Показано с 1 по 8 из 8.

по РДП входит кто-то чужой (заявка № 146373)

  1. #1
    Junior Member Репутация
    Регистрация
    15.01.2009
    Сообщений
    148
    Вес репутации
    33

    по РДП входит кто-то чужой

    Win 2k3
    Пользователя РДП во время работы отсоединило с сообщением, что под ним был произведен вход.
    После переподключения было видно, что подключившийся начал производить некоторые операции предположительно для скачивания вируса - на рабочем столе появились папки с портейбл версиями оперы и хрома. В папке избранное пользователя в был найден каталог без иконки с файлами судя по всему предназначенный для перебора паролей (могу залить архив с ним). IP входов америка и япония (поркси, надо думать). Кьюр ит ничего не нашел, логи авз и хайджек прилагаю.

    Хотелось бы понять, болтается ли на компьютере что-то, что уводит пароли, или же проблема в том, что они изначально были слабые, и стоит просто массово и насильно все сменить?

    Боюсь, как бы не вылилось в http://forum.drweb.com/index.php?showtopic=313822 или подобное.
    Последний раз редактировалось Е.Ш.; 27.09.2013 в 15:59.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,460
    Вес репутации
    342
    Уважаемый(ая) Е.Ш., спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,591
    Вес репутации
    836
    Сделайте полный образ автозапуска uVS.

    Сделайте логи RSIT.

    Меняйте все пароли - пользовательские и администраторский.
    WBR,
    Vadim

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    15.01.2009
    Сообщений
    148
    Вес репутации
    33
    Запрошенные логи:
    Последний раз редактировалось Е.Ш.; 27.09.2013 в 15:59.

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,591
    Вес репутации
    836
    Выполните скрипт в uVS:
    Код:
    ;uVS v3.81.3 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.2
    
    delref %SystemDrive%\DOCUMENTS AND SETTINGS\TANYA\ИЗБРАННОЕ\ССЫЛКИ\*\SMSS.EXE
    delref %SystemDrive%\DOCUMENTS AND SETTINGS\TANYA\ИЗБРАННОЕ\,\WINLOGON.EXE
    Следов проникновения не видно. Настройте файрволл, чтобы пускать из внешней сети только с тех адресов, с которых действительно это нужно.

    Выполните скрипт в AVZ при наличии доступа в интернет:
    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
    WBR,
    Vadim

  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    15.01.2009
    Сообщений
    148
    Вес репутации
    33
    Цитата Сообщение от Vvvyg Посмотреть сообщение

    Следов проникновения не видно. Настройте файрволл, чтобы пускать из внешней сети только с тех адресов, с которых действительно это нужно.
    Спасибо. Если бы входящие IP-адреса были постоянными, так бы и сделал, но... После выполнения скриптов, какие-либо логи делать и выкладывать нужно?

  10. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,591
    Вес репутации
    836
    Сделайте для верности ещё лог полного сканирования МВАМ.
    WBR,
    Vadim

  11. Это понравилось:


  12. #8
    Junior Member Репутация
    Регистрация
    15.01.2009
    Сообщений
    148
    Вес репутации
    33
    MBAM ничего не нашел. Спасибо за помощь.

Похожие темы

  1. Чужой на проводе
    От Azmarial в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 02.05.2013, 21:36
  2. С чужой флешки чего-то набежало
    От Бумбарам в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 28.11.2009, 15:57
  3. Я чужой для своего компьютера
    От Sidtjey в разделе Помогите!
    Ответов: 20
    Последнее сообщение: 22.02.2009, 07:03
  4. Чужой среди своих
    От LiNED в разделе Общая сетевая безопасность
    Ответов: 15
    Последнее сообщение: 28.06.2008, 10:30
  5. В компьютере чужой
    От Plateresca в разделе Помогите!
    Ответов: 27
    Последнее сообщение: 28.12.2006, 16:26

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00150 seconds with 16 queries