Перейти к содержанию
Правила раздела

(2) Блокируется учетная запись при подключении по RDP

IT-Obereg

Автор IT-Obereg
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

IT-Obereg

IT-Obereg

Опубликовано
Опубликовано

Такая тема уже создана, но там логи моего ПК, с которого подключаюсь.
При подключении по RDP к удаленному серверу выводится сообщение о том, что администраторская учетная запись заблокирована. Соответственно, никакой пароль не принимается. Такая проблема вылезает не систематизировано, за пару месяцев это уже третий случай.
Прилагаю логи с сервера

server_logs.zip

SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,

Сами делали изменения?

 >>  Блокировка диспетчера задач

HiJackThis (из каталога автологгера) профиксить

O4 - User Startup: Windows Sidebar.lnk    ->    C:\ProgramData\Windows\check.vbs
O4-32 - HKLM\..\Run: [service] C:\ProgramData\Windows\check.vbs

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 QuarantineFile('C:\ProgramData\Windows\check.vbs', '');
 QuarantineFileF('C:\ProgramData\Windows', '*.exe,*.dll,*.sys,*.pif', false,'', 0, 0);
 DeleteFile('C:\ProgramData\Windows\check.vbs', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','service');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

После выполнения скрипта перезагрузите сервер вручную.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

Приложите новые логи по правилам.

IT-Obereg

IT-Obereg

Опубликовано
  • Автор
Опубликовано

Здравствуйте,

 

Сами делали изменения?

 >>  Блокировка диспетчера задач

Нет, никаких изменений, связанных с диспетчером задач не производилось.

Ниже прилагаю ответ Лаборатории и новые логи.

 

[KLAN-6287237759]

 

"Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

 

В антивирусных базах информация по присланным вами файлам отсутствует:

check.vbs

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 

Антивирусная Лаборатория, Kaspersky Lab HQ"

 

 

 

 

CollectionLog-2017.05.23-17.17.zip

SQ

SQ

Опубликовано
Опубликовано

Нет, никаких изменений, связанных с диспетчером задач не производилось.

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 ExecuteRepair(11);
end.

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

    B92LqRQ.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
IT-Obereg

IT-Obereg

Опубликовано
  • Автор
Опубликовано

 

Нет, никаких изменений, связанных с диспетчером задач не производилось.

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 ExecuteRepair(11);
end.

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

    B92LqRQ.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

Addition.txt

FRST.txt

SQ

SQ

Опубликовано
Опубликовано

Перед манипуляциями сделайте резервную копию состояние системы (System State).

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
Toolbar: HKU\.DEFAULT -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
Toolbar: HKU\S-1-5-21-2516265107-3721152429-3233581941-1025 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin: @videolan.org/vlc,version=2.1.2 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [No File]
FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [No File]
Folder: C:\ProgramData\Windows
2017-05-23 17:04 - 2017-04-12 17:49 - 00000000 _RSHD C:\Users\Все пользователи\Windows
2017-05-23 17:04 - 2017-04-12 17:49 - 00000000 _RSHD C:\ProgramData\Windows
AlternateDataStreams: C:\Users\buh:id [32]
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что сервер будет перезагружен.
IT-Obereg

IT-Obereg

Опубликовано
  • Автор
Опубликовано

Перед манипуляциями сделайте резервную копию состояние системы (System State).

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
Toolbar: HKU\.DEFAULT -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
Toolbar: HKU\S-1-5-21-2516265107-3721152429-3233581941-1025 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin: @videolan.org/vlc,version=2.1.2 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [No File]
FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [No File]
Folder: C:\ProgramData\Windows
2017-05-23 17:04 - 2017-04-12 17:49 - 00000000 _RSHD C:\Users\Все пользователи\Windows
2017-05-23 17:04 - 2017-04-12 17:49 - 00000000 _RSHD C:\ProgramData\Windows
AlternateDataStreams: C:\Users\buh:id [32]
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что сервер будет перезагружен.

 

Fixlog.txt

SQ

SQ

Опубликовано
Опубликовано

Заарзивируйте в zip пожалуйста каталог карантина с паролем virus:

C:\FRST\Quarantine\C\ProgramData\Windows

и отправьте на newvirus@kaspersky.com либо через сайт https://newvirus.kaspersky.com

Понаблюдайте и сообщите результат.

 

IT-Obereg

IT-Obereg

Опубликовано
  • Автор
Опубликовано

Заарзивируйте в zip пожалуйста каталог карантина с паролем virus:

C:\FRST\Quarantine\C\ProgramData\Windows

и отправьте на newvirus@kaspersky.com либо через сайт https://newvirus.kaspersky.com

 

Понаблюдайте и сообщите результат.

 

 

Зашел по указанному пути, обнаружил, что в 

C:\FRST\Quarantine\C

 только папка Users\Все пользователи, и там пусто.

SQ

SQ

Опубликовано
Опубликовано

Зашел по указанному пути, обнаружил, что в 

C:\FRST\Quarantine\C
 только папка Users\Все пользователи, и там пусто.

 

Должен быть симлинк "C:\Users\Все пользователи\Windows"

 

C:\FRST\Quarantine\C\Users\Все пользователи\Windows
P.S.Только в внутри каталога находяться вредоносные файлы их лучше не пытаться открывать/запускать.
IT-Obereg

IT-Obereg

Опубликовано
  • Автор
Опубликовано

 

Зашел по указанному пути, обнаружил, что в 

C:\FRST\Quarantine\C
 только папка Users\Все пользователи, и там пусто.

 

Должен быть симлинк "C:\Users\Все пользователи\Windows"

 

C:\FRST\Quarantine\C\Users\Все пользователи\Windows
P.S.Только в внутри каталога находяться вредоносные файлы их лучше не пытаться открывать/запускать.

 

И все же нет...

post-44960-0-93215700-1495789354_thumb.jpg

SQ

SQ

Опубликовано
Опубликовано

Данный каталог скрытый и имеет системный атрибут. Пробуйте тогда заархивировать:

C:\FRST\Quarantine\C\Users\Все пользователи
IT-Obereg

IT-Obereg

Опубликовано
  • Автор
Опубликовано

 

Данный каталог скрытый и имеет системный атрибут. Пробуйте тогда заархивировать:

C:\FRST\Quarantine\C\Users\Все пользователи

[KLAN-6323238091]

 

Благодарим за обращение в Антивирусную Лабораторию

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В антивирусных базах информация по присланным вами файлам отсутствует:

cpuminer-conf.json

ded.bat

ds.bat

msvcr120.dll

ran.vbs

cpuminer-conf.json

msvcr120.dll

ran.vbs

 

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:

csrcs.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.hwkq

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 

Антивирусная Лаборатория, Kaspersky Lab HQ

SQ

SQ

Опубликовано
Опубликовано

Ожидайте вердикта по новым отправленным Вами файлам.
Также понаблюдайте за сервером и сообщите, если проблема ушла.

IT-Obereg

IT-Obereg

Опубликовано
  • Автор
Опубликовано

Ожидайте вердикта по новым отправленным Вами файлам.

Также понаблюдайте за сервером и сообщите, если проблема ушла.

Больше ничего на почту не приходило. Проблема пока тоже не возникала. В итоге что, проблема вылечена или еще нужно что-то проделать?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Анатолий Лис
      Новая учетная запись john
      Автор Анатолий Лис
      Здравствуйте, столкнулся с такой проблемой:
      Не помню когда и как, заметил новую учетную запись и почему то не придал этому значения. Сейчас же захотел разобраться, и в интернете пишут что это Майнер. 
      Разобраться захотел потому что заметил сильный нагрев ноутбука, кулера шумят, и когда диспетчер задач открываешь ЦП загружен на 100%, но потом все исчезает и показывает минимум %.
      Зашел на ваш сайт с ноутбука, крашит браузер, другие подобные сайты тоже. Как все это исправить самому я даже не знаю, поэтому обращаюсь за помощью.
    • Mason19
      Учетная запись microsoft и сведения о местоположении.
      Автор Mason19
      Приветствую. Понадобилось обновить сведения о железе ПК на сайте microsoft, так как изменилась конфигурация было 16 ГБ, стало 32, на сайте по прежнему отображалось как 16 ГБ.
      Решив что правильнее будет удалить ПК и добавить его заново, (на самом ПК был выполнен вход под локальной учетной записью), вот только после добавления ПК заново на сайт microsoft, он требует чтобы эта учетная запись (учетная запись microsoft) была включена постоянно, иначе ПК пропадает из списка устройств на сайте, как только входишь под локальной учеткой. Попробовав решить эту проблему через включения местоположения, результата естественно не дало, только теперь добавилась еще одна проблема не получается очистить сведения о последнем местоположении это функция поиск устройства на сайте.
    • agushchin
      Подключение по RDP через шлюз, при включенном веб-контроле
      Автор agushchin
      Доброго дня. Есть вот такая проблема:
      При включении веб-контроля в политике, которая распостраняется на хосты, с этих хостов невозможно подключиться по RDP, которое при подключении использует шлюз удаленных рабочих столов.
      При этом в события хоста не фиксируется данная блокировка.
      Кто-то сталкивался уже? Как можно победить это?
      KSC 14.2
    • Вадим666
      проблема с RDP
      Автор Вадим666
      По рдп не пускает на сервер пишет Попытка входа неудачна
      это с компа на котором делали чистку с других пк на него заходит без проблем, с этого же компа на котором проводилась чистка на другие сервера заходит проблема
      Также при копировании пароля и вставки его в пароль РДП сам текст задваивается. Пример копируем пароль 123456 вставляем его в место пароля для рдп получаем 123456123456  
    • Missing files
      Зашифровали сервер через RDP
      Автор Missing files
      Здравствуйте, впервые сталкиваюсь с такой проблемой, как вирус шифровальщик, попутно накинули Virus.Win32.Neshta.a (определил касперский)
      Беда в том, что под раздачу попала база данных.
      По логам сервера начали взлом ночью, ip которые зафиксировались были из юго-восточной Азии
      Прикрепил файлы Farbar Recovery Scan Tool ; картинку того, что предполагает Битдефендер.
      В архиве два зашифрованных файла, один из них оригинал, письмо требований и файл с названием key.dec (нужен ли он ? 😅)
      Помогите пожалуйста

      Addition.txt FRST.txt 2 зашифрованых, 1 файл оригинал, письмо с требованием, файл keydec.rar
×
×
  • Создать...