Появляются левые пользователи в Windows 2003

[ersedes]

Здравствуйте, после обновление операционки или касперского появляются левые пользователи в Windows Server 2003 R2 Standart Edition SP2 , и открывается доступ к удаленному рабочему столу. В безопасном режиме CureIT ничего не нашла, Касперский 6.0 для Windows Servers версия 6.0.3.837 c.d.e.f.i тоже. Дополнительно установлен Outpost Firewall Pro 7.0.2 (3377.514.1238). Если нужно могу прикрепить скрин учетных записей пользователей.

Прошу помочь разобраться в вопросе.

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[ska79]

Внимание

база от 20.05.2012 20:01

Обновите базы avz и переделайте логи.

 

У вас включен доступ анонимных пользователей.

Ждите ответа helpera-у меня нет полномочий заниматься лечением.

Изменено 31 мая, 2012 пользователем СЕРГИУС

[ersedes]

Внимание

база от 20.05.2012 20:01

Обновите базы avz и переделайте логи.

 

У вас включен доступ анонимных пользователей.

Ждите ответа helpera-у меня нет полномочий заниматься лечением.

 

Спасибо, отсюда возьму свежий avz и еще раз сделаю скрипт, как отключить анонимных пользователей ? каковы будут последствия...

[ska79]

Качайте отсюда

Распакуйте архив, запустите файл avz.exe

Нажмите Файл, выберите обновление баз.

 

Насчет остального у меня нет официальных полномочий для проведения лечения(публикация скриптов и т.п), ждите ответа хелпера.

[Tiare]

ersedes, здравствуйте.

 

Знакомо?

C:\Inetpub\stellus\common\ocx\Zakachka.dll

Если нет, то проверьте файл на virustotal

Раскрывающийся текст:

кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата .

Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

 

 

 

Признаков заражения не вижу.

 

Жду ваш ответ, если файл чистый, перенесу тему в "Компьютерную помощь".

[ersedes]

Результат

 

https://www.virustotal.com/file/8ae488214d2...sis/1338519575/

 

Только что, Outpost запросил разрешение на исполнение непонятного .exe файла, я заблокировал .exe и сразу проверил сервак. Оказалось удаленный доступ к рабочему столу включен, и появились чужие пользователи. Доступ с удаленного рабочего стола убрал, пользователей удалил. Прилагаю скрины.

Изменено 1 июня, 2012 пользователем ersedes

[Tiare]

На данный момент заражения по вашим логам не наблюдается.

 

Сообщение от модератора Tiare

Переношу в раздел "Компьютерная помощь"

[ersedes]

Качайте отсюда

Распакуйте архив, запустите файл avz.exe

Нажмите Файл, выберите обновление баз.

 

Насчет остального у меня нет официальных полномочий для проведения лечения(публикация скриптов и т.п), ждите ответа хелпера.

Качайте отсюда

Распакуйте архив, запустите файл avz.exe

Нажмите Файл, выберите обновление баз.

virusinfo_syscheck.zip

virusinfo_syscure.zip

[пользователь]

Касперский 6.0 для Windows Servers версия 6.0.3.837 c.d.e.f.i тоже.

Этот антивирус уже давно снят с поддержки. Обновите антивирус до Kaspersky Endpoint Security 8 для Windows 8.1.0.831.

[ersedes]

Этот антивирус уже давно снят с поддержки. Обновите антивирус до Kaspersky Endpoint Security 8 для Windows 8.1.0.831.

 

 

Она поддерживается Windows Server 2003 R2 Standart Edition SP2, если да, не могли бы дать ссылку на дистрибутив с оф.источников.

Изменено 1 июня, 2012 пользователем ersedes

[пользователь]

Она поддерживается Windows Server 2003 R2 Standart Edition SP2, если да, не могли бы дать ссылку на дистрибутив с оф.источников.

http://support.kaspersky.ru/kes8fs?level=2

[Kapral]

Да... кстати - а что за новые пользователи появляются?

 

DC или standalone?

 

кто имеет права админа на нем?

антивирус управляется через админкит? если да - у кого права админа на АдминКите

 

Еще одно - у вас в последнее время кадровых изменений не было? особенно среди IT-персонала

[пользователь]

Еще одно - у вас в последнее время кадровых изменений не было? особенно среди IT-персонала

Мне тоже кажется, что у тут не вирусы, а закладки срабатывают...

[Kapral]

ХЗ... что именно срабатывает (тут у меня фантазия богатая)

 

Но что имеется черный вход в систему - так это 99.9999999999%

[ersedes]

http://support.kaspersky.ru/kes8fs?level=2

Спасибо, скачиваю.

К нему ключ от Касперский 6.0 для Windows Servers версия 6.0.3.837 c.d.e.f.i подойдет?

 

Да... кстати - а что за новые пользователи появляются?

могу выложить скрин...

 

кто имеет права админа на нем?

На сервере встроенный администратор

 

антивирус управляется через админкит? если да - у кого права админа на АдминКите

Админкита нету

 

Еще одно - у вас в последнее время кадровых изменений не было? особенно среди IT-персонала

Кадровых изменении не было.

Изменено 1 июня, 2012 пользователем ersedes