Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) lohudra, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
В папке с AVZ появится архив карантина quarantine.zip, упакуйте его в архив с паролем, выложите на файлообменник или в облако и дайте ссылку с паролем в личном сообщении.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив и прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сделайте новые логи FRST.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
Результат сканирования Farbar Recovery Scan Tool (FRST) (x64) Версия: 25-02-2023
Запущено с помощью User (Администратор) на USER-ПК (27-02-2023 15:04:03)
Запущено из C:\FRST
Загруженные профили: User
Платформа: Microsoft Windows 7 Профессиональная Service Pack 1 (X64) Язык: Русский (Россия)
Браузер по умолчанию: Chrome
Режим загрузки: Normal
Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
На рабочем столе будет создан архив .ZIP с именем, состоящим из даты и времени выполнения исправления, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.
Взламывают, вероятнее всего, по RDP. Поменяйте пароли пользователей на сложные, задумайтесь о внедрении подключения по VPN.
Запрос на повышение прав для администраторов отключен
Запрос на повышение прав для обычных пользователей отключен ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Устанавливайте обязательно, это только критические хотфиксы, включая KB4012212, который закрывает опаснейшую уязвимость, используемую в т. ч. нашумевшими в 2017 году шифровальщики WannaCry и Petya/NotPetya, до сих пор активно используется шифровальщиками, майнерами и троянами для проникновения в систему.
Отключен общий профиль Брандмауэра Windows Отключен частный профиль Брандмауэра Windows
Брандмауэр лучше включить и настроить (не удалённо, конечно).
В журнале системы множество попыток подключения по RDP с иностранных адресов.
Сейчас ни в коем случае нельзя применять подключение р удалённому рабочему столу через интернет, без использования VPN или строгого ограничения по ip адресам на файрволе. Взломают, только вопрос времени.
В журнале системы множество попыток подключения по RDP с иностранных адресов.
Добрый день! Спасибо Большое! Систему обновил, патчи поставил. Подскажите пожалуйста, какие дальнейшие мои действия?
У нас на предприятии проходит тестирование, настроен проброс на локальный ip-адрес, с портом, плюс как вы говорите открыт rdp по внутренней сети до этого ПК. Буду отключать правило проброса на прокси, чтобы исключить брутфорса, отключу rdp
Последний раз редактировалось lohudra; 07.03.2023 в 14:23.