виктор_лютый

Присказка:

Есть у меня отдельный пк для хоста различной мелочи:
hfs.exe(ftp), kaillera(хост сервер для эмуляторов),сервер team speck, раньше хостил counter-strike(для чего и ставился аппарат).
Физичиски машина стоит в коридоре на отдельном интернете, доступ по средствам radmin 3.4. Так как подразумевалось автономная работа был выключен; (windows)DEP, брандмауер(кому я нужен xD).
Пару лет все это прекрасно работало. но недавно начал "глючить" team speck, Захожу в радмин и здравствуйте в системе появляется новый пользователь(новая учетная запись пользователя windows),удаляю пользователя включаю брандмауер, забиваю ибо некогда.
На днях ts умирает окончательно (ребут пк 10 мин. работы dc)
Захожу и вижу картину маслом пк тупо виснет от вирусни xD.
сделано: cureit около 64 удалений(не все успешно), установил аваст около 6 угроз обезврежено, радмин, включил фильтр по ip поменял порт логин пароль.
На утро наблюдаю выключенный пк (чего быть не должно. по идеи) отключены все экраны аваста, выключен защитник шиндовс(оба ограничены групповой политикой) и вот я здесь:

Суть:


Требуется помощь с вирусней и вытекающими вопросами на тему дальнейшей безопасной работы.
Заранее спасибо!

Ос win7 ult. 32
uvs

Вложения

SERVER_2017-03-03_07-32-46(1).7z (422.8 Кб, 53 просмотров)

safety

а что курит находит? можно добавить лог проверки, что он удалил?

виктор_лютый

о серьезные люди.
safety доброго времени суток, cureit хранит их в C:\Users\%username%\Doctor Web???
по факту сканирование гонял несколько раз параллельно чистил пк ccleaner'ом
(я их не затер?)
если так то вот:

Вложения

cureit.rar (835.1 Кб, 11 просмотров)

safety

там есть текстовый лог на 13Мб, вот в нем можно поискать то что он удалил, только сделайте это самостоятельно.

виктор_лютый

safety, не вопрос. но мне логи как обычному пользователю не говорят не о чем. какого вида записи нужно выделить и в каком виде предоставить?

Я в этом вопросе несведущ и не вижу информационной нагрузки в записях рода:

Total 85 virus bases are loaded from C:\Users\admin\AppData\Local\Temp\DA2EF172-9E028C88-5F831740-3AC914A6\
0bQ0nOPI 11.0 85fad3213e58f6431ff2aaa2e7080a8697370140 2016/09/26 10:31:18 6603 records - OK
118tLnF6 11.0 84791b78d7db9c393fd3facbffa0612fa44e8a21 2016/04/01 14:00:00 939815 records - OK
1dJOvAukzbTpB 11.0 6041e1fadec54e87691d09de2ce397d9564f790c 2016/09/05 10:14:39 16931 records - OK и тдп........

safety

судя по логу курит ничего не нашел.

safety

судя по образу, профиль в системе один.
Текущий пользователь: server\admin

пробуйте временно деинсталлировать Аваст и понаблюдать за проблемами

виктор_лютый

т.е. на данный момент система чистая?

AlexZir

RemoteAdministrator временно удалите, тем самым вы лишите возможного злоумышленника инструмента удаленного доступа. Поюзайте временно AmmyAdmin для удалёнки. Если всё придёт в норму - ищите чела с RAdmin-ом. Также сканируйте систему на предмет keyloggera, ведь откуда-то вражина получает ваши пароли даже после их изменения.

Также смотрите, что в Планировщике задач прописалось, не исключено, что оттуда старт всему дается путём автозапуска скрипта.

виктор_лютый

AlexZir,
radmin виснет на логине через-раз(чего никогда не наблюдалось, причем именно управление передача файлов к примеру работает в этот момент) перешел на TeamViewer.