4.0 KiB
4.0 KiB
Зеленоград — строительный магазин
Хосты
DESKTOP-6TF496J (касса/рабочая станция)
- Netbird IP: 100.70.40.152
- FQDN: desktop-6tf496j.netbird.cloud
- ОС: Windows 10 22H2 (build 19045.6456)
- Локальный пользователь:
пользователь(кириллица, не для SSH) - Админ для диагностики:
claude/Kl@udeD1ag!2026 - SSH:
ssh zelenograd(alias в~/.ssh/config, ключid_ed25519) - Netbird setup-key: Claude-Diag (
83301E74-6F86-4CBD-AF77-0C65730103CA)
Доступ
SSH (через Netbird)
ssh zelenograd
AnyDesk
- ID:
1989051750 - Пароль (unattended):
OL260380eg - Лицензия: free-1
- Установлен 2026-04-23 через CLI
--set-password
Инцидент безопасности 2026-04-23 🚨
Машина была заражена малварью (майнер/RAT, дата дропа 17–21.07.2023, скорее всего через пиратский "RePack" софт с других дисков).
Что найдено и удалено
| Артефакт | Путь |
|---|---|
| Папка малвари | C:\ProgramData\ReaItekHD\ (taskhost.exe 22МБ + taskhostw.exe 30МБ, hidden+system, unsigned) |
| Папка малвари | C:\ProgramData\Microsoft\gsbww\ (Game.exe, script.bat) |
| Папка малвари | C:\ProgramData\Windows Tasks Service\ (winserv.exe) |
| Run-key | HKLM\...\Run\Realtek HD Audio → ReaItekHD\taskhostw.exe (маскировка: I вместо l) |
| Scheduled Tasks (10) | \Microsoft\Windows\MasterDataV\{gsbww,RecoveryTask,RecoveryHosts}, \WindowsBackup\{CheckUP,MicrosoftCheck,OnlogonCheck,WinlogonCheck}, \Wininet\{1Hour,winser,winsers} |
| IFEO hijack | CompatTelRunner.exe → systray.exe (отключение телеметрии Windows) |
| Backdoor-юзер | John (создан 21.07.2023, админ, LastLogon пустой) |
| Отключенные службы | EventLog (!!), VSS, uhssvc, DPS, WerSvc, Wdi*, FontCache, SysMain, WSearch и ~30 других |
Что сделано
- Убиты процессы taskhost/taskhostw/winserv
- Удалены 10 scheduled tasks, Run-key, IFEO hijack, 3 папки, юзер John
- Восстановлены 13 критических служб + EventLog/wuauserv/BITS
sfc /scannow— найденные повреждённые файлы восстановленыDISM /RestoreHealth— образ восстановлен- Windows Update заработал, установил KB2267602 + Intel drivers
- Defender: PUA=Enabled, MAPS=Advanced, SubmitSamples=SendSafeSamples
- Quick Scan — чисто на C:\ (исторические детекты на L:\E: уже недоступны)
- Offline Scan запущен (ребут с проверкой до загрузки Windows)
SHA256 малвари (для протокола)
taskhostw.exe:55E9458828B56747B7B035C4731C6CC3A921BACCD9E21A75A649125707AA3853
Рекомендации
- Сменить пароли (1С, банк, почта, WiFi, онлайн-касса) — считать скомпрометированными
- Включить Tamper Protection через "Безопасность Windows" (GUI)
- Не ставить "RePack / Portable by X" — частый источник троянов (нашли следы IObit Driver Booster RePack, Ashampoo Portable)
- Регулярно мониторить — кто-то уже имел admin-доступ и создавал юзеров
Особенности доступа
- Локальный пользователь
пользователь(кириллица) — SSH нельзя - Создан админ
claude/Kl@udeD1ag!2026для диагностики - AnyDesk ID
1989051750/ парольOL260380eg(unattended, установлен через CLI)