alex110420 0 Опубликовано 11 апреля, 2020 Share Опубликовано 11 апреля, 2020 Крайне подозрительное поведение компьютера, но проверки не дают результатов. Дано: windows XP Sp3 + заплатки используется в локальной сети как принт сервер. Так как установить драйвера для печати по сети на компьютеры с Win7 или Win8.1 не удалось. Антивирусов нет, производительности не хватает. 1.Событие при попытке напечатать документ по сети появилось сообщение о необходимости установить драйвера идоверяю-ли я тому компьютеру! После ответа "да" началась загрузка файла немедленно заблокированная DrWeb. DPH:SuspicExecDroper 2.Последовала попытка зайти удаленно на "пораженную" машину через терминал используя учетную запись с правами админа. 3.Попытка не удалась из-за сообщения о заблокированной учетной записи, такое возможно так как есть ограничение на неудачные попытки входа! 4.Была предпринята попытка войти локально с той-же учетной записью после выдержки интервала блокировки. Неудачно! Блокировка продолжилась. 5.После перезагрузки попытка входа с учетной записью с правми админа не удалась по причине ее удаления! 6.Но оказалась доступной встроенная учетная запись Администратора при чем БЕЗ пароля !!! И это тогда как эта учетка была переименована, запаролена, и отключена политикой безопасности. 7.Учетка Гостя осталась заблокированной, журнал безопасности переполнен. 8..Данные удаленной учетки сохранились! 9.Все действия на "машине" всегда проводились из под ограниченной учетки. 10.Сканирование утилитами DrWeb; KVRT; AVZ4.46 ни каких серьезных заражений не выявили... Но проблема сохранилась Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 11 апреля, 2020 Share Опубликовано 11 апреля, 2020 Здравствуйте! Порядок оформления запроса о помощи Цитата Ссылка на сообщение Поделиться на другие сайты
alex110420 0 Опубликовано 11 апреля, 2020 Автор Share Опубликовано 11 апреля, 2020 Дано: windows XP Sp3 + заплатки используется в локальной сети как принт сервер. Так как установить драйвера для печати по сети на компьютеры с Win7 или Win8.1 не удалось. Антивирусов нет, производительности не хватает. 1.Событие при попытке напечатать документ по сети появилось сообщение о необходимости установить драйвера идоверяю-ли я тому компьютеру! После ответа "да" началась загрузка файла немедленно заблокированная DrWeb. DPH:SuspicExecDroper 2.Последовала попытка зайти удаленно на "пораженную" машину через терминал используя учетную запись с правами админа. 3.Попытка не удалась из-за сообщения о заблокированной учетной записи, такое возможно так как есть ограничение на неудачные попытки входа! 4.Была предпринята попытка войти локально с той-же учетной записью после выдержки интервала блокировки. Неудачно! Блокировка продолжилась. 5.После перезагрузки попытка входа с учетной записью с правми админа не удалась по причине ее удаления! 6.Но оказалась доступной встроенная учетная запись Администратора при чем БЕЗ пароля !!! И это тогда как эта учетка была переименована, запаролена, и отключена политикой безопасности. 7.Учетка Гостя осталась заблокированной, журнал безопасности переполнен. 8..Данные удаленной учетки сохранились! 9.Все действия на "машине" всегда проводились из под ограниченной учетки. --------------------------- 10.после выполнения автологгера -https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] в процессе выполнения перезагрузки была удалена учетная запись с правами админа. Что происходило и ранее. Из всех учетных записей с правами админа после перезагрузкок остается только встроенная учетка с правами админа! 11.логи удалось прикрепить только через менеджер загрузки Сообщение от модератора Mark D. Pearlstone Темы объединены. Уточнение. Доступ к машине по RDP разрешен только админам и только по локальной сети. Заплатка от microsoft WindowsXP-KB4012583-x86-Custom-RUS посвященная проблемам с реализацией протокола rdp установлена в ручную, за полгода до описываемых событий. Сама сеть за двумя натами доступ к локалке из вне запрещен правилами на роутере. CollectionLog-2020.04.11-18.49.zip report1.log report2.log Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 12 апреля, 2020 Share Опубликовано 12 апреля, 2020 Файл C:\WINDOWS\system32\GfxCUIServiceInstall.vbs упакуйте в архив и прикрепите к следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.