Несанкционированный доступ к системе.

Printable View

13.06.2019, 05:03
Jertva Ataki

Вложений: 4

Несанкционированный доступ к системе.

Доброго времени суток, уважаемые господа. У вас прекрасный ресурс, жаль не знал о нем раньше. Столкнулся со следующей ситуацией: Во время чистки кэшей в системе через утилиту Ccleaner, обнаружил, что в логах была попытка запуска Iexplore, который был выключен в системе вместе со службами. Изолировал исходящий траффик через фаервол по whitelist. Прочитав ваш форум, провел сканирование системы и исследуя логи, обнаружил, что в системе есть следы анонимного доступа, cогласно данным из лога реестра, вопреки тому, что все возможные способы доступа из вне были прикрыты. Прошу просьбы оказать помощь и посоветовать, что делать, чтобы закрыть уязвимости и есть ли возможность снять дамп (образно),если зачищены кеши, в том числе днс, который укажет на то место, откуда примерно (с какого адреса) была инициирована атака, даже если это VPN/Proxy).
13.06.2019, 05:04
Info_bot

Уважаемый(ая) [B]Jertva Ataki[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
13.06.2019, 20:55
Vvvyg

[QUOTE=Jertva Ataki;1501100]обнаружил, что в системе есть следы анонимного доступа, cогласно данным из лога реестра, вопреки тому, что все возможные способы доступа из вне были прикрыты.[/QUOTE]Это Вы что имеете ввиду, не эту запись в логе AVZ - ">> Безопасность: к ПК разрешен доступ анонимного пользователя"?
Ознакомьтесь и успокойтесь в этом случае: [URL="https://virusinfo.info/showthread.php?t=12670"]Безопасность: к ПК разрешен доступ анонимного пользователя[/URL].

Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].

Приложите этот файл к своему следующему сообщению.
13.06.2019, 23:15
Jertva Ataki

[QUOTE=Vvvyg;1501130]Это Вы что имеете ввиду, не эту запись в логе AVZ - ">> Безопасность: к ПК разрешен доступ анонимного пользователя"?[/QUOTE]
И этот лог тоже, разумеется. Возможно поспешил с выводами в журнале событий безопасности, регистрирующего вход в систему. Но пожалуй вы правы, подробнее изучив настройки групповых политик контроля учетных записей, в ветке реестра
[CODE][HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System][/CODE] вроде паранойя перешла в ремиссию. Она больше, чем просто имеет место быть.
[QUOTE=Vvvyg;1501130]Ознакомьтесь и успокойтесь в этом случае[/QUOTE]
Накатил валерьянки. Остается открытым вопрос про попытки "Открыть с помощью Iexplore". Политики Chrome i IE сбрасывал через AdwCleaner. Помимо, из странностей остаются "сохраненные условия поиска" в системе, к которым я явно не имею отношения.
[QUOTE=Vvvyg;1501130]Приложите этот файл к своему следующему сообщению.[/QUOTE]
Благодарю за оперативное оказание поддержки!
18.06.2019, 10:53
Jertva Ataki

Вложений: 1

Log Security Check [Отлетел во время поверки поста]

Внезапно пропавший лог из поста.
18.06.2019, 20:59
Vvvyg

[QUOTE]------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-013.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3140735 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-026.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3138910 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-027.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3138962 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-027.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3145739 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-039.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3146963 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-040.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3156013 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-055.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3155178 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-056.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3153171 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-061.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3178034 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-097.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3185911 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-106.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3184122 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-116.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3192391 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-122.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3197867 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3197867]Скачать обновления[/url][/b][/color]
HotFix KB3205394 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3205394]Скачать обновления[/url][/b][/color]
HotFix KB4012212 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212]Скачать обновления[/url][/b][/color]
HotFix KB4019263 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4019263]Скачать обновления[/url][/b][/color]
HotFix KB4022722 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4022722]Скачать обновления[/url][/b][/color]
HotFix KB4015546 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4015546]Скачать обновления[/url][/b][/color]
HotFix KB4025337 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4025337]Скачать обновления[/url][/b][/color]
HotFix KB4034679 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4034679]Скачать обновления[/url][/b][/color]
HotFix KB4041678 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4041678]Скачать обновления[/url][/b][/color][/QUOTE]Устанавливайте, это только критические хотфиксы, включая KB4012212, который закрывает опаснейшую уязвимость, используемую в т. ч. нашумевшими в 2017 году шифровальщики WannaCry и Petya/NotPetya, а также многими майнерами и троянами.
[QUOTE]7-Zip 16.04 (x64) v.16.04
WinRAR 5.40 (64-разрядная) v.5.40.0 [color=red][b]Внимание! [url=http://www.rarlab.com/download.htm]Скачать обновления[/url][/b][/color][/QUOTE]Архиваторы тоже используются в нехороших целях, обновляйте:
[URL="https://www.anti-malware.ru/news/2019-02-21-1447/28944"]Дыра в WinRAR более 19 лет угрожала 500 миллионам пользователей[/URL].
[URL="https://www.securitylab.ru/news/498365.php"]Уязвимость в WinRAR активно эксплуатируется злоумышленниками[/URL].
[URL="https://www.anti-malware.ru/news/2018-05-10-1447/26202"]Критический баг в 7-Zip приводит к выполнению произвольного кода[/URL].

И это:
[QUOTE]Adobe Flash Player 27 ActiveX v.27.0.0.130 [color=red][b]Внимание! [url=http://download.macromedia.com/pub/flashplayer/latest/help/install_flash_player_ax.exe]Скачать обновления[/url][/b][/color]
Adobe Flash Player 27 NPAPI v.27.0.0.130 [color=red][b]Внимание! [url=http://download.macromedia.com/pub/flashplayer/latest/help/install_flash_player.exe]Скачать обновления[/url][/b][/color]
Adobe Flash Player 27 PPAPI v.27.0.0.130 [color=red][b]Внимание! [url=http://download.macromedia.com/pub/flashplayer/latest/help/install_flash_player_ppapi.exe]Скачать обновления[/url][/b][/color][/QUOTE]