Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

Появление новой учетной записи (заявка № 165583)

  1. #1
    Junior Member Репутация
    Регистрация
    26.08.2014
    Сообщений
    13
    Вес репутации
    13

    Появление новой учетной записи

    Добрый день
    ОС Windows 7 64-разрядная
    Своя учетная запись "VVO" (CapsLock ON) с правами администратора.
    Во время сессии появляется учетная запись "vvo" (CapsLock OFF) с обычными правами. Ее видно, когда заходишь в раздел по работе с учетными записями и, также, при входе в систему. В папке users структуры папок для этой учетной записи нет. Удаляется легко, но очень быстро появляется снова.
    В безопасном режиме запускал CureIt. Нашла несколько объектов, поставила на карантин.
    Логи AVZ и HijackThis прилагаю.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,458
    Вес репутации
    343
    Уважаемый(ая) seito, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,677
    Вес репутации
    3028
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\Windows\System32\comparevers.exe','');
     BC_ImportAll;
    BC_Activate;
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    26.08.2014
    Сообщений
    13
    Вес репутации
    13
    Сделал, как вы проинструктировали. Только файлы карантина утилита AVZ не упаковала в архив. Я это сделал сам - пароль такой же, как и устанавливает AVZ.

  6. #5
    Junior Member Репутация
    Регистрация
    26.08.2014
    Сообщений
    13
    Вес репутации
    13
    Доброе утро
    Извините за назойливость, но я жду Вашей реакции. Карантин по указанной ссылке отправил

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,677
    Вес репутации
    3028
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    DeleteFile('C:\Windows\system32\Tasks\cvc','64');
     DeleteFile('C:\Windows\System32\comparevers.exe','32');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    26.08.2014
    Сообщений
    13
    Вес репутации
    13
    Скрипт выполнил. Новые логи прилагаю
    Вложения Вложения

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,677
    Вес репутации
    3028
    Старый лог AVZ прислали
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    26.08.2014
    Сообщений
    13
    Вес репутации
    13
    Действительно старый. Извините, исправляюсь...
    Вложения Вложения

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,677
    Вес репутации
    3028
    В логах порядок
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    26.08.2014
    Сообщений
    13
    Вес репутации
    13
    И что делать? Учетная запись продолжает регулярно появляться...

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,131
    Вес репутации
    847
    Выполните скрипт в AVZ:
    Код:
    begin
    SetServiceStart('TermService', 4);
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
    WBR,
    Vadim

  14. #13
    Junior Member Репутация
    Регистрация
    26.08.2014
    Сообщений
    13
    Вес репутации
    13
    Добрый день
    Отправляю образ...
    Вложения Вложения

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,131
    Вес репутации
    847
    Выполните скрипт в uVS:
    Код:
    ;uVS v3.81.8 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    
    Exec wevtutil.exe epl System %SystemRoot%\minidump\system.evtx
    Exec wevtutil.exe epl Application %SystemRoot%\minidump\Application.evtx
    Exec wevtutil.exe epl Security %SystemRoot%\minidump\Security.evtx
    Exec pack\7za.exe a -t7z -mx9 -m0=ppmd:o=32:mem=512m Events.7z C:\Windows\minidump\*.evtx
    В папке с UVS появится архив Events.7z, загрузите его на rghost.ru и дайте ссылку в теме.
    WBR,
    Vadim

  16. #15
    Junior Member Репутация
    Регистрация
    26.08.2014
    Сообщений
    13
    Вес репутации
    13

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,131
    Вес репутации
    847
    Другие компьютеры в локальной сети есть?
    Перенаправление с WAN роутера на этот компьютер настроено?

    Смените пароли учётных записей администраторскими правами.
    WBR,
    Vadim

  18. #17
    Junior Member Репутация
    Регистрация
    26.08.2014
    Сообщений
    13
    Вес репутации
    13
    Проблема, обсуждаемая здесь, относится к ноуту. Дома роутер подключен к стационарному компу посредством витой пары. А ноут с роутером - через Wi-Fi. На работе к инету ноут подключается через Wi-Fi, с LAN не связан никак. Проблемная учетная запись появляется и дома и на работе.
    Что я сделал по Вашей рекомендации. Удалил проблемную учетку, перезагрузился в безопасном режиме, активировал учетку Администратора (net user Администратор /active:yes), вошел в систему как Администратор, поменял пароль на своей рабочей учетке, деактивировал Администратора и теперь работаю под своей учеткой в обычном режиме.
    Если есть какие-то замечания и рекомендации, с благодарностью приму к действию.

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,131
    Вес репутации
    847
    Выполните скрипт в AVZ при наличии доступа в интернет:
    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

    Примечание: установить Internet Explorer 10, а лучше 11 необходимо, даже если им не пользуетесь, а также всеобновления к нему. Очень многое в безопасности системы завязано на IE.
    WBR,
    Vadim

  20. #19
    Junior Member Репутация
    Регистрация
    26.08.2014
    Сообщений
    13
    Вес репутации
    13
    Установил все обновления, которые были указаны в avz_log.txt.
    Но вот что я заметил. Нежелательная учетная запись ВСЕГДА появляется после перезагрузки системы. Причем доступ к интернету блокирован. Т.е. я загружаю ноут, удаляю учетку, перезагружаюсь, жду 1-2 минуты - захожу в работу с учетными записями - ОНА уже создана.
    На всякий случай высылаю вам экспорт секции RUN системного реестра (упакованный). Посмотрите, пожалуйста, что там может это делать.
    Вложения Вложения

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,448
    Вес репутации
    730
    seito, откройте в реестре ветку
    Код:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
    В данной ветке реестра будет несколько ключей, учётные записи хранятся в ключах с "длинными" именами, само имя учётной записи можно увидеть в параметре реестра ProfileImagePath=C:\Users\имя учётной записи..
    Удалите из ProfileList ключ с "лишней" учёткой. После этого ещё раз проверьте проблему.

    p.s. на всякий случай перед этим сделайте экспорт (бэкап) этой ветки.

  22. Это понравилось:


  • Уважаемый(ая) seito, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. создание новой учетной записи
      От Владимир К. в разделе Microsoft Windows
      Ответов: 6
      Последнее сообщение: 09.02.2013, 20:46
    2. Ответов: 3
      Последнее сообщение: 26.01.2013, 19:38
    3. Ответов: 8
      Последнее сообщение: 10.01.2012, 22:09
    4. Подмена рабочего стала и учетной записи
      От lavrov в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 18.10.2010, 17:29
    5. Ответов: 3
      Последнее сообщение: 20.09.2009, 14:39

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01128 seconds with 17 queries