Показано с 1 по 9 из 9.

Чистка компьютера от вирусов (заявка № 228414)

  1. #1
    Junior Member Репутация
    Регистрация
    26.01.2010
    Сообщений
    38
    Вес репутации
    58

    Чистка компьютера от вирусов

    Добрый день.
    Злоумышленник взломал компьютер (скорее всего путем подбора пароля), удалил антивирус, установил свои программы (DiskCryptor + для удаленного доступа "mesh", который я уже удалил). На некоторых компьютерах в сети был найден mimikatz.
    Зловред запускался периодически через планировщик задач (пока не смог найти какую именно задачу) и политику active directory (пока так же не смог найти). В результате чего компьютер в сети после включения через некоторое время подвергались шифрованию.
    Прошу помочь очистить компьютер от вируса и/или его остатков.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,289
    Вес репутации
    384
    Уважаемый(ая) gygabyte, спасибо за обращение на наш форум!

    Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,577
    Вес репутации
    1086
    Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:
    Код:
    O23 - Driver R: (no name) - C:\Windows\system32\drivers\dcrypt.sys (file missing)
    O23 - Driver R: (no name) - C:\Windows\System32\Drivers\dump_dcrypt.sys (file missing)
    O23 - Driver R: (no name) - C:\Windows\System32\Drivers\dump_FLTMGR.SYS (file missing)
    Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

    Нажмите кнопку Сканировать.

    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

    Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:
    Код:
    begin
     ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
     ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
     ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
     ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System [(EventID=1116)]]"', 0, 200000, false);
     ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=64m Events.7z *.evtx', 1, 300000, false);
    ExitAVZ;
    end.
    В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    26.01.2010
    Сообщений
    38
    Вес репутации
    58
    Все сделал согласно инструкции
    Events.7z тут:
    https://disk.yandex.ru/d/8UhyxdiS6HzK2w
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,577
    Вес репутации
    1086
    В планировщике чисто, следов зловредов не видно. В журнале безопасности ничего интересного, начинается он с 12.12.2023 - взлом, видимо, раньше был?
    На контроллере домена выполните экспорт политик командой:
    gpresult /v >%USERPROFILE%\desktop\policy.txt

    Файл policy.txt с рабочего стола упакуйте в архив и прикрепите к сообщению.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    26.01.2010
    Сообщений
    38
    Вес репутации
    58
    Взлом был в ночь с 30.11 на 01.12
    Вложения Вложения
    • Тип файла: zip policy.zip (227 байт, 2 просмотров)

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,577
    Вес репутации
    1086
    В политиках пусто, журнала безопасности за это время нет, так что только общие рекомендации.

    Сменить всем пользователям пароли, установите сложные.
    Убрать права администратора у всех пользователей, кому они действительно не необходимы, при грамотной настройке прав всем они не нужны.
    Использовать нетипичные не словарные имена пользователей для доступа по RDP: Buhgalter, backup, dispetcher - это всё тривиальные варианты.
    Задуматься о внедрении VPN для доступа в локальную сеть. Без этого крайне желательно ограничить доступ по RDP на маршрутизаторе по белому списку сетей, из которых соединяются удалённо.
    Обновить систему на серверах и клиентских ПК.
    Агент администрирования Kaspersky Security Center установлен ещё в июле, это именно средство администрирования, а собственноантивирус есть? Он как-то реагировал при взломе?
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    26.01.2010
    Сообщений
    38
    Вес репутации
    58
    Рекомендации выполняем.
    VPN сделали, ОСь уже почти везде обновили (в первую очередь на серверах), ставим защиту от подбора паролей.
    У нас была программа архивации effector saver. Говорят, что из нее пароль вытащить достаточно просто (я не знаю как, может через разработчиков как-то). Так вот у этой учетки для бэкапов были доменные админ права, ну а дальше "делай что хочешь".
    Сам антивирус конечно был, но, имея админ права, его похоже просто удалили.
    Как я могу отблагодарить вас за помощь?
    И есть ли у вас услуга что-то типа "диагностика системы защиты информации", чтобы понять где и какие у нас еще "дыры" в безопасности?

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,577
    Вес репутации
    1086
    Цитата Сообщение от gygabyte Посмотреть сообщение
    И есть ли у вас услуга что-то типа "диагностика системы защиты информации", чтобы понять где и какие у нас еще "дыры" в безопасности?
    Это уже сервис несколько другого уровня, есть конторы, которые занимаются этим профессионально, Positive Technologies и более мелкие.
    Для несерверных систем можно провериться программоё SecurityCheck by glax24 & Severnyj - в логе будет информация. что нужно обновить и поправить.
    WBR,
    Vadim

Похожие темы

  1. Ответов: 11
    Последнее сообщение: 19.08.2015, 11:47
  2. Чистка от вирусов.
    От BioDee в разделе Помогите!
    Ответов: 10
    Последнее сообщение: 31.12.2009, 23:59
  3. Чистка от вирусов
    От 100Helsov в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 31.12.2009, 18:23
  4. Чистка от вирусов ;)
    От AHTOLLlKA в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 25.07.2008, 14:37

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00703 seconds with 17 queries