Приветствую уважаемый форум!
С удаленного компьютера идет брутфорс в домен.
Если комп перезагрузить, брутфорс прекращается. Позже может возобновиться через час, а может через пару дней.
Лог вложил.
Прошу помощи!
Спасибо!
Приветствую уважаемый форум!
С удаленного компьютера идет брутфорс в домен.
Если комп перезагрузить, брутфорс прекращается. Позже может возобновиться через час, а может через пару дней.
Лог вложил.
Прошу помощи!
Спасибо!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Reanimator177, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Здравствуйте.
Сначала определимся с терминами Удалённый компьютер - тот, с которого делались логи? Он не в локальной сети, подключается удалённо? Как именно
Домен - это сервер и компьютеры в локальной сети?
Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:Код:O22 - Tasks: \GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSystem141.0.7376.0{E6A308CA-6DAB-45B7-91A0-199452CE9AB6} - C:\Program Files (x86)\Google\GoogleUpdater\141.0.7376.0\updater.exe --wake --system (file missing) O22 - Tasks: Opera scheduled Autoupdate 1657716552 - C:\Users\admin.it2\AppData\Local\Programs\Opera\autoupdate\opera_autoupdate.exe --scheduledtask --bypasslauncher $(Arg0) (file missing)В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.Код:begin ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false); ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false); ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false); ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System[(EventID=1116)]]"', 0, 200000, false); ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-PowerShell/Operational" "Windows PowerShell.evtx"', 0, 200000, false); ExecuteFile('wevtutil.exe', 'epl "Doctor Web" "Doctor Web.evtx"', 0, 200000, false); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=128m Events.7z *.evtx', 1, 300000, false); ExitAVZ; end.
Обновите 7-Zip: Обнаружена уязвимость в 7-Zip, которую могут использовать в атаках на пользователей архиватора.
WBR,
Vadim
Ваши права в разделе
Ответить с цитированием
