Перейти к содержанию
Правила раздела

Вероятный DPH:SuspicExecDroper

alex110420

Автор alex110420,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

alex110420

alex110420 0

Опубликовано
Опубликовано

Крайне подозрительное поведение компьютера, но проверки не дают результатов.

Дано:

windows XP Sp3 + заплатки используется в локальной сети как принт сервер. Так как установить драйвера для печати по сети на компьютеры с Win7 или Win8.1 не удалось.

Антивирусов нет, производительности не хватает.

1.Событие при попытке  напечатать документ по сети появилось сообщение о необходимости установить драйвера идоверяю-ли я тому компьютеру! После ответа "да"  началась загрузка файла немедленно заблокированная DrWeb.

DPH:SuspicExecDroper

2.Последовала попытка зайти удаленно на "пораженную" машину через терминал используя учетную запись с правами админа.

3.Попытка не удалась из-за сообщения о заблокированной учетной записи, такое возможно так как есть ограничение на неудачные попытки входа!

4.Была предпринята попытка войти локально с той-же учетной записью после выдержки интервала блокировки. Неудачно! Блокировка продолжилась.

5.После перезагрузки попытка входа с учетной записью с правми админа не удалась по причине ее удаления!

6.Но оказалась доступной встроенная учетная запись Администратора при чем БЕЗ пароля !!! И это тогда как эта учетка была переименована, запаролена, и отключена политикой безопасности.

7.Учетка Гостя осталась заблокированной, журнал безопасности переполнен.

8..Данные удаленной учетки сохранились!

9.Все действия на "машине" всегда проводились из под ограниченной учетки.

10.Сканирование утилитами DrWeb; KVRT; AVZ4.46 ни каких серьезных заражений не выявили...

Но проблема сохранилась

Ссылка на сообщение
Поделиться на другие сайты
alex110420

alex110420 0

Опубликовано
  • Автор
Опубликовано

Дано:

windows XP Sp3 + заплатки используется в локальной сети как принт сервер. Так как установить драйвера для печати по сети на компьютеры с Win7 или Win8.1 не удалось.

Антивирусов нет, производительности не хватает.

1.Событие при попытке  напечатать документ по сети появилось сообщение о необходимости установить драйвера идоверяю-ли я тому компьютеру! После ответа "да"  началась загрузка файла немедленно заблокированная DrWeb.

DPH:SuspicExecDroper

2.Последовала попытка зайти удаленно на "пораженную" машину через терминал используя учетную запись с правами админа.

3.Попытка не удалась из-за сообщения о заблокированной учетной записи, такое возможно так как есть ограничение на неудачные попытки входа!

4.Была предпринята попытка войти локально с той-же учетной записью после выдержки интервала блокировки. Неудачно! Блокировка продолжилась.

5.После перезагрузки попытка входа с учетной записью с правми админа не удалась по причине ее удаления!

6.Но оказалась доступной встроенная учетная запись Администратора при чем БЕЗ пароля !!! И это тогда как эта учетка была переименована, запаролена, и отключена политикой безопасности.

7.Учетка Гостя осталась заблокированной, журнал безопасности переполнен.

8..Данные удаленной учетки сохранились!

9.Все действия на "машине" всегда проводились из под ограниченной учетки.

---------------------------

10.после выполнения автологгера  -https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

в процессе выполнения перезагрузки была удалена учетная запись с правами админа. Что происходило и ранее. Из всех учетных записей с правами админа после перезагрузкок остается только встроенная учетка с правами админа!

11.логи удалось прикрепить только через менеджер загрузки

 

Сообщение от модератора Mark D. Pearlstone
Темы объединены.

Уточнение. Доступ к машине по RDP разрешен только админам и только по локальной сети. Заплатка от microsoft WindowsXP-KB4012583-x86-Custom-RUS посвященная проблемам с реализацией протокола rdp установлена в ручную, за полгода до описываемых событий.

Сама сеть за двумя натами доступ к локалке из вне запрещен правилами на роутере.

CollectionLog-2020.04.11-18.49.zip

report1.log

report2.log

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем
×
×
  • Создать...