Перейти к содержанию
Правила раздела

С некоторых машин в локальной сети идут постоянные попытки RDP подключения на сервер

vanamingo

От vanamingo
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Могли бы пожалуйста проверить следующий файл на virustotal.com
  

C:\USERS\DZEN\APPDATA\LOCAL\TEMP\TRAYICONCOMP.DLL

Уточните пожалуйста проблема постоянно воспроизводиться или в какой-то момент времени?

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

+ по логу похоже, что там куча файлов повреждена.

Скачайте этот скрипт, запустите стандартную проверку. Полученные логи потом выложите здесь.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
vanamingo Новичок

vanamingo

Опубликовано
  • Автор
Опубликовано
13.09.2021 в 18:28, SQ сказал:

Могли бы пожалуйста проверить следующий файл на virustotal.com
  


C:\USERS\DZEN\APPDATA\LOCAL\TEMP\TRAYICONCOMP.DLL

Уточните пожалуйста проблема постоянно воспроизводиться или в какой-то момент времени?

 

Файл проверил, вроде чист https://www.virustotal.com/gui/file/4788d6edca736b61d21975f81049a49352e855f23f6436b1d843fe702a663f08/detection

 

[2021-09-14 17:30:39] RDP: failed login attempt from 192.168.1.75 for user [Unknown]
 

этот ПК последний раз ломился 14-го числа. Есть пара машин, которая прям каждый день долбят.

 

14.09.2021 в 23:26, regist сказал:

+ по логу похоже, что там куча файлов повреждена.

Скачайте этот скрипт, запустите стандартную проверку. Полученные логи потом выложите здесь.

готово

logs.rar

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано
On 25.08.2021 at 03:17, vanamingo said:

Прокси не мой.


Добавил этот прокси-сервер в скрипт на удаление, в логах кроме ссылок на несуществующие объекты ничего вредоносного не заметил.

Выполните скрипт в uVS:
  

;uVS v4.11.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.127.1\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.141.1\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.189.1\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.241.1\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.27.29\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.27.33\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.295.1\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.335.1\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.51.1\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.57.1\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.59.1\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.75.1\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.35.453\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.32\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\DROPBOX\BIN\DROPBOX.EXE
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\DROPBOX\BIN\DROPBOXEXT.22.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\DROPBOX\BIN\DROPBOXEXT.24.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\DROPBOX\BIN\DROPBOXEXT.25.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\DROPBOX\BIN\DROPBOXEXT.28.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\DROPBOX\BIN\DROPBOXEXT.42.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.127.1\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.141.1\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.189.1\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.241.1\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.27.29\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.27.33\DROPBOXUPDATEONDEMAND.EXE
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.27.33\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.295.1\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.335.1\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.377.1\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.415.1\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.459.1\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.51.1\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.57.1\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.59.1\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.75.1\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.35.453\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.35.453\PSUSER_64.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.32\GOOGLEUPDATEONDEMAND.EXE
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.32\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.32\PSUSER_64.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.52\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.52\PSUSER_64.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.72\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.72\PSUSER_64.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.82\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.82\PSUSER_64.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\ROAMING\DROPBOX\BIN\117.4.378\DROPBOXOFFICEADDIN64.13.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\ROAMING\DROPBOX\BIN\117.4.378\DROPBOXOFFICEADDIN.13.DLL
delref 195.158.28.30:1080
restart

Уточните пожалуйста, агент zabbix, какие-сервисы проверяет на этом ПК?
Компьютер подключен к роутеру Mikrotik?

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано
5 часов назад, vanamingo сказал:

готово

согласно этому логу, системных там только два файла покорёжины и не критичные (проблема явно не из-за них).

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем
×
×
  • Создать...