29.10.2020 пользователи начали жаловаться на то, что после перезагрузки компьютеров на рабочем месте (РМ) пропали сохраненные пароли в браузерах и в приложении Outlook.
На компьютерах, которые не перегружались, пароли в браузерах присутствовали. Но после перезагрузки тоже пропали.
При повторной регистрации на ресурсах и сохранении пароля в браузере/Outlook - пароли сохраняются, даже после перезагрузки.
Т.е. произошел какой-то непонятный разовый сброс паролей на всех РМ в сети.
Проблема затронула РМ с Windows 10 pro и Windows 7 pro, всего 9 РМ. Все РМ находятся в одной сети, в одной рабочей группе.
На всех РМ установлен Kaspersky Small Office Security. Регулярно обновляется. Сообщений о заражении не было.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Igor Oskin, спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Единственная мысль, что приходит в голову - запустили инструмент для очистки компьютера через админку Kaspersky Small Office Security.
Логи ни на какие мысли не наводят. Курите журналы на компьютерах, какие события по времени были.
Единственная мысль, что приходит в голову - запустили инструмент для очистки компьютера через админку Kaspersky Small Office Security.
Логи ни на какие мысли не наводят. Курите журналы на компьютерах, какие события по времени были.
Проверил журналы Системы, Приложений, Безопасности за период 30 мин "до" и 30 мин "после" после перезагрузки, при которой пропали пароли. Не вижу ничего необычного.
М.б. еще какие-то журналы Windows нужно анализировать?
Инструмент для очистки от КАВ сейчас запустить не могу - нет логина в админку.
Прогнал проверку CureIT - чисто.
Последний раз редактировалось Igor Oskin; 01.11.2020 в 17:18.
Т. к. не домен, групповых политик нет, то, как уже писал, других идей нет.
Вот у меня тоже... Как-то не логично для вируса/атаки сбрасывать все пароли - это же явное "палево".
Говорят Win10 грешила таким после очередного обновления, но большинство РМ с Win 7. Под семеркой вроде не замечено таких "глюков".
Я боюсь только одного - нет ли какого-то скрытного перехватчика паролей?
Обнуление потребовало всех пользователей снова ввести пароли к используемым ресурсам.
Отключите временно встроенный антивирус ("Защитник") - у него ложное срабатывание на компоненты используемой далее программы.
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
Отключите временно встроенный антивирус ("Защитник") - у него ложное срабатывание на компоненты используемой далее программы.
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
Пришлось остановить КАВ он блокировал обновление.
Лог во вложении.
Единственная мысль, что приходит в голову - запустили инструмент для очистки компьютера через админку Kaspersky Small Office Security.
Логи ни на какие мысли не наводят. Курите журналы на компьютерах, какие события по времени были.
UPD: Выяснил, что к Kaspersky Small Office Security подключено только 5 компьютеров, причем один из них давно в ЗиПе лежит.
Сброс произошел на всех компьютерах. Даже тех, которые не подключены к KSOS. Видимо дело не в запуске очистки...
Копаем с другой стороны - удалённый доступ к компьютерам (хотя бы к одному) есть?
Да. Изначально часть сотрудников использовали Teamiewer c разовыми, а кто-то постоянным паролями. Плюс на рабочем месте админа был RAdmin
Возможно и на части компьютеров - уточню.
С учетом перехода на удаленную работу решили перевести всех сотрудников на подключение по RDP.
За неделю, примерно, до инцидента на всех РМ обновили/доустановили TeamViewer c постоянным паролем для удаленного управления. Пароль сложный. Пользователям не передавался. Пользователи временно пользовались временными разовыми паролями (6 цифро-буквенных символов).
Позже было настроено подключение к РМ по RDP (проброс через роутер прямо на РМ). При настройке все простые пользовательские пароли для входа в компьютер были заменены на достаточно сложные. Все лишние учетные записи отключены.
На роутере была настроена защита от bruteforce по 3389. Шибко активные IP попадают в blacklist на и дропятся не доходя до РМ.
Сейчас пользователи работают с компьютерами подключаясь по RDP. Teamviwer остался только для задач администрирования.
Ответить с цитированием
Сообщение от Vvvyg
