IT-Obereg 0 Опубликовано 19 мая, 2017 Share Опубликовано 19 мая, 2017 Такая тема уже создана, но там логи моего ПК, с которого подключаюсь.При подключении по RDP к удаленному серверу выводится сообщение о том, что администраторская учетная запись заблокирована. Соответственно, никакой пароль не принимается. Такая проблема вылезает не систематизировано, за пару месяцев это уже третий случай.Прилагаю логи с сервера server_logs.zip Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 23 мая, 2017 Share Опубликовано 23 мая, 2017 Здравствуйте,Сами делали изменения? >> Блокировка диспетчера задач HiJackThis (из каталога автологгера) профиксить O4 - User Startup: Windows Sidebar.lnk -> C:\ProgramData\Windows\check.vbs O4-32 - HKLM\..\Run: [service] C:\ProgramData\Windows\check.vbs AVZ выполнить следующий скрипт.Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin QuarantineFile('C:\ProgramData\Windows\check.vbs', ''); QuarantineFileF('C:\ProgramData\Windows', '*.exe,*.dll,*.sys,*.pif', false,'', 0, 0); DeleteFile('C:\ProgramData\Windows\check.vbs', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','service'); ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end. После выполнения скрипта перезагрузите сервер вручную.quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.1. В заголовке письма напишите "Запрос на исследование вредоносного файла".2. В письме напишите "Выполняется запрос хэлпера".3. Прикрепите файл карантина и нажмите "Отправить"4. Полученный ответ сообщите здесь (с указанием номера KLAN)Приложите новые логи по правилам. Цитата Ссылка на сообщение Поделиться на другие сайты
IT-Obereg 0 Опубликовано 23 мая, 2017 Автор Share Опубликовано 23 мая, 2017 Здравствуйте, Сами делали изменения? >> Блокировка диспетчера задач Нет, никаких изменений, связанных с диспетчером задач не производилось. Ниже прилагаю ответ Лаборатории и новые логи. [KLAN-6287237759] "Благодарим за обращение в Антивирусную Лабораторию Присланные вами файлы были проверены в автоматическом режиме. В антивирусных базах информация по присланным вами файлам отсутствует: check.vbs Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него. Антивирусная Лаборатория, Kaspersky Lab HQ" CollectionLog-2017.05.23-17.17.zip Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 24 мая, 2017 Share Опубликовано 24 мая, 2017 Нет, никаких изменений, связанных с диспетчером задач не производилось. AVZ выполнить следующий скрипт. Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ExecuteRepair(11); end. - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
IT-Obereg 0 Опубликовано 25 мая, 2017 Автор Share Опубликовано 25 мая, 2017 Нет, никаких изменений, связанных с диспетчером задач не производилось. AVZ выполнить следующий скрипт. Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ExecuteRepair(11); end. - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 25 мая, 2017 Share Опубликовано 25 мая, 2017 Перед манипуляциями сделайте резервную копию состояние системы (System State). Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> No File ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> No File ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> No File ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> No File ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> No File ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> No File Toolbar: HKU\.DEFAULT -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File Toolbar: HKU\S-1-5-21-2516265107-3721152429-3233581941-1025 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File FF Plugin: @microsoft.com/GENUINE -> disabled [No File] FF Plugin: @videolan.org/vlc,version=2.1.2 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [No File] FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [No File] Folder: C:\ProgramData\Windows 2017-05-23 17:04 - 2017-04-12 17:49 - 00000000 _RSHD C:\Users\Все пользователи\Windows 2017-05-23 17:04 - 2017-04-12 17:49 - 00000000 _RSHD C:\ProgramData\Windows AlternateDataStreams: C:\Users\buh:id [32] Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что сервер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
IT-Obereg 0 Опубликовано 25 мая, 2017 Автор Share Опубликовано 25 мая, 2017 Перед манипуляциями сделайте резервную копию состояние системы (System State). Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> No File ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> No File ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> No File ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> No File ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> No File ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> No File Toolbar: HKU\.DEFAULT -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File Toolbar: HKU\S-1-5-21-2516265107-3721152429-3233581941-1025 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File FF Plugin: @microsoft.com/GENUINE -> disabled [No File] FF Plugin: @videolan.org/vlc,version=2.1.2 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [No File] FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [No File] Folder: C:\ProgramData\Windows 2017-05-23 17:04 - 2017-04-12 17:49 - 00000000 _RSHD C:\Users\Все пользователи\Windows 2017-05-23 17:04 - 2017-04-12 17:49 - 00000000 _RSHD C:\ProgramData\Windows AlternateDataStreams: C:\Users\buh:id [32] Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что сервер будет перезагружен. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 25 мая, 2017 Share Опубликовано 25 мая, 2017 Заарзивируйте в zip пожалуйста каталог карантина с паролем virus: C:\FRST\Quarantine\C\ProgramData\Windows и отправьте на newvirus@kaspersky.com либо через сайт https://newvirus.kaspersky.comПонаблюдайте и сообщите результат. Цитата Ссылка на сообщение Поделиться на другие сайты
IT-Obereg 0 Опубликовано 25 мая, 2017 Автор Share Опубликовано 25 мая, 2017 Заарзивируйте в zip пожалуйста каталог карантина с паролем virus: C:\FRST\Quarantine\C\ProgramData\Windows и отправьте на newvirus@kaspersky.com либо через сайт https://newvirus.kaspersky.com Понаблюдайте и сообщите результат. Зашел по указанному пути, обнаружил, что в C:\FRST\Quarantine\C только папка Users\Все пользователи, и там пусто. Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 25 мая, 2017 Share Опубликовано 25 мая, 2017 Зашел по указанному пути, обнаружил, что в C:\FRST\Quarantine\C только папка Users\Все пользователи, и там пусто. Должен быть симлинк "C:\Users\Все пользователи\Windows" C:\FRST\Quarantine\C\Users\Все пользователи\WindowsP.S.Только в внутри каталога находяться вредоносные файлы их лучше не пытаться открывать/запускать. Цитата Ссылка на сообщение Поделиться на другие сайты
IT-Obereg 0 Опубликовано 26 мая, 2017 Автор Share Опубликовано 26 мая, 2017 Зашел по указанному пути, обнаружил, что в C:\FRST\Quarantine\C только папка Users\Все пользователи, и там пусто. Должен быть симлинк "C:\Users\Все пользователи\Windows" C:\FRST\Quarantine\C\Users\Все пользователи\WindowsP.S.Только в внутри каталога находяться вредоносные файлы их лучше не пытаться открывать/запускать. И все же нет... Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 27 мая, 2017 Share Опубликовано 27 мая, 2017 Данный каталог скрытый и имеет системный атрибут. Пробуйте тогда заархивировать: C:\FRST\Quarantine\C\Users\Все пользователи Цитата Ссылка на сообщение Поделиться на другие сайты
IT-Obereg 0 Опубликовано 30 мая, 2017 Автор Share Опубликовано 30 мая, 2017 Данный каталог скрытый и имеет системный атрибут. Пробуйте тогда заархивировать: C:\FRST\Quarantine\C\Users\Все пользователи [KLAN-6323238091] Благодарим за обращение в Антивирусную Лабораторию Присланные вами файлы были проверены в автоматическом режиме. В антивирусных базах информация по присланным вами файлам отсутствует: cpuminer-conf.json ded.bat ds.bat msvcr120.dll ran.vbs cpuminer-conf.json msvcr120.dll ran.vbs В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству: csrcs.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.hwkq Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него. Антивирусная Лаборатория, Kaspersky Lab HQ Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 30 мая, 2017 Share Опубликовано 30 мая, 2017 Ожидайте вердикта по новым отправленным Вами файлам.Также понаблюдайте за сервером и сообщите, если проблема ушла. Цитата Ссылка на сообщение Поделиться на другие сайты
IT-Obereg 0 Опубликовано 6 июня, 2017 Автор Share Опубликовано 6 июня, 2017 Ожидайте вердикта по новым отправленным Вами файлам. Также понаблюдайте за сервером и сообщите, если проблема ушла. Больше ничего на почту не приходило. Проблема пока тоже не возникала. В итоге что, проблема вылечена или еще нужно что-то проделать? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.