Самопроизвольно создаются пользователи Win10

[daarude]

Добрый день. Видимо где то попала гадость в компьютер

Стоит Win10Pro, Eset Smart Security 9, Malwarebytes premium но похоже проку от них...

регуляроно появляется новый пользовател "pthxbaarxoed" аудитом отследил что ему назначаются права на удаленный доступ, затем идет попытка выгрузить реестр.

Удаление не помогает, через все интерфейсы винды и команды. Он снова появляется. смена прав на файл net.exe так же не помогла

лог прилагаю

CollectionLog-2017.02.01-20.31.zip

Изменено 1 февраля, 2017 пользователем daarude

[daarude]

логи adwcleaner

AdwCleanerC0.txt

AdwCleanerS0.txt

[Sandor]

Здравствуйте!

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[daarude]

Добрый день Sandor.

Отчеты в аттаче

Только сообразил, пересоздал отчеты с не удаленной самосоздающейся учетной записью

Addition.txt

FRST.txt

Shortcut.txt

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
GroupPolicyScripts\User: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
FF HKU\S-1-5-21-832513091-1186551535-3666703083-1002\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\1\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => not found
CHR StartupUrls: Default -> "hxxp://tech-touch.ru/category/jailbreak","hxxp://mail.ru/","hxxp://my.ebay.com/ws/eBayISAPI.dll?MyeBay","hxxp://mail.ru/cnt/10445?gp=789297","hxxp://mail.ru/cnt/10445?gp=818408"
Task: {892FD5C4-BBED-4D0C-9887-970E19498ACA} - System32\Tasks\Microsoft\Windows\Software\UpdaterSrv => C:\ProgramData\UpdaterSrv\UpdaterSrv.exe <==== ATTENTION
AlternateDataStreams: C:\WINDOWS\SysWOW64\zlib.dll:DocumentSummaryInformation [63]
AlternateDataStreams: C:\WINDOWS\SysWOW64\zlib.dll:SummaryInformation [63]
AlternateDataStreams: C:\WINDOWS\SysWOW64\zlib.dll:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[daarude]

Лог

Fixlog.txt

[Sandor]

Понаблюдайте за проблемой.

[daarude]

Не изменилось, после рестарта опять появился пользователь.

[Sandor]

Проверьте проявляется ли такое в безопасном режиме.

[daarude]

В безопасном режиме пользователь не появлялся, но стоило загрузиться в обычном, как он тут же создался(......

[Sandor]

Если в безопасном режиме проблема не наблюдается, причина кроется в сторонней службе или программе. В этом случае выполните следующие действия.

Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft.

Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб.

 

Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит.

Аналогичным образом можно поступить на вкладке Автозагрузка.

Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь.

 

Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление.

 

Подробнее об этой диагностике читайте здесь.

[daarude]

Отключение всех служб (кроме микрософт) и вообще всего из автозагрузки не помогло, после перезагрузки снова появился пользователь, но повторный просмотр запущенных служб показал включенную службу ESET антивируса. После полного удаления антивируса и перезагрузки пока пользователь не появляется.  В антивирусе всякие функции типа антивора не активированы. Да и странные действия в аудите для антивируса - выгрузка веток реестра в файл, добавления себя в групповой политике по нескольким параметрам.... попробую понаблюдать, если пользователь не появится, переустановлю антивирус зановою.

Спасибо огромное за помощь! Очень неприятно ощущать что кто то копается в твоем компьютере без ведома...

О результатах и наблюдениях отпишу.

[daarude]

После нескольких часов наблюдений пользователь так и не появился, повторно установил ту же версию есет (eset endpoint security 6.4) и пользователи пока не появились...

неужели какая то.... заражает антивирус и от его имени выполняет вредоносные действия?

[Sandor]

В логах ничего подобного не замечено.

 

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[daarude]

так антивирус уже переустановлен, лог в аттаче

SecurityCheck.txt

Изменено 2 февраля, 2017 пользователем daarude