Доброго времени суток, уважаемые господа. У вас прекрасный ресурс, жаль не знал о нем раньше. Столкнулся со следующей ситуацией: Во время чистки кэшей в системе через утилиту Ccleaner, обнаружил, что в логах была попытка запуска Iexplore, который был выключен в системе вместе со службами. Изолировал исходящий траффик через фаервол по whitelist. Прочитав ваш форум, провел сканирование системы и исследуя логи, обнаружил, что в системе есть следы анонимного доступа, cогласно данным из лога реестра, вопреки тому, что все возможные способы доступа из вне были прикрыты. Прошу просьбы оказать помощь и посоветовать, что делать, чтобы закрыть уязвимости и есть ли возможность снять дамп (образно),если зачищены кеши, в том числе днс, который укажет на то место, откуда примерно (с какого адреса) была инициирована атака, даже если это VPN/Proxy).
Последний раз редактировалось Jertva Ataki; 13.06.2019 в 05:09.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Jertva Ataki, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
обнаружил, что в системе есть следы анонимного доступа, cогласно данным из лога реестра, вопреки тому, что все возможные способы доступа из вне были прикрыты.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
Это Вы что имеете ввиду, не эту запись в логе AVZ - ">> Безопасность: к ПК разрешен доступ анонимного пользователя"?
И этот лог тоже, разумеется. Возможно поспешил с выводами в журнале событий безопасности, регистрирующего вход в систему. Но пожалуй вы правы, подробнее изучив настройки групповых политик контроля учетных записей, в ветке реестра
вроде паранойя перешла в ремиссию. Она больше, чем просто имеет место быть.
Сообщение от Vvvyg
Ознакомьтесь и успокойтесь в этом случае
Накатил валерьянки. Остается открытым вопрос про попытки "Открыть с помощью Iexplore". Политики Chrome i IE сбрасывал через AdwCleaner. Помимо, из странностей остаются "сохраненные условия поиска" в системе, к которым я явно не имею отношения.
Сообщение от Vvvyg
Приложите этот файл к своему следующему сообщению.
Устанавливайте, это только критические хотфиксы, включая KB4012212, который закрывает опаснейшую уязвимость, используемую в т. ч. нашумевшими в 2017 году шифровальщики WannaCry и Petya/NotPetya, а также многими майнерами и троянами.