\appdata\local\viber\qtwebengineprocess.exe] => (Block) C:\users\владелец\appdata\local\viber\qtwebengineprocess.exe => Нет файла
   FirewallRules: [{9ED47FAA-D2CD-4CF8-BF87-3ED33A60F7E5}] => (Allow) C:\Users\Владелец\AppData\Local\Temp\7zS6323\EasyInst64.exe => Нет файла
   FirewallRules: [{08C8D27D-5201-47A4-AB0F-97BD3D50061B}] => (Allow) C:\Users\Владелец\AppData\Local\Temp\7zS6323\EasyInst64.exe => Нет файла
   End::

    

2. Скопируйте выделенный текст (правой кнопкой - Копировать).
3. Запустите FRST/FRST64 (от имени администратора).
4. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
5. Обратите внимание, что компьютер будет возможно перезагружен.

[regist]

+

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
4. Закачайте полученный архив, как через эту форму.
5. Полученную ссылку после загрузки карантина напишите в своём в сообщении здесь.

[vanamingo]

В AVZ нет скрипта №8.  Скриншот приложил

[regist]

У вас какой-то глюк скорее всего с базой связанный. Обновите базы AVZ (Файл - Обновить базы) и попробуйте ещё раз. Я только что перепроверил все эти скрипты на месте.

В крайнем случае просто скачайте заново AVZ отсюда.

[vanamingo]

Всё получилось. https://defendium.info/aqs/qr_report.php?md5=04C396C8236BD90A2A62C2E711094706

[SQ]

Уточните пожалуйста, если вы можете приложить файл Fixlog.txt?

[vanamingo]

03.09.2021 в 03:00, SQ сказал:

Уточните пожалуйста, если вы можете приложить файл Fixlog.txt?

 

прошу прощения, приложил.

 

Fixlog.txt 

[SQ]

В логах замечены остатки от антивируса Avast,  если не планируете его использовать, то удалите его остатки.

 

========================= Folder: C:\ProgramData\AVG ========================

2021-07-23 09:26 - 2021-07-23 09:26 - 000000000 ____D [00000000000000000000000000000000] () C:\ProgramData\AVG\Browser
2021-07-23 09:25 - 2021-07-23 09:25 - 000000000 ____D [00000000000000000000000000000000] () C:\ProgramData\AVG\Persistent Data
2021-07-23 09:25 - 2021-07-23 11:00 - 000000000 ____D [00000000000000000000000000000000] () C:\ProgramData\AVG\Persistent Data\Antivirus
2021-07-23 09:25 - 2021-07-23 09:27 - 000000000 ____D [00000000000000000000000000000000] () C:\ProgramData\AVG\Persistent Data\Antivirus\Logs
2021-07-23 09:27 - 2021-07-23 09:40 - 000084184 ____A [8A27D6DD4D1C9F1B2D541E9C33F2EDE6] () C:\ProgramData\AVG\Persistent Data\Antivirus\Logs\AvEmUpdate.log
2021-07-23 09:26 - 2021-07-23 09:40 - 000000878 ____A [BDED47810EF06077D9B061A9A5835D58] () C:\ProgramData\AVG\Persistent Data\Antivirus\Logs\event_manager.log
2021-07-23 09:25 - 2021-07-23 09:27 - 000423058 ____A [9782F398A24F0C890657D9AC3D9179CA] () C:\ProgramData\AVG\Persistent Data\Antivirus\Logs\Setup.log
2021-07-23 09:27 - 2021-07-23 09:40 - 001360120 ____A [9E51F19E4262E099B9237E07843D5491] () C:\ProgramData\AVG\Persistent Data\Antivirus\Logs\Update.log
2021-07-23 09:26 - 2021-07-23 09:27 - 000000000 ____D [00000000000000000000000000000000] () C:\ProgramData\AVG\Subscriptions
2021-07-23 09:27 - 2021-07-23 09:27 - 000000822 ____A [3649169A34FE8B8456FDF0F9B4FDFD26] () C:\ProgramData\AVG\Subscriptions\license.avglic

Удаление остаток от антивируса Avast утилитой Avast Remover.

Сообщите, есои проблема еще как-то проявляется?

[vanamingo]

 [2021-09-09 14:22:17] RDP: failed login attempt from 192.168.1.75 for user DZEN

 

Это лог с сервера, такое периодически проявляется с нескольких машин. .75 это та, которую мы с вами анализируем. 

[SQ]

6 hours ago, vanamingo said:

Это лог с сервера, такое периодически проявляется с нескольких машин. .75 это та, которую мы с вами анализируем. 

Уточните пожалуйста на этом компьютере вы используете виртуалки?

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.