8 ответов в этой теме

[mi5rys]

Здравствуйте

Есть сервер виндовс 2019

С одной локальной машины постоянно идет попытка авторизация на нем попадает в АУДИТ отказа, с одной и той же локальной машины при этом каждая следующая попытка делает Порт источника на 1 больше предыдущего. На локальной машине выявить ничего не получается

https://disk.yandex.ru/d/uVoNf3fgQ0dl0w

 2024-11-21_12-15-49.png   632,8К   0 Скачано раз  2024-11-21_12-15-22.png   46,62К   0 Скачано раз

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Дождитесь окончания работы сканера Dr. Web или CureIt!, прежде, чем запускать DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист. Так как логи могут иметь большой объём, превышающий ограничения форума, то рекомендуем закачать их на какой-нибудь файлообменник, а на форуме указать ссылку.

2. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];

[Alexander007]

Добрый день! Подготовьтесь FRST /Addiction - log посмотрим отчет .

 

По возможности порты закрыли - злоумышленники / майнеры  ( Но для детальной отчета -побольше выявить это спец FRSt и Dr,Sysinfo ...)

Сообщение было изменено Alexander007: 21 Ноябрь 2024 - 20:04

[mi5rys]

Добрый день! Подготовьтесь FRST /Addiction - log посмотрим отчет .

 

По возможности порты закрыли - злоумышленники / майнеры  ( Но для детальной отчета -побольше выявить это спец FRSt и Dr,Sysinfo ...)

Что то не совсем понял что надо сделать. 

[Alexander007]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[mi5rys]

Сегодня такиежа попытки входа начались с еще нескольких локальных машин... все тоже самое смена портов..

Прикрепленные файлы:

•  Addition.txt   85,89К   7 Скачано раз
•  FRST.txt   45,46К   5 Скачано раз

[Alexander007]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::

CreateRestorePoint:

CloseProcesses:

Virusscan: C:\Program Files (x86)\Common Files\Autodesk Shared\Network License Manager\adskflex.exe

Virusscan: C:\ProgramData\Tenorshare\Service\TenorshareUpdateAssistant.exe

Virusscan: C:\Windows\system32\pdfcmon.dll

HKLM-x32\...\Run: [] => [X]

HKU\S-1-5-21-3376671446-1666229863-4157894722-1001\...\Run: [YandexBrowserAutoLaunch_B64B7D5D07784CD66F00CA43360BB68B] => "C:\Users\User\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)

HKU\S-1-5-21-3376671446-1666229863-4157894722-1001\...\Policies\Explorer: [] 

Task: {1F987E41-50D2-4513-A886-C53458F420FE} - System32\Tasks\ASUS\P508PowerAgent_sdk => C:\Program Files (x86)\ASUS\ArmouryDevice\dll\ShareFromArmouryIII\Mouse\ROG STRIX CARRY\P508PowerAgent.exe  (Нет файла)

Edge Extension: (Edge relevant text changes) - C:\Users\User\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\jmjflgjpcpepeafmmgdpfkogkghcpiha [2024-01-24]

Edge HKLM-x32\...\Edge\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]

CHR HKU\S-1-5-21-3376671446-1666229863-4157894722-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]

CHR HKU\S-1-5-21-3376671446-1666229863-4157894722-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]

CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]

CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog

S3 cpuz154; \??\C:\Windows\temp\cpuz154\cpuz154_x64.sys [X] <==== ВНИМАНИЕ

R3 cpuz157; C:\Windows\temp\cpuz157\cpuz157_x64.sys [43568 2024-11-21] (Microsoft Windows Hardware Compatibility Publisher -> CPUID) <==== ВНИМАНИЕ

CustomCLSID: HKU\S-1-5-21-3376671446-1666229863-4157894722-1001_Classes\CLSID\{13357088-9834-0409-1600-134951500000}\localserver32 -> "C:\Program Files\Adobe\Acrobat DC\Acrobat\ADNotificationManager.exe" -ToastActivated => Нет файла

 

CustomCLSID: HKU\S-1-5-21-3376671446-1666229863-4157894722-1001_Classes\CLSID\{345D3165-3889-4694-AB75-A91A27B217E8}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2024\acad.exe => Нет файла

CustomCLSID: HKU\S-1-5-21-3376671446-1666229863-4157894722-1001_Classes\CLSID\{38142727-3008-9161-1521-349515000000}\localserver32 -> "C:\Program Files\Adobe\Acrobat DC\Acrobat\ADNotificationManager.exe" -ToastActivated => Нет файла

CustomCLSID: HKU\S-1-5-21-3376671446-1666229863-4157894722-1001_Classes\CLSID\{8B4929F8-076F-4AEC-AFEE-8928747B7AE3}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2024\acad.exe /Automation => Нет файла

 

CustomCLSID: HKU\S-1-5-21-3376671446-1666229863-4157894722-1001_Classes\CLSID\{AA46BA8A-9825-40FD-8493-0BA3C4D5CEB5}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2024\acad.exe /Automation => Нет файла

CustomCLSID: HKU\S-1-5-21-3376671446-1666229863-4157894722-1001_Classes\CLSID\{AF18D91C-A699-4578-ADC6-972F3BA007F0}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2024\acad.exe /Automation => Нет файла

Shortcut: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Калькулятор\Деинсталляция Калькулятор.lnk -> C:\Program Files\Base\Foundation\Uninstal.exe (Нет файла) <==== Cyrillic

Shortcut: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Калькулятор\Калькулятор.lnk -> C:\Program Files\Base\Foundation\CalcK.exe (Нет файла) <==== Cyrillic

HKLM\...\StartupApproved\StartupFolder: => "Wondershare PEToolbox.lnk"

HKLM\...\StartupApproved\StartupFolder: => "Wondershare PEScreenshot.lnk"

HKLM\...\StartupApproved\Run: => "SecurityHealth"

HKLM\...\StartupApproved\Run: => "pac"

HKLM\...\StartupApproved\Run32: => "APSDaemon"

HKU\S-1-5-21-3376671446-1666229863-4157894722-1001\...\StartupApproved\Run: => "MicrosoftEdgeAutoLaunch_C46CFC0629905CC775E70B50EA8A519C"

HKU\S-1-5-21-3376671446-1666229863-4157894722-1001\...\StartupApproved\Run: => "OneDrive"

HKU\S-1-5-21-3376671446-1666229863-4157894722-1001\...\StartupApproved\Run: => "YandexDisk2"

HKU\S-1-5-21-3376671446-1666229863-4157894722-1001\...\StartupApproved\Run: => "Adobe Acrobat Synchronizer"

HKU\S-1-5-21-3376671446-1666229863-4157894722-1001\...\StartupApproved\Run: => "MediaGet2"

HKU\S-1-5-21-3376671446-1666229863-4157894722-1001\...\StartupApproved\Run: => "Opera Stable"

HKU\S-1-5-21-3376671446-1666229863-4157894722-1001\...\StartupApproved\Run: => "YandexBrowserAutoLaunch_B64B7D5D07784CD66F00CA43360BB68B"

FirewallRules: [{7A8EC1CD-1532-4CDD-B93D-C91A0D6E47B9}] => (Allow) LPort=9422

FirewallRules: [{88D331BC-1BDF-4BDE-9B9D-8C7C6589214E}] => (Allow) LPort=9245

FirewallRules: [{F4E1060E-B935-43FB-B2EB-267C66C1A8D1}] => (Allow) LPort=9246

FirewallRules: [{2B2B30C1-B3E0-4F4B-91FA-FCCE0C3530F9}] => (Allow) LPort=9247

FirewallRules: [{E6BE28D5-BA76-4E72-8548-8E5A222C28F0}] => (Allow) C:\Users\User\MediaGet2\mediaget.exe => Нет файла

FirewallRules: [{049AA255-B07F-470B-AFDA-1C0757484254}] => (Allow) C:\Users\User\MediaGet2\mediaget.exe => Нет файла

FirewallRules: [{83BC4B66-2CE0-4973-AE02-6298E0B07057}] => (Allow) C:\Users\User\MediaGet2\QtWebEngineProcess.exe => Нет файла

FirewallRules: [{954FE14B-3DFC-446C-AEFF-A88F38522F30}] => (Allow) C:\Users\User\MediaGet2\QtWebEngineProcess.exe => Нет файла

FirewallRules: [TCP Query User{DADABA64-B8E7-4B55-8449-2B86DA7B7393}C:\program files\transmission\transmission-qt.exe] => (Block) C:\program files\transmission\transmission-qt.exe => Нет файла

FirewallRules: [UDP Query User{C1078566-454C-4EC3-99DD-06726A1874C2}C:\program files\transmission\transmission-qt.exe] => (Block) C:\program files\transmission\transmission-qt.exe => Нет файла

FirewallRules: [{D7F4517F-5D40-4A45-8729-0BB4B98CF487}] => (Allow) C:\Program Files (x86)\Tenorshare\Tenorshare 4DDiG\Monitor\Monitor.exe => Нет файла

FirewallRules: [{05E9A6C9-BCA9-45FF-BFA0-B56C4DC5CCAC}] => (Allow) C:\Program Files (x86)\Tenorshare\Tenorshare 4DDiG\Monitor\Monitor.exe => Нет файла

FirewallRules: [{0B2C765A-0874-4AE7-A8BA-E8A6689DDBC9}] => (Allow) C:\Program Files (x86)\Tenorshare\Tenorshare 4DDiG\NASConnecter.exe => Нет файла

FirewallRules: [{C0ED18BC-2F73-49F7-9426-686C9E312E83}] => (Allow) C:\Program Files (x86)\Tenorshare\Tenorshare 4DDiG\NASConnecter.exe => Нет файла

FirewallRules: [{407D3044-A839-484A-8ECF-FAB45E9679B7}] => (Allow) C:\Program Files\EaseUS\EaseUS Data Recovery Wizard\DRWUI.exe => Нет файла

HKU\S-1-5-21-3376671446-1666229863-4157894722-1001\Software\Classes\.scr: AutoCADScriptFile => C:\Windows\system32\notepad.exe "%1"

ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions

Reboot:

End::

 

 

 

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.

3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

[gorgia07]

Добрый день. Подскажите пожалуйста как решить подобную проблему? Точно такие же симптомы (на домене фиксируется в интервалом в 1.5 часа более 20 неудачный попыток авторизации с локальной машины с локальной учетной записью (единственное отличие - порт меняется тоже с периодичностью в 1.5 часа).

[VVS]

Добрый день. Подскажите пожалуйста как решить подобную проблему?

Путём создания новой темы и приложения в ней необходимой информации.