christian

Для работы на сервере были созданы локальные учетки temp и update. Под ними тоже подключались по рдп. Но также был считан пароль учетки администратора (находил лог сканирования учеток, в котором у некоторых, в т.ч. и админа прописан пароль). Мне думается, что был некий троян, который считал пароль и передал его хозяину, а тот уже подключился и продолжил работу. в AD учеток не создавалось. Но для распространнеия использовалась учетка админская. Логи Касперского показали попытку запустить шифровальщик на всех компах включенных в это время. К чести KES, он эти попытки пресек. До этого

Вдогонку, ip с которого было проникновение 176.123.1.86 С него подключались по созданным учеткам. Реальный или нет, не знаю. Но может кому то пригодится.

без корзины удалил

я удалил

с этим все?

по ссылке из лога общие рекомендации майкрософт как исправить указанную уязвимость? avz_log.txt

в свойствах брэндмауэра написано, что это порты агента касперского если нет активного, то он и не появится? на этой машине были добавлены левые пользователь в группы доступа: администратор, рдп и т.п. C:\Users\ustinov_as\AppData\Roaming\Process Hacker 2 и эта папка тоже к нему имеет отношение? если он опять запустится? Fixlog.txt

вот Fixlog.txt

после

нет

только первая строчка Task: {10E0AB7D-DAA9-46DD-92F8-FC823788F40C} - System32\Tasks\База МКУ => C:\Executor\Compiler.exe [7680 2020-11-12] (Microsoft) [Файл не подписан] Пароли менял. DC2_2021-09-13_10-00-40_v4.11.8.7z как проверить политику?

в архиве. Как почистить систему ? На этой машине затронуты были сетевые папки. banhu.7z

прошу посмотреть логи. Addition.txt FRST.txt

ЛОГ FRST Addition.txt FRST.txt

логи FRST Addition.txt FRST.txt