knowledge-base/projects/zelenograd

type, status, tags, aliases

type	status	tags	aliases
project	active	zelenograd client retail kassa windows	Зеленоград zelenograd DESKTOP-6TF496J desktop-6tf496j стройматериалы касса

Зеленоград — строительный магазин

Хосты

DESKTOP-6TF496J (касса/рабочая станция)

• Netbird IP: 100.70.40.152
• FQDN: desktop-6tf496j.netbird.cloud
• ОС: Windows 10 22H2 (build 19045.6456)
• Локальный пользователь: пользователь (кириллица, не для SSH)
• Админ для диагностики: claude / Kl@udeD1ag!2026
• SSH: ssh zelenograd (alias в ~/.ssh/config, ключ id_ed25519)
• Netbird setup-key: Claude-Diag (83301E74-6F86-4CBD-AF77-0C65730103CA)

Доступ

SSH (через Netbird)

ssh zelenograd

AnyDesk

• ID: 1989051750
• Пароль (unattended): OL260380eg
• Лицензия: free-1
• Установлен 2026-04-23 через CLI --set-password

Инцидент безопасности 2026-04-23 🚨

Машина была заражена малварью (майнер/RAT, дата дропа 17–21.07.2023, скорее всего через пиратский "RePack" софт с других дисков).

Что найдено и удалено

Артефакт	Путь
Папка малвари	C:\ProgramData\ReaItekHD\ (taskhost.exe 22МБ + taskhostw.exe 30МБ, hidden+system, unsigned)
Папка малвари	C:\ProgramData\Microsoft\gsbww\ (Game.exe, script.bat)
Папка малвари	C:\ProgramData\Windows Tasks Service\ (winserv.exe)
Run-key	HKLM\...\Run\Realtek HD Audio → ReaItekHD\taskhostw.exe (маскировка: I вместо l)
Scheduled Tasks (10)	\Microsoft\Windows\MasterDataV\{gsbww,RecoveryTask,RecoveryHosts}, \WindowsBackup\{CheckUP,MicrosoftCheck,OnlogonCheck,WinlogonCheck}, \Wininet\{1Hour,winser,winsers}
IFEO hijack	CompatTelRunner.exe → systray.exe (отключение телеметрии Windows)
Backdoor-юзер	John (создан 21.07.2023, админ, LastLogon пустой)
Отключенные службы	EventLog (!!), VSS, uhssvc, DPS, WerSvc, Wdi*, FontCache, SysMain, WSearch и ~30 других

Что сделано

• Убиты процессы taskhost/taskhostw/winserv
• Удалены 10 scheduled tasks, Run-key, IFEO hijack, 3 папки, юзер John
• Восстановлены 13 критических служб + EventLog/wuauserv/BITS
• sfc /scannow — найденные повреждённые файлы восстановлены
• DISM /RestoreHealth — образ восстановлен
• Windows Update заработал, установил KB2267602 + Intel drivers
• Defender: PUA=Enabled, MAPS=Advanced, SubmitSamples=SendSafeSamples
• Quick Scan — чисто на C:\ (исторические детекты на L:\E: уже недоступны)
• Offline Scan запущен (ребут с проверкой до загрузки Windows)

SHA256 малвари (для протокола)

• taskhostw.exe: 55E9458828B56747B7B035C4731C6CC3A921BACCD9E21A75A649125707AA3853

Рекомендации

• Сменить пароли (1С, банк, почта, WiFi, онлайн-касса) — считать скомпрометированными
• Включить Tamper Protection через "Безопасность Windows" (GUI)
• Не ставить "RePack / Portable by X" — частый источник троянов (нашли следы IObit Driver Booster RePack, Ashampoo Portable)
• Регулярно мониторить — кто-то уже имел admin-доступ и создавал юзеров

Особенности доступа

• Локальный пользователь пользователь (кириллица) — SSH нельзя
• Создан админ claude / Kl@udeD1ag!2026 для диагностики
• AnyDesk ID 1989051750 / пароль OL260380eg (unattended, установлен через CLI)