Перейти к содержанию

Подозрение на заражение

alex110420

Автор alex110420
в Компьютерная помощь

 Поделиться

Рекомендуемые сообщения

alex110420

alex110420

Опубликовано
Опубликовано

Крайне подозрительное поведение компьютера, но проверки не дают результатов.

Дано:

windows XP Sp3 + заплатки используется в локальной сети как принт сервер. Так как установить драйвера для печати по сети на компьютеры с Win7 или Win8.1 не удалось.

Антивирусов нет, производительности не хватает.

1.Событие при попытке  напечатать документ по сети появилось сообщение о необходимости установить драйвера идоверяю-ли я тому компьютеру! После ответа "да"  началась загрузка файла немедленно заблокированная DrWeb.

DPH:SuspicExecDroper

2.Последовала попытка зайти удаленно на "пораженную" машину через терминал используя учетную запись с правами админа.

3.Попытка не удалась из-за сообщения о заблокированной учетной записи, такое возможно так как есть ограничение на неудачные попытки входа!

4.Была предпринята попытка войти локально с той-же учетной записью после выдержки интервала блокировки. Неудачно! Блокировка продолжилась.

5.После перезагрузки попытка входа с учетной записью с правми админа не удалась по причине ее удаления!

6.Но оказалась доступной встроенная учетная запись Администратора при чем БЕЗ пароля !!! И это тогда как эта учетка была переименована, запаролена, и отключена политикой безопасности.

7.Учетка Гостя осталась заблокированной, журнал безопасности переполнен.

8..Данные удаленной учетки сохранились!

9.Все действия на "машине" всегда проводились из под ограниченной учетки.

10.Сканирование утилитами DrWeb; KVRT; AVZ4.46 ни каких серьезных заражений не выявили...

Но проблема сохранилась

 

andrew75

andrew75

Опубликовано
Опубликовано

@alex110420, терминальный доступ на эту машину открыт в интернет?

Смотрите журнал безопасности.

И да, сходите в соседний раздел. 

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • asmonekus
      [РЕШЕНО] Подозрение на заражение системы
      Автор asmonekus
      В какой-то момент заметила, что в истории поиска Windows начали появляться запросы, иногда даже на английском, которых я не делала, даже если компьютер был выключен. В истории запросов аккаунта Microsoft, который я использую на ПК, ничего подобного нет, плюс я сменила пароль и на всякий случай сделала выход со всех устройств через управление аккаунтом.
       
      Проводила проверку ПК и Kaspersky Virus Removal Tool, и Dr.Web CureIt!, и Kaspersky Premium – ничего не обнаружено. Запускала Avbr – почистил кеш и тоже ничего не обнаружил. Единственное, узнала, что Windows активирован KMSAuto (ПК был куплен в сборке с уже установленным ПО), но, насколько я с ним сталкивалась, он проблем каких-либо не доставлял.

      Никакого другого подозрительного поведения не обнаружила, все сайты как были доступны, так и остались. Лишней нагрузки тоже нет. Но эти рандомные запросы уж очень меня смущают.
      CollectionLog-2025.05.16-22.38.zip
    • Amurkin
      Подозрение на майнер
      Автор Amurkin
      Добрый день! Новый ноутбук стал сильно греться даже в простое. Подозреваю майнер. Прошу помочь!CollectionLog-2025.08.09-12.09.zip
    • Isik
      Подозрение на майнер
      Автор Isik
      Малварбайт обнаружил процесс исходящего траффика в пути- C:\Users\user\AppData\Local\Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC, потом это появлялось снова и снова. В диспетчере задач обнаружил три процесса Setup, которые ведут к папке 2xzjMMUGjeobOYtjoc0gOuMKKHC в Temp. Что это такое не пойму, никогда ничего подобного не видел. Заранее благодарю.
    • Шораан
      Подозрение на Trojan.Win32.Penguish.bzb
      Автор Шораан
      Здравствуйте! У меня подозрения на тот же вирус. Проверил сканером предложенным выше , посмотрите пожалуйста отчет
      Addition.zip
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Vovkaproshka
      Подозрение на майнер
      Автор Vovkaproshka
      После установки лоадера впнов появился процесс setup нагружает только оперативку.
      Doctor  web antivirus удаляет три трояна, после сетап пропадает из процессов, после перезагрузки процесс снова появляется, думаю прикрепился к какому-то приложению, через безопасный режим также после удаления и перезагрузки загружается,  находится по пути AppData\Local\Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC
×
×
  • Создать...