daarude Опубликовано 1 февраля, 2017 Опубликовано 1 февраля, 2017 (изменено) Добрый день. Видимо где то попала гадость в компьютер Стоит Win10Pro, Eset Smart Security 9, Malwarebytes premium но похоже проку от них... регуляроно появляется новый пользовател "pthxbaarxoed" аудитом отследил что ему назначаются права на удаленный доступ, затем идет попытка выгрузить реестр. Удаление не помогает, через все интерфейсы винды и команды. Он снова появляется. смена прав на файл net.exe так же не помогла лог прилагаю CollectionLog-2017.02.01-20.31.zip Изменено 1 февраля, 2017 пользователем daarude
daarude Опубликовано 2 февраля, 2017 Автор Опубликовано 2 февраля, 2017 логи adwcleaner AdwCleanerC0.txt AdwCleanerS0.txt
Sandor Опубликовано 2 февраля, 2017 Опубликовано 2 февраля, 2017 Здравствуйте! Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.
daarude Опубликовано 2 февраля, 2017 Автор Опубликовано 2 февраля, 2017 Добрый день Sandor. Отчеты в аттаче Только сообразил, пересоздал отчеты с не удаленной самосоздающейся учетной записью Addition.txt FRST.txt Shortcut.txt Addition.txt FRST.txt Shortcut.txt
Sandor Опубликовано 2 февраля, 2017 Опубликовано 2 февраля, 2017 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: GroupPolicy: Restriction <======= ATTENTION GroupPolicy\User: Restriction <======= ATTENTION GroupPolicyScripts: Restriction <======= ATTENTION GroupPolicyScripts\User: Restriction <======= ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION FF HKU\S-1-5-21-832513091-1186551535-3666703083-1002\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\1\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => not found CHR StartupUrls: Default -> "hxxp://tech-touch.ru/category/jailbreak","hxxp://mail.ru/","hxxp://my.ebay.com/ws/eBayISAPI.dll?MyeBay","hxxp://mail.ru/cnt/10445?gp=789297","hxxp://mail.ru/cnt/10445?gp=818408" Task: {892FD5C4-BBED-4D0C-9887-970E19498ACA} - System32\Tasks\Microsoft\Windows\Software\UpdaterSrv => C:\ProgramData\UpdaterSrv\UpdaterSrv.exe <==== ATTENTION AlternateDataStreams: C:\WINDOWS\SysWOW64\zlib.dll:DocumentSummaryInformation [63] AlternateDataStreams: C:\WINDOWS\SysWOW64\zlib.dll:SummaryInformation [63] AlternateDataStreams: C:\WINDOWS\SysWOW64\zlib.dll:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0] EmptyTemp: Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.
daarude Опубликовано 2 февраля, 2017 Автор Опубликовано 2 февраля, 2017 Не изменилось, после рестарта опять появился пользователь.
Sandor Опубликовано 2 февраля, 2017 Опубликовано 2 февраля, 2017 Проверьте проявляется ли такое в безопасном режиме.
daarude Опубликовано 2 февраля, 2017 Автор Опубликовано 2 февраля, 2017 В безопасном режиме пользователь не появлялся, но стоило загрузиться в обычном, как он тут же создался(......
Sandor Опубликовано 2 февраля, 2017 Опубликовано 2 февраля, 2017 Если в безопасном режиме проблема не наблюдается, причина кроется в сторонней службе или программе. В этом случае выполните следующие действия. Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft. Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб. Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит. Аналогичным образом можно поступить на вкладке Автозагрузка. Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь. Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление. Подробнее об этой диагностике читайте здесь.
daarude Опубликовано 2 февраля, 2017 Автор Опубликовано 2 февраля, 2017 Отключение всех служб (кроме микрософт) и вообще всего из автозагрузки не помогло, после перезагрузки снова появился пользователь, но повторный просмотр запущенных служб показал включенную службу ESET антивируса. После полного удаления антивируса и перезагрузки пока пользователь не появляется. В антивирусе всякие функции типа антивора не активированы. Да и странные действия в аудите для антивируса - выгрузка веток реестра в файл, добавления себя в групповой политике по нескольким параметрам.... попробую понаблюдать, если пользователь не появится, переустановлю антивирус зановою. Спасибо огромное за помощь! Очень неприятно ощущать что кто то копается в твоем компьютере без ведома... О результатах и наблюдениях отпишу.
daarude Опубликовано 2 февраля, 2017 Автор Опубликовано 2 февраля, 2017 После нескольких часов наблюдений пользователь так и не появился, повторно установил ту же версию есет (eset endpoint security 6.4) и пользователи пока не появились... неужели какая то.... заражает антивирус и от его имени выполняет вредоносные действия?
Sandor Опубликовано 2 февраля, 2017 Опубликовано 2 февраля, 2017 В логах ничего подобного не замечено. Проверьте уязвимые места: Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению.
daarude Опубликовано 2 февраля, 2017 Автор Опубликовано 2 февраля, 2017 (изменено) так антивирус уже переустановлен, лог в аттаче SecurityCheck.txt Изменено 2 февраля, 2017 пользователем daarude
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти