Показано с 1 по 18 из 18.

на компах под Win2k появился доступ к папкам WINNT и SYSTEM32 для "ВСЕ" (заявка № 10464)

  1. #1
    Junior Member Репутация
    Регистрация
    18.06.2007
    Сообщений
    18
    Вес репутации
    35

    Question на компах под Win2k появился доступ к папкам WINNT и SYSTEM32 для "ВСЕ"

    У юзверей на 2000-ках на winnt права только группе everyone и полный доступ. такое же на system32. На компах под WINXP и 2003 все в норме.

    домен на 2k, антивирь TrendMicro (сейчас молчит, но периодически сообщает об удалении новых у юзверей)

    включил аудит на одной машине.

    прогнал secedit...установились права "setup security".

    Через полчаса смотрю, уже EVERYONE !!!!! на папки WINNT и SYSTEM32.

    мда... логи суперские...
    в 4 ночи. в 1 ночи..
    ----------------------
    Object Open:
    Object Server: Security Account Manager
    Object Type: SAM_SERVER
    Object Name: SAM
    New Handle ID: 747768
    Operation ID: {0,2630896}
    Process ID: 320
    Primary User Name: compName$
    Primary Domain: domainName
    Primary Logon ID: (0x0,0x3E7)
    Client User Name: compName$
    Client Domain: domainName
    Client Logon ID: (0x0,0x3E7)
    Accesses DELETE
    READ_CONTROL
    WRITE_DAC
    WRITE_OWNER
    ConnectToServer
    ShutdownServer
    InitializeServer
    CreateDomain
    EnumerateDomains
    LookupDomain

    Privileges -

    -------------------------
    Object Open:
    Object Server: Security Account Manager
    Object Type: SAM_DOMAIN
    Object Name: compName
    New Handle ID: 933304
    Operation ID: {0,2630904}
    Process ID: 320
    Primary User Name: compName$
    Primary Domain: domainName
    Primary Logon ID: (0x0,0x3E7)
    Client User Name: compName$
    Client Domain: domainName
    Client Logon ID: (0x0,0x3E7)
    Accesses DELETE
    READ_CONTROL
    WRITE_DAC
    WRITE_OWNER
    ReadPasswordParameters
    WritePasswordParameters
    ReadOtherParameters
    WriteOtherParameters
    CreateUser
    CreateLocalGroup
    GetLocalGroupMembership
    ListAccounts
    LookupIDs
    AdministerServer

    Privileges -

    В 16-40 через Secedit вернул права на папки к стандартным !!!
    в 17-23 пользователь SYSTEM сбросил права на Everyone !!!!


    начало в принципе тут
    http://forum.sysadmins.ru/25/166264/...er=asc&start=0
    Вложения Вложения

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Я бы проверил вот этот файлик:
    в AVZ выполнить скрипт. После перезагрузки прислать карантин. Ссылка для загрузки вверху.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('Ati2evxx.dll','');
    RebootWindows(true);
    end.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    18.06.2007
    Сообщений
    18
    Вес репутации
    35
    Пока еще не сделал, 6 сек.. НО

    у нас похоже троянчик сидит...
    на серваках по netstat ТАКОЕ ВЫДАЕТ !!!!!
    долбится на каждый сервак и комп с перебором портов !!!!
    а видать как находит и делает свое гнусное дело.
    вопрос: как от него избавиться? на всех сразу не отключая серваки.

  5. #4
    Junior Member Репутация
    Регистрация
    18.06.2007
    Сообщений
    18
    Вес репутации
    35
    скрипт запустил,
    карантин ПУСТ !!! :-((
    Файла такого в системе нет :-(((
    Последний раз редактировалось temichl; 18.06.2007 в 13:38.

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Это хорошо. Значит, охота не удалась.

    Надо думать. Не нравяться мне эти скрытые процессы. Попробуй снять список процессов всех по совету Bratez о доп. логе (см. раздел "Чаво")

    Кстати, вот еще что. Не видно в логах Guard от OfficeScan. экзешничек такой, с номерами вместо имени.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    18.06.2007
    Сообщений
    18
    Вес репутации
    35
    Цитата Сообщение от PavelA Посмотреть сообщение
    Это хорошо. Значит, охота не удалась.

    Надо думать. Не нравяться мне эти скрытые процессы. Попробуй снять список процессов всех по совету Bratez о доп. логе (см. раздел "Чаво")

    Кстати, вот еще что. Не видно в логах Guard от OfficeScan. экзешничек такой, с номерами вместо имени.
    Как было написано, отключил антивирусник. да. постоянно создаютя файлы с хитрым именем и цифрами. лежат в TEMP и изображение собаченции имеют. это ТрендМИкровские.

  8. #7
    Junior Member Репутация
    Регистрация
    18.06.2007
    Сообщений
    18
    Вес репутации
    35
    вот файлик.

    попробую прислать набор файлов с другого сервака, может он что прояснит.
    Вложения Вложения
    Последний раз редактировалось temichl; 18.06.2007 в 14:19.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    каждая система- новая тема ! Перенёс: http://virusinfo.info/showthread.php?t=10468

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    c:\winnt\temp\rh70f6.exe - или от тренд микро- или зверь под него косит, такое тоже возможно.на всякий случай запаковать ZIP с паролем virus и прислать по шапке вверху.

  11. #10
    Junior Member Репутация
    Регистрация
    18.06.2007
    Сообщений
    18
    Вес репутации
    35
    сделано...

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    @Drongo Файлик в карантине, то наверное с собачкой. В смысле иконка.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Цитата Сообщение от PavelA Посмотреть сообщение
    @Drongo Файлик в карантине, то наверное с собачкой. В смысле иконка.
    с первого взгляда чистый, хотя собака безродная, то есть нет подписи никакой
    http://www.virustotal.com/vt/en/resu...9181568fdc7ebf

  14. #13
    Junior Member Репутация
    Регистрация
    18.06.2007
    Сообщений
    18
    Вес репутации
    35
    Цитата Сообщение от drongo Посмотреть сообщение
    с первого взгляда чистый, хотя собака безродная, то есть нет подписи никакой
    http://www.virustotal.com/vt/en/resu...9181568fdc7ebf
    Извини, но страница не открывается...

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    У неё время жизни несколько часов.

  16. #15
    Junior Member Репутация
    Регистрация
    18.06.2007
    Сообщений
    18
    Вес репутации
    35
    Жаль, хотелось бы взглянуть... или скажите, что искать, сам поищу.

  17. #16
    Junior Member Репутация
    Регистрация
    18.06.2007
    Сообщений
    18
    Вес репутации
    35
    Итак.. продолжаем битву титанов мысли.
    На одном из серваков был отключен ТрендМикро (процесс с собачкой пропал сам), восстановлены стандартные права.
    на удивление в течении ВСЕГО дня права не были сброшены. однако утром все же EVERYONE появился ...
    чтобы такого сделать?

  18. #17
    Junior Member Репутация
    Регистрация
    18.06.2007
    Сообщений
    18
    Вес репутации
    35
    Победил, но странным способом...
    Выставил права на корень диска С, как в 2003 серваке... (в 2000-ке по умолчанию everyone )
    И все. сутки в норме.
    НО причина все еще не найдена. :-(

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,517
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) temichl, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 10
      Последнее сообщение: 17.01.2010, 01:37
    2. "Подфортило" Похоже Backdoor:WinNT/Rustock.H
      От sunic в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 05.12.2008, 10:12
    3. "c:\winnt\eksplorasi.exe"
      От medvedev в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 20.10.2008, 17:32
    4. Win2k появился доступ к папкам WINNT2
      От temichl в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 18.06.2007, 14:30

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00180 seconds with 23 queries