Столкнулся с проблемой - есть Windows Server 2008R2 со всеми актуальными обновлениями. Однако уже второй месяц подряд на сервере каким-то образом создается пользователь Gama с правами администратора. По журналу Windows видно, что вначале с неизвестного адреса идет попытка авторизации под пользователем Gama, однако в первый раз (на чистом компьютере) это не удается, однако затем по тому же журналу видно, что через пару минут пользователь "система" создает указанного пользователя и присваивает ему права администратора. После этого выполняется повторная проверка для пользователя Gama и там уже светится внешний "вражеский" IP - 126.83.97.14. А еще через пару минут Kaspersky Endpoint 10 отключается вместо с самозащитой, как будто его и не было.
В интернет сервер светит портом RDP и IIS (порты изменены, но в интернет эти службы смотрят). Очень похоже на уязвимость, но обновления все есть, и поиск в интернете ничего похоже не находит. Прошу помочь.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) vimin, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Ответить с цитированием
