Перейти к содержанию
Правила раздела

С некоторых машин в локальной сети идут постоянные попытки RDP подключения на сервер

vanamingo

Автор vanamingo
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

SQ

SQ

Опубликовано
Опубликовано

Могли бы пожалуйста проверить следующий файл на virustotal.com
  

C:\USERS\DZEN\APPDATA\LOCAL\TEMP\TRAYICONCOMP.DLL

Уточните пожалуйста проблема постоянно воспроизводиться или в какой-то момент времени?

regist

regist

Опубликовано
Опубликовано

+ по логу похоже, что там куча файлов повреждена.

Скачайте этот скрипт, запустите стандартную проверку. Полученные логи потом выложите здесь.

  • Спасибо (+1) 1
vanamingo

vanamingo

Опубликовано
  • Автор
Опубликовано
13.09.2021 в 18:28, SQ сказал:

Могли бы пожалуйста проверить следующий файл на virustotal.com
  


C:\USERS\DZEN\APPDATA\LOCAL\TEMP\TRAYICONCOMP.DLL

Уточните пожалуйста проблема постоянно воспроизводиться или в какой-то момент времени?

 

Файл проверил, вроде чист https://www.virustotal.com/gui/file/4788d6edca736b61d21975f81049a49352e855f23f6436b1d843fe702a663f08/detection

 

[2021-09-14 17:30:39] RDP: failed login attempt from 192.168.1.75 for user [Unknown]
 

этот ПК последний раз ломился 14-го числа. Есть пара машин, которая прям каждый день долбят.

 

14.09.2021 в 23:26, regist сказал:

+ по логу похоже, что там куча файлов повреждена.

Скачайте этот скрипт, запустите стандартную проверку. Полученные логи потом выложите здесь.

готово

logs.rar

SQ

SQ

Опубликовано
Опубликовано
On 25.08.2021 at 03:17, vanamingo said:

Прокси не мой.


Добавил этот прокси-сервер в скрипт на удаление, в логах кроме ссылок на несуществующие объекты ничего вредоносного не заметил.

Выполните скрипт в uVS:
  

;uVS v4.11.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.127.1\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.141.1\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.189.1\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.241.1\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.27.29\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.27.33\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.295.1\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.335.1\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.51.1\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.57.1\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.59.1\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.75.1\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.35.453\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.32\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\DROPBOX\BIN\DROPBOX.EXE
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\DROPBOX\BIN\DROPBOXEXT.22.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\DROPBOX\BIN\DROPBOXEXT.24.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\DROPBOX\BIN\DROPBOXEXT.25.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\DROPBOX\BIN\DROPBOXEXT.28.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\DROPBOX\BIN\DROPBOXEXT.42.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.127.1\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.141.1\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.189.1\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.241.1\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.27.29\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.27.33\DROPBOXUPDATEONDEMAND.EXE
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.27.33\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.295.1\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.335.1\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.377.1\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.415.1\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.459.1\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.51.1\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.57.1\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.59.1\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.75.1\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.35.453\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.35.453\PSUSER_64.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.32\GOOGLEUPDATEONDEMAND.EXE
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.32\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.32\PSUSER_64.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.52\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.52\PSUSER_64.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.72\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.72\PSUSER_64.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.82\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.82\PSUSER_64.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\ROAMING\DROPBOX\BIN\117.4.378\DROPBOXOFFICEADDIN64.13.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\ROAMING\DROPBOX\BIN\117.4.378\DROPBOXOFFICEADDIN.13.DLL
delref 195.158.28.30:1080
restart

Уточните пожалуйста, агент zabbix, какие-сервисы проверяет на этом ПК?
Компьютер подключен к роутеру Mikrotik?

regist

regist

Опубликовано
Опубликовано
5 часов назад, vanamingo сказал:

готово

согласно этому логу, системных там только два файла покорёжины и не критичные (проблема явно не из-за них).

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • raven34
      Вирус PDM:Trojan.Win32.Generic
      Автор raven34
      Здравствуйте. Качал CCleaner с официального сайта. Касперский обнаружил PDM:Trojan.Win32.Generic, и я применил лечение с перезагрузкой. 
      После перезагрузки установщик был удалён и комп работал как обычно, но мне всё равно немного тревожно.

      UPD: Случайно создал тему два раза. Извините 
       
      CollectionLog-2025.09.15-02.46.zip
    • booblick
      [РЕШЕНО] Не работает Центр обновления Windows, некоторые службы получили приставку _bkp, MEM:Trojan.Win32.SEPEH.gen
      Автор booblick
      После замены жесткого диска лазил по параметрам и заметил что в Центре обновления Windows пусто. Решил зайти в службы и заметил что у Центра обновления Windows и других служб появилась приставка _bkp.
       
      Скачал Kaspersky Virus Removal Tool и проверил ноутбук. В итоге он нашел 3 вредные программки среди которых был MEM:Trojan.Win32.SEPEH.gen, но вроде антивирус удалил его и после перезагрузки проведя повторную проверку этот троян не был обнаружен.
      CollectionLog-2025.09.14-21.03.zip
    • 321Максим123
      [РЕШЕНО] Майнер на компьютере
      Автор 321Максим123
      Здравствуйте. 

      Где-то подцепил майнер. Без диспетчера задач 100% работа ЦП, компьютер шумит. Скачал AV block remover. Установить удалось в безопасном режиме. Запустил скрип и получил отчет, который прикрепил к сообщению. После работы программы компьютер все равно требуется диспетчер. 
      AV_block_remove_2025.09.08-20.57.log
    • Maksim666
      Поймал троян
      Автор Maksim666
      Скачал файл для работы дискорда. На следующий день в играх почувствовал спад фпс. Проверил в антивирусе и увидел трояны. Снизу прикрепил логи.
      Check_Browsers_LNK.log HiJackThis.log info.txt log.txt report1.log report2.log
    • Maksim666
      Троян, нужна помощь с его устранением.
      Автор Maksim666
×
×
  • Создать...