obsidian auto-sync 2026-04-23 20:41:43

projects/zelenograd/README.md

@@ -24,7 +24,43 @@ ssh zelenograd
 - Лицензия: free-1
 - Установлен 2026-04-23 через CLI `--set-password`
 
-## Проблемы (2026-04-23)
-- Windows Update не работал — служба `EventLog` была **Disabled** + ~40 других служб отключены "оптимизатором". EventLog/wuauserv/BITS подняты, остальное требует восстановления (VSS, uhssvc, DPS, WerSvc, WdiServiceHost, WdiSystemHost, FontCache, SysMain, WSearch).
-- Окно ошибки Realtek HD — предположительно из-за отключенного FontCache / WerSvc.
-- Локальный пользователь `пользователь` (кириллица), для SSH нельзя — создан админ `claude`.
+## Инцидент безопасности 2026-04-23 🚨
+
+**Машина была заражена малварью** (майнер/RAT, дата дропа 17–21.07.2023, скорее всего через пиратский "RePack" софт с других дисков).
+
+### Что найдено и удалено
+| Артефакт | Путь |
+|---|---|
+| Папка малвари | `C:\ProgramData\ReaItekHD\` (taskhost.exe 22МБ + taskhostw.exe 30МБ, hidden+system, unsigned) |
+| Папка малвари | `C:\ProgramData\Microsoft\gsbww\` (Game.exe, script.bat) |
+| Папка малвари | `C:\ProgramData\Windows Tasks Service\` (winserv.exe) |
+| Run-key | `HKLM\...\Run\Realtek HD Audio` → `ReaItekHD\taskhostw.exe` (маскировка: **I** вместо l) |
+| Scheduled Tasks (10) | `\Microsoft\Windows\MasterDataV\{gsbww,RecoveryTask,RecoveryHosts}`, `\WindowsBackup\{CheckUP,MicrosoftCheck,OnlogonCheck,WinlogonCheck}`, `\Wininet\{1Hour,winser,winsers}` |
+| IFEO hijack | `CompatTelRunner.exe → systray.exe` (отключение телеметрии Windows) |
+| Backdoor-юзер | `John` (создан 21.07.2023, админ, LastLogon пустой) |
+| Отключенные службы | EventLog (!!), VSS, uhssvc, DPS, WerSvc, Wdi*, FontCache, SysMain, WSearch и ~30 других |
+
+### Что сделано
+- Убиты процессы taskhost/taskhostw/winserv
+- Удалены 10 scheduled tasks, Run-key, IFEO hijack, 3 папки, юзер John
+- Восстановлены 13 критических служб + EventLog/wuauserv/BITS
+- `sfc /scannow` — найденные повреждённые файлы восстановлены
+- `DISM /RestoreHealth` — образ восстановлен
+- Windows Update заработал, установил KB2267602 + Intel drivers
+- Defender: PUA=Enabled, MAPS=Advanced, SubmitSamples=SendSafeSamples
+- Quick Scan — чисто на C:\ (исторические детекты на L:\E: уже недоступны)
+- **Offline Scan** запущен (ребут с проверкой до загрузки Windows)
+
+### SHA256 малвари (для протокола)
+- `taskhostw.exe`: `55E9458828B56747B7B035C4731C6CC3A921BACCD9E21A75A649125707AA3853`
+
+### Рекомендации
+- **Сменить пароли** (1С, банк, почта, WiFi, онлайн-касса) — считать скомпрометированными
+- Включить Tamper Protection через "Безопасность Windows" (GUI)
+- Не ставить "RePack / Portable by X" — частый источник троянов (нашли следы IObit Driver Booster RePack, Ashampoo Portable)
+- Регулярно мониторить — кто-то уже имел admin-доступ и создавал юзеров
+
+### Особенности доступа
+- Локальный пользователь `пользователь` (кириллица) — SSH нельзя
+- Создан админ `claude` / `Kl@udeD1ag!2026` для диагностики
+- AnyDesk ID `1989051750` / пароль `OL260380eg` (unattended, установлен через CLI)