Показано с 1 по 11 из 11.

Периодическая блокировка учётки администратора (заявка № 59041)

  1. #1
    Junior Member Репутация
    Регистрация
    05.11.2008
    Сообщений
    9
    Вес репутации
    30

    Question Периодическая блокировка учётки администратора

    Здравствуйте! Периодически блокируется учётка администратора домена в системном журнале рабочей станции при этом сообщение:

    Система безопасности обнаружила попытку атаки для понижения роли сервера cifs/10.185.1.3. Полученный от протокола проверки подлинности Kerberos код ошибки: "Учетная запись пользователя автоматически заблокирована из-за превышения числа неудачных попыток входа в систему или запросов на изменение пароля.
    (0xc0000234)".


    В журналах на DC ничего нет в это время - хотя весь аудит включен.


    На машине работает симантек эндпойнт - но ниченго не ловил.

    CureIt в защищённом режиме ничего не нашёл кроме обычных radmina и dameware - но я на всякий случай удалил их...
    Вложения Вложения

  2. Реклама
     

  3. #2
    Junior Member Репутация
    Регистрация
    05.11.2008
    Сообщений
    9
    Вес репутации
    30
    Ребята, ответьте что нибудь, пожалуйста. Я понимаю что скорее всего на моей машине ничего нет. Но это кто-то ломает с другой машины. Что искать посоветуйте?

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    столько программ безопасности. Это что экспериментальная система?
    Надо оставить одного, который с лицензией.
    Профиксить:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
     QuarantineFile('d:\5ef0589e141e1dda2bf859e68f2b36\wgasetup.exe','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    Прислать карантин по Правилам.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Здравствуйте,

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    - Обновите базы АВЗ: (Файл/Обновление баз).
    - Отключите ПК от интернета/локалки
    - Отключите Антивирус и Файрвол.
    - Отключите Системное восстановление.

    -Пофиксите:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    -Выполните скрипт:
    Код:
    begin
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\System32\Drivers\aswSP.SYS','');
     QuarantineFile('C:\WINDOWS\system32\drivers\nstation.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\FILESPY.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ew.sys','');
     DeleteFileMask('d:\5ef0589e141e1dda2bf859e68f2b36','*.*',true);
     DeleteDirectory('d:\5ef0589e141e1dda2bf859e68f2b36');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.

    После перезагрузки:

    - Удалите SUPERAntiSpyware.
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
    Последний раз редактировалось Rene-gad; 06.11.2009 в 17:12. Причина: script revised

  6. #5
    Junior Member Репутация
    Регистрация
    05.11.2008
    Сообщений
    9
    Вес репутации
    30
    Здравствуйте. Отослал карантин по первому скрипту от PavelA. Вчера была найдена машина с которой производятся попытки входа в сеть под именем блокируемой учётки. Это компьютер корпоративной сети в другом городе. Логины идут оттуда как пулемётными очередями.

    Добавлено через 47 минут

    Здравствуйте! Отослал карантин по второму скрипту от rene-gad. Скрипт был с ошибкой в 9-й строке - to many parameters - убрал два последних параметра и функция сработала.
    Последний раз редактировалось tim12; 06.11.2009 в 06:01. Причина: Добавлено

  7. #6
    Junior Member Репутация
    Регистрация
    05.11.2008
    Сообщений
    9
    Вес репутации
    30

    Завершающие логи

    Высылаю завершающие логи. Что посоветуете делать со "стреляющей" машиной?
    Вложения Вложения

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Вчера была найдена машина с которой производятся попытки входа в сеть под именем блокируемой учётки.
    Вот с неё и нужны логи по правилам. Если там есть кто-нибудь, кто не спросит: А где любая клавиша? , то попросите эту персону выполнить наши правила.
    Скрипт был с ошибкой в 9-й строке
    Извините, действительно моя ошибка.
    Выполните упрощённый скрипт, чтобы убрать эту папку: она осталась висеть.
    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteFileMask('d:\5ef0589e141e1dda2bf859e68f2b36','*.*',true);
     DeleteDirectory('d:\5ef0589e141e1dda2bf859e68f2b36');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.

  9. #8
    Junior Member Репутация
    Регистрация
    05.11.2008
    Сообщений
    9
    Вес репутации
    30
    А по моей машине есть что-нибудь?

    Добавлено через 3 часа 55 минут

    Та машина в другом городе и там одни тётки - они знают только что Аникей - это парнишка такой :-) Могу только удалённо с ней поработать через сетку
    Последний раз редактировалось tim12; 07.11.2009 в 07:49. Причина: Добавлено

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,441
    Вес репутации
    905
    Для второго компьютера создайте другую тему

  11. #10
    Junior Member Репутация
    Регистрация
    05.11.2008
    Сообщений
    9
    Вес репутации
    30
    Прикольно. Теперь из другого города 64-х разрядный сервер заблокировал мою учётку...

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,520
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 10
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) tim12, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Периодическая ошибка в приложениях
      От el-l-luk в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 03.10.2010, 17:17
    2. Ответов: 15
      Последнее сообщение: 14.09.2010, 23:01
    3. Блокировка пользователей с правами администратора. (заявка №23733)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 23.06.2010, 12:00
    4. Ответов: 1
      Последнее сообщение: 20.01.2010, 12:29
    5. Периодическая перезагрузка системы
      От sky-wheel в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 05.06.2009, 14:34

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01306 seconds with 23 queries