Показано с 1 по 11 из 11.

Идет брутфорс с этого компа (заявка № 226758)

  1. #1
    Junior Member Репутация
    Регистрация
    07.07.2008
    Сообщений
    225
    Вес репутации
    59

    Идет брутфорс с этого компа

    Приветствую уважаемый форум!

    Прошу помощи. С компьютера идет брутфорс в домен.
    Лог прилагаю.
    Заранее Спасибо!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Reanimator177, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:
    Код:
    begin
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
     ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
     ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
     ExecuteFile('wevtutil.exe', 'epl Security security.evtx', 0, 200000, false);
     ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=48m Events.7z *.evtx', 1, 300000, false);
    ExecuteWizard('SCU',2,2,true);
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

    Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
    Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
    Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

    Приложите этот файл к своему следующему сообщению.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    07.07.2008
    Сообщений
    225
    Вес репутации
    59
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:
    Код:
    begin
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
     ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
     ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
     ExecuteFile('wevtutil.exe', 'epl Security security.evtx', 0, 200000, false);
     ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=48m Events.7z *.evtx', 1, 300000, false);
    ExecuteWizard('SCU',2,2,true);
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

    Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
    Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
    Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

    Приложите этот файл к своему следующему сообщению.
    Events.7z

    После выполнения скрипта чистки и перезагрузки брутфорс прекратился. По логам понял, что надо переустанавливать ESET. Комп удаленный, поэтому пока этого сделать не могу.
    Все рекомендованные действия выполнил и приложил логи.
    Спасибо!

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Не нужно полностью цитировать сообщения, это ухудшает читаемость темы, просто пишите в окне "Быстрый ответ".

    Версия ESET Endpoint Security устаревшая, текущий билд - 5.0.2272.7, а актуальна вообще 8-я версия.

    WinRAR 4.10 бета 4 (64-разрядная) v.4.10.4 Внимание! Скачать обновления
    Архиваторы тоже используются в нехороших целях, обновите:
    Дыра в WinRAR более 19 лет угрожала 500 миллионам пользователей.
    Уязвимость в WinRAR активно эксплуатируется злоумышленниками.

    Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
    Рекомендую сменить администраторские пароли на сложные.

    Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

    Нажмите кнопку Сканировать.

    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    07.07.2008
    Сообщений
    225
    Вес репутации
    59
    Сделал

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Неполный лог, переделайте, пожалуйста.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    07.07.2008
    Сообщений
    225
    Вес репутации
    59
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Неполный лог, переделайте, пожалуйста.
    Переделал

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Выделите и скопируйте в буфер обмена следующий код:
    Код:
    Start::
    Virustotal: C:\Windows\system32\winload.efi
    File: C:\Windows\system32\winload.efi
    End::
    Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    WBR,
    Vadim

  11. Это понравилось:


  12. #10
    Junior Member Репутация
    Регистрация
    07.07.2008
    Сообщений
    225
    Вес репутации
    59
    Сделал

  13. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Каких-то следов эксплоитов, утилит взлома не видно. Или всё уже подчистили всё, или был один из видов бесфайловой атаки.
    WBR,
    Vadim

  14. Это понравилось:


Похожие темы

  1. Ответов: 2
    Последнее сообщение: 13.04.2018, 02:43
  2. с этого компа идут атаки по сети
    От RocketMan в разделе Помогите!
    Ответов: 8
    Последнее сообщение: 10.07.2010, 20:50
  3. Отправка спама с этого компа по ICQ
    От Andy_Hunter в разделе Помогите!
    Ответов: 9
    Последнее сообщение: 30.04.2009, 14:37
  4. Атака с этого компа
    От Andy_Hunter в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 11.04.2009, 11:20
  5. C компа идет спам
    От Dron696 в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 22.02.2009, 08:47

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00067 seconds with 19 queries