Показано с 1 по 12 из 12.

Установка пароля на антивирус + самопроизвольная блокировка пользователей (заявка № 166265)

  1. #1
    Junior Member Репутация
    Регистрация
    28.08.2014
    Сообщений
    13
    Вес репутации
    10

    Установка пароля на антивирус + самопроизвольная блокировка пользователей

    ОС — Windows Server 2008 R2 Standard SP1.
    Антивирус — ESET NOD32 Antivirus 4 Business Edition.
    Сервер используется как сервер терминалов для 1С.


    Месяц назад сервер подцепил пару-тройку вирусов + блокиратор, которые были вычищены с помощью DrWeb CureIt в безопасном режиме. Но такое ощущение, что какие-то "хвосты" остались.
    Иногда проявляются следующие проблемы:
    1. Терминальные пользователи блокируются. Просто сама по себе устанавливается галочка "Заблокировать пользователя".
    2. Устанавливается пароль на ESET NOD32 Antivirus 4 Business Edition. Сам по себе. Помогает только снос в безопасном режиме через утилиту удаления и установка с нуля.


    Сделал анализ с помощью AVZ и HijackThis. Прикладываю логи. Хочется до конца вычистить "заразу".


    Заранее спасибо.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,252
    Вес репутации
    332
    Уважаемый(ая) sargon, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    24,283
    Вес репутации
    792
    Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

    Доступ к серверу через RDP у удалённых пользователей есть? Меняйте им пароли на сложные, отбирайте администраторские права, они им не нужны. На папки, куда они должны иметь право записи, или полные права, например, на папки с базами 1С, выделите разрешения через закладку "Безопасность" в свойствах папки.

    Брандмауэр системный включён?
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    28.08.2014
    Сообщений
    13
    Вес репутации
    10
    Можно ли сделать полный образ автозапуска uVS, подключившись по RDP? Нет возможности добраться до сервера, чтобы сделать данную процедуру локально.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    24,283
    Вес репутации
    792
    Делайте.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    28.08.2014
    Сообщений
    13
    Вес репутации
    10
    Образ автозапуска прикрепил во вложениях.

    Доступ по RDP у удаленных пользователей есть. Админские пароли все поменяны. Брэндмауэр включен.
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    24,283
    Вес репутации
    792
    Надеюсь, AmmyyAdmin C:\USERS\GORLENKOVA\DOWNLOADS\AA_V3.EXE - на вас работает?

    Отпишите мне в личку внешний ip, по которому есть доступ снаружи к серверу, проверю на уязвимости, нежно, ничего не уроню. Судя по блокировкам терминальных пользователей, брутфорсят снаружи.
    WBR,
    Vadim

  9. Это понравилось:


  10. #8
    Junior Member Репутация
    Регистрация
    28.08.2014
    Сообщений
    13
    Вес репутации
    10
    Да, Ammyy Admin раньше использовался для удаленного доступа из вне.

    Остальную информацию скинул в личку.

  11. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    24,283
    Вес репутации
    792
    Теперь вид снаружи вселяет оптимизм

    Выполните скрипт в AVZ при наличии доступа в интернет:
    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
    WBR,
    Vadim

  12. #10
    Junior Member Репутация
    Регистрация
    28.08.2014
    Сообщений
    13
    Вес репутации
    10
    Могу ли осуществить выполнение скрипта в АВЗ по терминалке? Повторюсь, что в данный момент физического доступа к серверу нет. Он далеко-далеко.

    И все-таки хотелось бы спросить. Ничего подозрительного в логах не увидели? Какая-то "зараза" пароли на антивирус все-таки устанавливает.

  13. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    24,283
    Вес репутации
    792
    Можно по терминалке.

    Подозрительного в логах нет. После смены порта и настройки брандмауэра пароли на антивирус так и устанавливают?
    Установите свой
    WBR,
    Vadim

  14. #12
    Junior Member Репутация
    Регистрация
    28.08.2014
    Сообщений
    13
    Вес репутации
    10
    Пока что пароль на антивирус не был повторно установлен.

    Буду тестировать. В течении пары недель отпишусь по результатам. Спасибо большое.

Присоединяйтесь к нам в соцсетях!

Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

Похожие темы

  1. Ответов: 668
    Последнее сообщение: 06.03.2016, 13:55
  2. Ответов: 9
    Последнее сообщение: 01.05.2011, 00:45
  3. Ответов: 3
    Последнее сообщение: 20.09.2009, 15:39
  4. Ответов: 3
    Последнее сообщение: 24.06.2008, 11:05
  5. Ответов: 1
    Последнее сообщение: 19.06.2008, 16:06

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01402 seconds with 21 queries