Перейти к содержанию
Правила раздела

С некоторых машин в локальной сети идут постоянные попытки RDP подключения на сервер

vanamingo

Автор vanamingo
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

SQ

SQ

Опубликовано
Опубликовано

Могли бы пожалуйста проверить следующий файл на virustotal.com
  

C:\USERS\DZEN\APPDATA\LOCAL\TEMP\TRAYICONCOMP.DLL

Уточните пожалуйста проблема постоянно воспроизводиться или в какой-то момент времени?

regist

regist

Опубликовано
Опубликовано

+ по логу похоже, что там куча файлов повреждена.

Скачайте этот скрипт, запустите стандартную проверку. Полученные логи потом выложите здесь.

  • Спасибо (+1) 1
vanamingo

vanamingo

Опубликовано
  • Автор
Опубликовано
13.09.2021 в 18:28, SQ сказал:

Могли бы пожалуйста проверить следующий файл на virustotal.com
  


C:\USERS\DZEN\APPDATA\LOCAL\TEMP\TRAYICONCOMP.DLL

Уточните пожалуйста проблема постоянно воспроизводиться или в какой-то момент времени?

 

Файл проверил, вроде чист https://www.virustotal.com/gui/file/4788d6edca736b61d21975f81049a49352e855f23f6436b1d843fe702a663f08/detection

 

[2021-09-14 17:30:39] RDP: failed login attempt from 192.168.1.75 for user [Unknown]
 

этот ПК последний раз ломился 14-го числа. Есть пара машин, которая прям каждый день долбят.

 

14.09.2021 в 23:26, regist сказал:

+ по логу похоже, что там куча файлов повреждена.

Скачайте этот скрипт, запустите стандартную проверку. Полученные логи потом выложите здесь.

готово

logs.rar

SQ

SQ

Опубликовано
Опубликовано
On 25.08.2021 at 03:17, vanamingo said:

Прокси не мой.


Добавил этот прокси-сервер в скрипт на удаление, в логах кроме ссылок на несуществующие объекты ничего вредоносного не заметил.

Выполните скрипт в uVS:
  

;uVS v4.11.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.127.1\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.141.1\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.189.1\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.241.1\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.27.29\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.27.33\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.295.1\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.335.1\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.51.1\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.57.1\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.59.1\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.75.1\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.35.453\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.32\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\DROPBOX\BIN\DROPBOX.EXE
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\DROPBOX\BIN\DROPBOXEXT.22.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\DROPBOX\BIN\DROPBOXEXT.24.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\DROPBOX\BIN\DROPBOXEXT.25.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\DROPBOX\BIN\DROPBOXEXT.28.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\DROPBOX\BIN\DROPBOXEXT.42.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.127.1\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.141.1\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.189.1\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.241.1\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.27.29\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.27.33\DROPBOXUPDATEONDEMAND.EXE
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.27.33\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.295.1\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.335.1\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.377.1\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.415.1\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.459.1\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.51.1\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.57.1\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.59.1\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.75.1\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.35.453\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.35.453\PSUSER_64.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.32\GOOGLEUPDATEONDEMAND.EXE
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.32\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.32\PSUSER_64.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.52\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.52\PSUSER_64.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.72\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.72\PSUSER_64.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.82\PSUSER.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.82\PSUSER_64.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\ROAMING\DROPBOX\BIN\117.4.378\DROPBOXOFFICEADDIN64.13.DLL
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\ROAMING\DROPBOX\BIN\117.4.378\DROPBOXOFFICEADDIN.13.DLL
delref 195.158.28.30:1080
restart

Уточните пожалуйста, агент zabbix, какие-сервисы проверяет на этом ПК?
Компьютер подключен к роутеру Mikrotik?

regist

regist

Опубликовано
Опубликовано
5 часов назад, vanamingo сказал:

готово

согласно этому логу, системных там только два файла покорёжины и не критичные (проблема явно не из-за них).

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • admin123
      Проводник грузит процессор постоянно на 50 %
      Автор admin123
      1. Проверял через Dr.Web cureit - Ничего не найдено, пишет, что чисто
      2. Вчера захожу в диспетчер задач, а тут проводник грузит ЦП на  50 % постоянно, открываю Threads в Proccec Explorer, там какая то dll.
      Ещё заметил одну особенность, при отключение интернета эта нагрузка пропадает, подскажите что делать, винду не хочу переустанавливать.

      CollectionLog-2026.01.12-00.34.zip
    • ahahahxdd
      помощь в удалении Trojan[dropper]:Python/Wacatac.C9nj
      Автор ahahahxdd
      По дурости открыл данную вещь без виртуальной машины, через x64dbg:
      https://www.virustotal com/gui/file/e450b7efc8b429b618d2d22a074a3dd55c07b451eef315e0e20be7d9054ef18c
      https://cloud.mail ru/public/kbre/tjmmsWNDM

      CollectionLog-2026.01.06-20.25.zip
      Успел уже сделать откат в точку восстановления винды
      В сэндбоксе было подключение TCP 130.12.181.70:7000

       
    • Dmitry2811
      [РЕШЕНО] trojanstarter,keysender, Трояны, майнеры, нацеплял за много лет
      Автор Dmitry2811
      сегодня играл в игру и обратил внимание, что в целом комп стал совсем слабо тянуть по производительности, потыкался в диспетчере задач с ЦП, все стало норм, обратил внимание что снова появились просадки, когда открывал диспетчер то все было ок, дальше самое интересное)))
      я начал изучать подробности и процессы и диспетчер сам начал закрываться, я сразу же полез в браузер качать антивирусы и все такое прочее, как вдруг браузер резко начал сам выключаться)) с командной строкой и диспетчером задач то же самое, после перезагрузки еле как успел врубить безопасный режим, скачал cureit, нашло 28 пунктов, далее будут на фото, сори что в таком качестве, я не знаю правильно сделал или нет что удалил их, но на нервяке был сильном, через AV block remover прогнал, удалил пользователя John, потом на второй раз прошел cureit, нашло одного трояна, и второй раз шлифанул через AVBR, через скрытый файл hosts вернул доступ к сайтам, прошу прощения что так расписал, но на таком нервяке сейчас…помогите пожалуйста, добить этот треш
       
    • Graf_Bender
      Словил майнер
      Автор Graf_Bender
      Добрый день. Скачал какойCollectionLog-2025.12.03-09.49.zip-то файл на комп и заметил что он стал сильно греться, проверил утилитой Dr.Web и обнаружил что на компе вирусня. Помогите плиз

    • Георгий123
      MEM: Trojan-PSW.Win32. Mimikatz.gen и Backdoor.Win32.Gulpix.gen
      Автор Георгий123
      Здравствуйте, уважаемые эксперты. Прошу вашей помощи, так как сам уже не справляюсь. Ситуация запутанная
       
      Моя история и что я делал:
       
       У меня установлен антивирус Huorong Internet Security. Пару месяцев недель назад он начал обнаруживать и отправлять в карантин подозрительные файлы по пути вроде C:\Windows\System Temp\chrome_Unpacker_BeginUnzipping...\UpdaterSetup.exe. Они появлялись пачками по 3-4 файла 
      Сегодня я выключил интернет кабель по рекомендациям, запустил Kaspersky Virus Removal Tool (KVRT). Он нашёл трояны и я попытался вылечить угрозу: MEM:Backdoor.Win32.Gulpix.gen.
      После лечения и перезагрузки KVRT снова проверил систему и обнаружил уже ДРУГИЕ угрозы:
         · Trojan.Win32.Dorma.aeph — расположение: C:\Users\[Моё_Имя]\Downloads\CCleaner Soft download load.exe 
         · MEM:Trojan-PSW.Win32.Mimikatz.gen 
      Я пробовал лечить и эти угрозы через KVRT, но после перезагрузки ситуация повторяется: антивирус снова находит Mimikatz.
      После 3 проверки опять появился тот самый бэкдор..
      Интернет кабель ещё не включал я думаю что если я включу обратно или там перезагружу компьютер и начну им пользоваться то это все появится лбратно
      Прошу вас помочь! Буду очень благодарен, не разбираюсь особо в этом, но жалко компьютер.. 
       
×
×
  • Создать...