Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 38.

Проблемы с сетью, хакерское вмешательство (заявка № 22657)

  1. #1
    Junior Member Репутация
    Регистрация
    09.05.2008
    Сообщений
    21
    Вес репутации
    59

    Thumbs up Проблемы с сетью, хакерское вмешательство

    Добрый день. Была запущена программа admin.exe из локалки. Изменены политики пользователя, т.е меня, запрещен редактор реестра, отключено автоматическое обновление (заблокировано), и главное измененена политика входа в Windows (winlogon) с последним вообще не знаю что делать. На вирусы проверела доктором Вебом, ничего не находит, кроме тех, что я знаю, мирка и т.п. Все равно он их заблокировал.
    Помогите пожалуйста, вся информация в логах.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    АВЗ- Мастер поиска и устранения проблем - выбрать все проблемы - устранить ....
    выполните скрипт ...
    Код:
    begin
     QuarantineFile('C:\WINDOWS\Downloaded Program Files\WebP2PInstaller.dll','');
     QuarantineFile('C:\Program Files\SaveChm\SaveChm.vbs','');
     QuarantineFile('C:\Program Files\Need2Find\bar\1.bin\ND2FNBAR.DLL','');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    откуда такая любовь к старине .... ?
    - Platform: Windows XP SP1 (WinNT 5.01.2600)
    - кав 5 и базы у него наверно от 2005 ?

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Вопрос довольно тривиальный: кто запустил эту программу admin.exe из локалки?
    Пользователь или местный админ.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4
    Junior Member Репутация
    Регистрация
    09.05.2008
    Сообщений
    21
    Вес репутации
    59
    Карантин выслан, может не загрузился, не заметила что зашел без регистрации. Если надо, вышлю еще раз. Программа ONScreen от ноутбука.
    Откуда любовь к старине? Ноут из шкафчика, нужен пока для интернета. Как раз занималась вопросом безопасности и обновления.
    AVP со свеженькими базами, я ж не совсем...

    Т.к дело было ночью, то явно не админ, а хакер.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Medeya Посмотреть сообщение
    AVP со свеженькими базами, я ж не совсем...
    А Бластеру плевать, какие у антивируса базы и совсем или не совсем: Он себе как раз такие системы ищет:
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    scnr.

  7. #6
    Junior Member Репутация
    Регистрация
    09.05.2008
    Сообщений
    21
    Вес репутации
    59
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    А Бластеру плевать, какие у антивируса базы и совсем или не совсем: Он себе как раз такие системы ищет:

    scnr.
    Обновлю сейчас, надо ж наверно сначала исправить, то что уже сделано не так.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Цитата Сообщение от V_Bond Посмотреть сообщение
    АВЗ- Мастер поиска и устранения проблем - выбрать все проблемы - устранить ....
    и ставте обновления ... лучше сразу сп 3 ...

  9. #8
    Junior Member Репутация
    Регистрация
    09.05.2008
    Сообщений
    21
    Вес репутации
    59
    Не потянет ноут последний сервис-пак, и места нет. Поставлю пока отдельные после SP2. Поиск и устранение выполнила, но осталось заблокировано меню автоматическое обновление. Оно само отключено, но меню выбора должно ж работать. Или это я уже намудрила с отключениями разными.
    И немножко глючи область уведомлений на панели задач, не сворачивается. Это как-нибудь теперь можно исправить? Отключение и включение обратно не помогает.
    Последний раз редактировалось Medeya; 09.05.2008 в 22:30.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    это
    попробуйте сделать ....

  11. #10
    Junior Member Репутация
    Регистрация
    09.05.2008
    Сообщений
    21
    Вес репутации
    59
    Выполнила. Все равно не сворачиваются значки в трее.
    Непонятно, но через час стало работать, т.е сворачиваться.
    Последний раз редактировалось Medeya; 10.05.2008 в 00:12.

  12. #11
    Junior Member Репутация
    Регистрация
    09.05.2008
    Сообщений
    21
    Вес репутации
    59
    Все-таки я проверила, это меня понизили в правах. Заблокирована вкладка обновления Windows и брандмауэра интернета, я ими не пользуюсь, т.к стоит ZoneAlarm и обновления скачиваю вручную, но желательно восстановить.
    Как мне это сделать правильно? Заходить под админом и исправлять политики? WinXP Home
    И в журнале опять появляется запись
    Отказ входа в систему:
    Причина: неизвестное имя пользователя или неверный пароль
    Пользователь: мое имя (изменила я)
    Домен:
    Тип входа: 2
    Процесс входа: Advapi
    Пакет проверки: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
    Рабочая станция: ... (тоже изменила я)

    Добавлено через 3 часа 10 минут

    И еще вопрос, нужно ли разрешение в файрволле программе svhost, просит выхода и входа Generic Host Process Services for Win32, адрес входа и приема домен?
    Последний раз редактировалось Medeya; 10.05.2008 в 19:52. Причина: Добавлено

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(9);
    ExecuteRepair(16);
    ExecuteRepair(17);
    RebootWindows(true);
    end.

  14. #13
    Junior Member Репутация
    Регистрация
    09.05.2008
    Сообщений
    21
    Вес репутации
    59
    Спасибо, помогло. Но теперь нет центра безопасности в трее, по умолчанию в SP2 должен быть включен, также в моем компьютере появилась Вебпапка с одним значком MSN, очевидно оттуда и было вторжение. Пыталась удалить Messenger через удаление состава Windows, подправив файл Sysos.inf и удалив из него Hide, Виндоус выдала ошибку, что конфигурирование невозможно и компонент может неправильно работать.
    Состав не показывается и получается что установлен, т.к 14 Мб не убираются, должно ж быть 0.
    Что я сделала не так?
    Последний раз редактировалось Medeya; 12.05.2008 в 00:47.

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    кто сказал что центр безопасности должен быть в трее ? даже если включен и все в порядке его не видно ...
    ве папки появились из - за скрипта ( восстановлены умолчания )
    легко убрать скриптом ...
    Код:
    begin
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    end.

  16. #15
    Junior Member Репутация
    Регистрация
    09.05.2008
    Сообщений
    21
    Вес репутации
    59
    Теперь как мне быть? Еще раз проверять и высылать логи. Дело в том что есть внешний диск и настольный компьютер. Последний желательно проверить.
    И с внешним тоже посмотреть. Чтобы мне не переносить заразу между ними.
    Для компьютера новую тему надо создавать?
    Интернет только здесь, на ноуте. Придется все переносить через внешний хард.
    И что с карантином?

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    в карантине ничего подозрительного ...
    для нового компьютера новая тема ...

  18. #17
    Junior Member Репутация
    Регистрация
    09.05.2008
    Сообщений
    21
    Вес репутации
    59
    А что означает запись в журнале: событие 540, вход NA\Анонимный пользователь:
    Успешный сетевой вход в систему:
    Пользователь:
    Домен:
    Код входа: (0x0,0x18667)
    Тип входа: 3
    Процесс входа: NtLmSsp
    Пакет проверки: NTLM
    Рабочая станция: Код GUID: {00000000-0000-0000-0000-000000000000}%
    AVZ Никаких анонимных пользователей не находит, я отключала через реестр. Хочется быть спокойной, что никто опять не войдет вместо меня, т.к сейчас загрузила ноут, и выдало ограниченное подключение.
    Все обновления безопасности поставлены, сейчас еще проверю на сайте Майкрософта.

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    дырка в NtLmSsp ... вам же говорят обновляйтесь ...

  20. #19
    Junior Member Репутация
    Регистрация
    09.05.2008
    Сообщений
    21
    Вес репутации
    59
    SP 3 ноут не потянет и элементарно нет места, все обновления безопасности установлены.
    А это не то что у меня включена возможность входить в локальную сеть без учета трафика с подключенным интернетом? В том числе и анонимно на фтп.

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Цитата Сообщение от Medeya Посмотреть сообщение
    SP 3 ноут не потянет и элементарно нет места
    не может быть ....
    для нормальной работы системы нужно 8-10 гигобайт свободного пространства ... сп 3 увеличмвает обем папки мегабайт на 300 ...
    Цитата Сообщение от Medeya Посмотреть сообщение
    А это не то что у меня включена возможность входить в локальную сеть без учета трафика с подключенным интернетом? В том числе и анонимно на фтп.
    вполне ...

  • Уважаемый(ая) Medeya, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Проблемы с сетью.
      От batment83 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.12.2009, 22:28
    2. Проблемы с сетью 2
      От Искариот в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 31.10.2009, 09:39
    3. проблемы с сетью и тп
      От dlenacsm в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 14.04.2009, 06:11
    4. проблемы с сетью
      От arturchik в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.02.2009, 18:30
    5. Проблемы с сетью
      От JaneYa в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 26.09.2008, 19:38

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01661 seconds with 20 queries