Перейти к содержанию

(2) Блокируется учетная запись при подключении по RDP


Рекомендуемые сообщения

Такая тема уже создана, но там логи моего ПК, с которого подключаюсь.
При подключении по RDP к удаленному серверу выводится сообщение о том, что администраторская учетная запись заблокирована. Соответственно, никакой пароль не принимается. Такая проблема вылезает не систематизировано, за пару месяцев это уже третий случай.

Прилагаю логи с сервера

server_logs.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте,

Сами делали изменения?

 >>  Блокировка диспетчера задач

HiJackThis (из каталога автологгера) профиксить

O4 - User Startup: Windows Sidebar.lnk    ->    C:\ProgramData\Windows\check.vbs
O4-32 - HKLM\..\Run: [service] C:\ProgramData\Windows\check.vbs

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 QuarantineFile('C:\ProgramData\Windows\check.vbs', '');
 QuarantineFileF('C:\ProgramData\Windows', '*.exe,*.dll,*.sys,*.pif', false,'', 0, 0);
 DeleteFile('C:\ProgramData\Windows\check.vbs', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','service');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

После выполнения скрипта перезагрузите сервер вручную.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

Приложите новые логи по правилам.

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте,

 

Сами делали изменения?

 >>  Блокировка диспетчера задач

Нет, никаких изменений, связанных с диспетчером задач не производилось.

Ниже прилагаю ответ Лаборатории и новые логи.

 

[KLAN-6287237759]

 

"Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

 

В антивирусных базах информация по присланным вами файлам отсутствует:

check.vbs

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 

Антивирусная Лаборатория, Kaspersky Lab HQ"

 

 

 

 

CollectionLog-2017.05.23-17.17.zip

Ссылка на комментарий
Поделиться на другие сайты

Нет, никаких изменений, связанных с диспетчером задач не производилось.

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 ExecuteRepair(11);
end.

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

    B92LqRQ.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты

 

Нет, никаких изменений, связанных с диспетчером задач не производилось.

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 ExecuteRepair(11);
end.

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

    B92LqRQ.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

Перед манипуляциями сделайте резервную копию состояние системы (System State).

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
    ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
    ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
    ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
    ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
    ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
    Toolbar: HKU\.DEFAULT -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
    Toolbar: HKU\S-1-5-21-2516265107-3721152429-3233581941-1025 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
    FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
    FF Plugin: @videolan.org/vlc,version=2.1.2 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [No File]
    FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [No File]
    Folder: C:\ProgramData\Windows
    2017-05-23 17:04 - 2017-04-12 17:49 - 00000000 _RSHD C:\Users\Все пользователи\Windows
    2017-05-23 17:04 - 2017-04-12 17:49 - 00000000 _RSHD C:\ProgramData\Windows
    AlternateDataStreams: C:\Users\buh:id [32]
    
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что сервер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты

Перед манипуляциями сделайте резервную копию состояние системы (System State).

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
    ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
    ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
    ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
    ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
    ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
    Toolbar: HKU\.DEFAULT -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
    Toolbar: HKU\S-1-5-21-2516265107-3721152429-3233581941-1025 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
    FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
    FF Plugin: @videolan.org/vlc,version=2.1.2 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [No File]
    FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [No File]
    Folder: C:\ProgramData\Windows
    2017-05-23 17:04 - 2017-04-12 17:49 - 00000000 _RSHD C:\Users\Все пользователи\Windows
    2017-05-23 17:04 - 2017-04-12 17:49 - 00000000 _RSHD C:\ProgramData\Windows
    AlternateDataStreams: C:\Users\buh:id [32]
    
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что сервер будет перезагружен.

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Заарзивируйте в zip пожалуйста каталог карантина с паролем virus:

C:\FRST\Quarantine\C\ProgramData\Windows

и отправьте на newvirus@kaspersky.com либо через сайт https://newvirus.kaspersky.com

Понаблюдайте и сообщите результат.

 

Ссылка на комментарий
Поделиться на другие сайты

Заарзивируйте в zip пожалуйста каталог карантина с паролем virus:

C:\FRST\Quarantine\C\ProgramData\Windows

и отправьте на newvirus@kaspersky.com либо через сайт https://newvirus.kaspersky.com

 

Понаблюдайте и сообщите результат.

 

 

Зашел по указанному пути, обнаружил, что в 

C:\FRST\Quarantine\C

 только папка Users\Все пользователи, и там пусто.

Ссылка на комментарий
Поделиться на другие сайты

Зашел по указанному пути, обнаружил, что в 

C:\FRST\Quarantine\C
 только папка Users\Все пользователи, и там пусто.

 

Должен быть симлинк "C:\Users\Все пользователи\Windows"

 

C:\FRST\Quarantine\C\Users\Все пользователи\Windows
P.S.Только в внутри каталога находяться вредоносные файлы их лучше не пытаться открывать/запускать.
Ссылка на комментарий
Поделиться на другие сайты

 

Зашел по указанному пути, обнаружил, что в 

C:\FRST\Quarantine\C
 только папка Users\Все пользователи, и там пусто.

 

Должен быть симлинк "C:\Users\Все пользователи\Windows"

 

C:\FRST\Quarantine\C\Users\Все пользователи\Windows
P.S.Только в внутри каталога находяться вредоносные файлы их лучше не пытаться открывать/запускать.

 

И все же нет...

post-44960-0-93215700-1495789354_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты

Данный каталог скрытый и имеет системный атрибут. Пробуйте тогда заархивировать:

C:\FRST\Quarantine\C\Users\Все пользователи
Ссылка на комментарий
Поделиться на другие сайты

 

Данный каталог скрытый и имеет системный атрибут. Пробуйте тогда заархивировать:

C:\FRST\Quarantine\C\Users\Все пользователи

[KLAN-6323238091]

 

Благодарим за обращение в Антивирусную Лабораторию

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В антивирусных базах информация по присланным вами файлам отсутствует:

cpuminer-conf.json

ded.bat

ds.bat

msvcr120.dll

ran.vbs

cpuminer-conf.json

msvcr120.dll

ran.vbs

 

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:

csrcs.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.hwkq

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 

Антивирусная Лаборатория, Kaspersky Lab HQ

Ссылка на комментарий
Поделиться на другие сайты

Ожидайте вердикта по новым отправленным Вами файлам.
Также понаблюдайте за сервером и сообщите, если проблема ушла.

Ссылка на комментарий
Поделиться на другие сайты

Ожидайте вердикта по новым отправленным Вами файлам.

Также понаблюдайте за сервером и сообщите, если проблема ушла.

Больше ничего на почту не приходило. Проблема пока тоже не возникала. В итоге что, проблема вылечена или еще нужно что-то проделать?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • К Дмитрий
      От К Дмитрий
      Добрый день,
      Служба поддержки не отвечает на мой запрос INC000017019830:
      "Для Управление сведениями учетной записи пришло сообщение с инструкцией. К сожалению, нет никакой возможности войти в личный кабинет пользуясь https://shop.kaspersky.ru/enduser-portal/login, так как учетные данные не воспринимаются. При сбросе пароля на почту ничего не приходит. Прошу исправить ошибку. При этом вход через MyKaspersky выполняется без проблем с теми же данными." Есть ли возможность исправить ошибку? Может ли служба поддержки ответить на вопрос?
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь в удалении вирусов
    • xx3l
      От xx3l
      Есть шансы порасшифровать?
       
      1. Явно подключались по RDP в процессе
      2. Почистили журналы Windows
      3. Что нехарактерно - часть файлов по маске .txt не зашифровали
      4. Ключ явно зависит от имени файла, но не от пути (есть 2 идентичных файла, в разных папках, с одинаковым шифртекстом)
      5. Явное шифрование блочным шифром.
      Encoded Samples.zip FRST.zip message.zip
    • seregalazerniy
      От seregalazerniy
      Есть ряд пользователей которые работают в 1С через RDP, на Win 10. Их периодически "выбивает" из сессии и происходит переподключение к серверу, бывает что на дню по 15 раз, а бывает и ни разу, в чем может быть причина?
      В логах пусто
      На данный момент порыскав по просторам интернета набрел на отключение в сервере автотюнинга
      netsh interface tcp set global autotuninglevel=disabled
      Не помогло
      Все компы подключены по локальной сети, и подключение происходит по ней. Впн не используем.
    • Kirillizator
      От Kirillizator
      Добрый день коллеги,
       
      Есть необходимость установить антивирус на сервере, ОС Астра Линукс. Установил klnagent 15.1, указал ему сервер KSC. Установил kesl и gui к нему. На сервере астра появилась, в группу распределили, но статус защиты "отключен".
      На астре необходимые службы работают исправно. В gui указано "список запрещенных ключей поврежден". Ни одной задачи на астру подать не удалось. У все одна причина отказа выполнения.
      Как ее включить на клиенте, если дело действительно в том?
      Подскажите пожалуйста если кто сталкивался. Заказчик уже начинает гневаться.
       
       





    • Остафьево
      От Остафьево
      Подскажите пожалуйста как подключить компьютеры под управление нового сервера администрирования (Security Center 15) при условии что доступа к старому нет.
×
×
  • Создать...