Вероятный DPH:SuspicExecDroper

[alex110420]

Крайне подозрительное поведение компьютера, но проверки не дают результатов.

Дано:

windows XP Sp3 + заплатки используется в локальной сети как принт сервер. Так как установить драйвера для печати по сети на компьютеры с Win7 или Win8.1 не удалось.

Антивирусов нет, производительности не хватает.

1.Событие при попытке  напечатать документ по сети появилось сообщение о необходимости установить драйвера идоверяю-ли я тому компьютеру! После ответа "да"  началась загрузка файла немедленно заблокированная DrWeb.

DPH:SuspicExecDroper

2.Последовала попытка зайти удаленно на "пораженную" машину через терминал используя учетную запись с правами админа.

3.Попытка не удалась из-за сообщения о заблокированной учетной записи, такое возможно так как есть ограничение на неудачные попытки входа!

4.Была предпринята попытка войти локально с той-же учетной записью после выдержки интервала блокировки. Неудачно! Блокировка продолжилась.

5.После перезагрузки попытка входа с учетной записью с правми админа не удалась по причине ее удаления!

6.Но оказалась доступной встроенная учетная запись Администратора при чем БЕЗ пароля !!! И это тогда как эта учетка была переименована, запаролена, и отключена политикой безопасности.

7.Учетка Гостя осталась заблокированной, журнал безопасности переполнен.

8..Данные удаленной учетки сохранились!

9.Все действия на "машине" всегда проводились из под ограниченной учетки.

10.Сканирование утилитами DrWeb; KVRT; AVZ4.46 ни каких серьезных заражений не выявили...

Но проблема сохранилась

[Sandor]

Здравствуйте!

 

Порядок оформления запроса о помощи

[alex110420]

Дано:

windows XP Sp3 + заплатки используется в локальной сети как принт сервер. Так как установить драйвера для печати по сети на компьютеры с Win7 или Win8.1 не удалось.

Антивирусов нет, производительности не хватает.

1.Событие при попытке  напечатать документ по сети появилось сообщение о необходимости установить драйвера идоверяю-ли я тому компьютеру! После ответа "да"  началась загрузка файла немедленно заблокированная DrWeb.

DPH:SuspicExecDroper

2.Последовала попытка зайти удаленно на "пораженную" машину через терминал используя учетную запись с правами админа.

3.Попытка не удалась из-за сообщения о заблокированной учетной записи, такое возможно так как есть ограничение на неудачные попытки входа!

4.Была предпринята попытка войти локально с той-же учетной записью после выдержки интервала блокировки. Неудачно! Блокировка продолжилась.

5.После перезагрузки попытка входа с учетной записью с правми админа не удалась по причине ее удаления!

6.Но оказалась доступной встроенная учетная запись Администратора при чем БЕЗ пароля !!! И это тогда как эта учетка была переименована, запаролена, и отключена политикой безопасности.

7.Учетка Гостя осталась заблокированной, журнал безопасности переполнен.

8..Данные удаленной учетки сохранились!

9.Все действия на "машине" всегда проводились из под ограниченной учетки.

---------------------------

10.после выполнения автологгера  -https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

в процессе выполнения перезагрузки была удалена учетная запись с правами админа. Что происходило и ранее. Из всех учетных записей с правами админа после перезагрузкок остается только встроенная учетка с правами админа!

11.логи удалось прикрепить только через менеджер загрузки

 

Сообщение от модератора Mark D. Pearlstone

Темы объединены.

Уточнение. Доступ к машине по RDP разрешен только админам и только по локальной сети. Заплатка от microsoft WindowsXP-KB4012583-x86-Custom-RUS посвященная проблемам с реализацией протокола rdp установлена в ручную, за полгода до описываемых событий.

Сама сеть за двумя натами доступ к локалке из вне запрещен правилами на роутере.

CollectionLog-2020.04.11-18.49.zip

report1.log

report2.log

[Sandor]

Файл C:\WINDOWS\system32\GfxCUIServiceInstall.vbs упакуйте в архив и прикрепите к следующему сообщению.