Показано с 1 по 12 из 12.

Установка пароля на антивирус + самопроизвольная блокировка пользователей (заявка № 166265)

  1. #1
    Junior Member Репутация
    Регистрация
    28.08.2014
    Сообщений
    13
    Вес репутации
    9

    Установка пароля на антивирус + самопроизвольная блокировка пользователей

    ОС — Windows Server 2008 R2 Standard SP1.
    Антивирус — ESET NOD32 Antivirus 4 Business Edition.
    Сервер используется как сервер терминалов для 1С.


    Месяц назад сервер подцепил пару-тройку вирусов + блокиратор, которые были вычищены с помощью DrWeb CureIt в безопасном режиме. Но такое ощущение, что какие-то "хвосты" остались.
    Иногда проявляются следующие проблемы:
    1. Терминальные пользователи блокируются. Просто сама по себе устанавливается галочка "Заблокировать пользователя".
    2. Устанавливается пароль на ESET NOD32 Antivirus 4 Business Edition. Сам по себе. Помогает только снос в безопасном режиме через утилиту удаления и установка с нуля.


    Сделал анализ с помощью AVZ и HijackThis. Прикладываю логи. Хочется до конца вычистить "заразу".


    Заранее спасибо.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    326
    Уважаемый(ая) sargon, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,819
    Вес репутации
    780
    Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

    Доступ к серверу через RDP у удалённых пользователей есть? Меняйте им пароли на сложные, отбирайте администраторские права, они им не нужны. На папки, куда они должны иметь право записи, или полные права, например, на папки с базами 1С, выделите разрешения через закладку "Безопасность" в свойствах папки.

    Брандмауэр системный включён?
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    28.08.2014
    Сообщений
    13
    Вес репутации
    9
    Можно ли сделать полный образ автозапуска uVS, подключившись по RDP? Нет возможности добраться до сервера, чтобы сделать данную процедуру локально.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,819
    Вес репутации
    780
    Делайте.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    28.08.2014
    Сообщений
    13
    Вес репутации
    9
    Образ автозапуска прикрепил во вложениях.

    Доступ по RDP у удаленных пользователей есть. Админские пароли все поменяны. Брэндмауэр включен.
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,819
    Вес репутации
    780
    Надеюсь, AmmyyAdmin C:\USERS\GORLENKOVA\DOWNLOADS\AA_V3.EXE - на вас работает?

    Отпишите мне в личку внешний ip, по которому есть доступ снаружи к серверу, проверю на уязвимости, нежно, ничего не уроню. Судя по блокировкам терминальных пользователей, брутфорсят снаружи.
    WBR,
    Vadim

  9. Vvvyg получил(а) благодарность за это сообщение от


  10. #8
    Junior Member Репутация
    Регистрация
    28.08.2014
    Сообщений
    13
    Вес репутации
    9
    Да, Ammyy Admin раньше использовался для удаленного доступа из вне.

    Остальную информацию скинул в личку.

  11. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,819
    Вес репутации
    780
    Теперь вид снаружи вселяет оптимизм

    Выполните скрипт в AVZ при наличии доступа в интернет:
    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
    WBR,
    Vadim

  12. #10
    Junior Member Репутация
    Регистрация
    28.08.2014
    Сообщений
    13
    Вес репутации
    9
    Могу ли осуществить выполнение скрипта в АВЗ по терминалке? Повторюсь, что в данный момент физического доступа к серверу нет. Он далеко-далеко.

    И все-таки хотелось бы спросить. Ничего подозрительного в логах не увидели? Какая-то "зараза" пароли на антивирус все-таки устанавливает.

  13. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,819
    Вес репутации
    780
    Можно по терминалке.

    Подозрительного в логах нет. После смены порта и настройки брандмауэра пароли на антивирус так и устанавливают?
    Установите свой
    WBR,
    Vadim

  14. #12
    Junior Member Репутация
    Регистрация
    28.08.2014
    Сообщений
    13
    Вес репутации
    9
    Пока что пароль на антивирус не был повторно установлен.

    Буду тестировать. В течении пары недель отпишусь по результатам. Спасибо большое.

Присоединяйтесь к нам в соцсетях!

Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

Похожие темы

  1. Ответов: 668
    Последнее сообщение: 06.03.2016, 13:55
  2. Ответов: 9
    Последнее сообщение: 01.05.2011, 00:45
  3. Ответов: 3
    Последнее сообщение: 20.09.2009, 15:39
  4. Ответов: 3
    Последнее сообщение: 24.06.2008, 11:05
  5. Ответов: 1
    Последнее сообщение: 19.06.2008, 16:06

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01618 seconds with 21 queries