# Зеленоград — строительный магазин

## Хосты

### DESKTOP-6TF496J (касса/рабочая станция)
- **Netbird IP:** 100.70.40.152
- **FQDN:** desktop-6tf496j.netbird.cloud
- **ОС:** Windows 10 22H2 (build 19045.6456)
- **Локальный пользователь:** `пользователь` (кириллица, не для SSH)
- **Админ для диагностики:** `claude` / `Kl@udeD1ag!2026`
- **SSH:** `ssh zelenograd` (alias в `~/.ssh/config`, ключ `id_ed25519`)
- **Netbird setup-key:** Claude-Diag (`83301E74-6F86-4CBD-AF77-0C65730103CA`)

## Доступ

### SSH (через Netbird)
```bash
ssh zelenograd
```

### AnyDesk
- **ID:** `1989051750`
- **Пароль (unattended):** `OL260380eg`
- Лицензия: free-1
- Установлен 2026-04-23 через CLI `--set-password`

## Инцидент безопасности 2026-04-23 🚨

**Машина была заражена малварью** (майнер/RAT, дата дропа 17–21.07.2023, скорее всего через пиратский "RePack" софт с других дисков).

### Что найдено и удалено
| Артефакт | Путь |
|---|---|
| Папка малвари | `C:\ProgramData\ReaItekHD\` (taskhost.exe 22МБ + taskhostw.exe 30МБ, hidden+system, unsigned) |
| Папка малвари | `C:\ProgramData\Microsoft\gsbww\` (Game.exe, script.bat) |
| Папка малвари | `C:\ProgramData\Windows Tasks Service\` (winserv.exe) |
| Run-key | `HKLM\...\Run\Realtek HD Audio` → `ReaItekHD\taskhostw.exe` (маскировка: **I** вместо l) |
| Scheduled Tasks (10) | `\Microsoft\Windows\MasterDataV\{gsbww,RecoveryTask,RecoveryHosts}`, `\WindowsBackup\{CheckUP,MicrosoftCheck,OnlogonCheck,WinlogonCheck}`, `\Wininet\{1Hour,winser,winsers}` |
| IFEO hijack | `CompatTelRunner.exe → systray.exe` (отключение телеметрии Windows) |
| Backdoor-юзер | `John` (создан 21.07.2023, админ, LastLogon пустой) |
| Отключенные службы | EventLog (!!), VSS, uhssvc, DPS, WerSvc, Wdi*, FontCache, SysMain, WSearch и ~30 других |

### Что сделано
- Убиты процессы taskhost/taskhostw/winserv
- Удалены 10 scheduled tasks, Run-key, IFEO hijack, 3 папки, юзер John
- Восстановлены 13 критических служб + EventLog/wuauserv/BITS
- `sfc /scannow` — найденные повреждённые файлы восстановлены
- `DISM /RestoreHealth` — образ восстановлен
- Windows Update заработал, установил KB2267602 + Intel drivers
- Defender: PUA=Enabled, MAPS=Advanced, SubmitSamples=SendSafeSamples
- Quick Scan — чисто на C:\ (исторические детекты на L:\E: уже недоступны)
- **Offline Scan** запущен (ребут с проверкой до загрузки Windows)

### SHA256 малвари (для протокола)
- `taskhostw.exe`: `55E9458828B56747B7B035C4731C6CC3A921BACCD9E21A75A649125707AA3853`

### Рекомендации
- **Сменить пароли** (1С, банк, почта, WiFi, онлайн-касса) — считать скомпрометированными
- Включить Tamper Protection через "Безопасность Windows" (GUI)
- Не ставить "RePack / Portable by X" — частый источник троянов (нашли следы IObit Driver Booster RePack, Ashampoo Portable)
- Регулярно мониторить — кто-то уже имел admin-доступ и создавал юзеров

### Особенности доступа
- Локальный пользователь `пользователь` (кириллица) — SSH нельзя
- Создан админ `claude` / `Kl@udeD1ag!2026` для диагностики
- AnyDesk ID `1989051750` / пароль `OL260380eg` (unattended, установлен через CLI)