03.03.2017, 06:16 | #1 (permalink) |
Banned
Регистрация: 02.12.2010
Сообщений: 1,130
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 69
|
Зловред, а может и больше idk
Есть у меня отдельный пк для хоста различной мелочи: hfs.exe(ftp), kaillera(хост сервер для эмуляторов),сервер team speck, раньше хостил counter-strike(для чего и ставился аппарат). Физичиски машина стоит в коридоре на отдельном интернете, доступ по средствам radmin 3.4. Так как подразумевалось автономная работа был выключен; (windows)DEP, брандмауер(кому я нужен xD). Пару лет все это прекрасно работало. но недавно начал "глючить" team speck, Захожу в радмин и здравствуйте в системе появляется новый пользователь(новая учетная запись пользователя windows),удаляю пользователя включаю брандмауер, забиваю ибо некогда. На днях ts умирает окончательно (ребут пк 10 мин. работы dc) Захожу и вижу картину маслом пк тупо виснет от вирусни xD. сделано: cureit около 64 удалений(не все успешно), установил аваст около 6 угроз обезврежено, радмин, включил фильтр по ip поменял порт логин пароль. На утро наблюдаю выключенный пк (чего быть не должно. по идеи) отключены все экраны аваста, выключен защитник шиндовс(оба ограничены групповой политикой) и вот я здесь: Суть: Требуется помощь с вирусней и вытекающими вопросами на тему дальнейшей безопасной работы. Заранее спасибо! Ос win7 ult. 32 uvs Последний раз редактировалось виктор_лютый; 03.03.2017 в 06:25 |
03.03.2017, 06:16 | |
Helpmaster
Member
Регистрация: 08.03.2016
Сообщений: 0
|
Аналогичные темы создавались ранее, вы можете ознакомиться с ними Обрубается wi-fi сеть переодически, может раз в день, а может через каждую минуту. Очередной зловред Зловред Win32 Tenga |
03.03.2017, 08:04 | #3 (permalink) |
Banned
Регистрация: 02.12.2010
Сообщений: 1,130
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 69
|
о серьезные люди.
safety доброго времени суток, cureit хранит их в C:\Users\%username%\Doctor Web??? по факту сканирование гонял несколько раз параллельно чистил пк ccleaner'ом (я их не затер?) если так то вот: |
03.03.2017, 09:02 | #5 (permalink) |
Banned
Регистрация: 02.12.2010
Сообщений: 1,130
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 69
|
safety, не вопрос. но мне логи как обычному пользователю не говорят не о чем. какого вида записи нужно выделить и в каком виде предоставить?
Я в этом вопросе несведущ и не вижу информационной нагрузки в записях рода: Total 85 virus bases are loaded from C:\Users\admin\AppData\Local\Temp\DA2EF172-9E028C88-5F831740-3AC914A6\ 0bQ0nOPI 11.0 85fad3213e58f6431ff2aaa2e7080a8697370140 2016/09/26 10:31:18 6603 records - OK 118tLnF6 11.0 84791b78d7db9c393fd3facbffa0612fa44e8a21 2016/04/01 14:00:00 939815 records - OK 1dJOvAukzbTpB 11.0 6041e1fadec54e87691d09de2ce397d9564f790c 2016/09/05 10:14:39 16931 records - OK и тдп........ Последний раз редактировалось виктор_лютый; 03.03.2017 в 09:11 |
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
03.03.2017, 10:19 | #6 (permalink) | |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
судя по логу курит ничего не нашел.
Цитата:
|
|
03.03.2017, 10:23 | #7 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
судя по образу, профиль в системе один.
Текущий пользователь: server\admin пробуйте временно деинсталлировать Аваст и понаблюдать за проблемами |
03.03.2017, 11:27 | #9 (permalink) |
support
Регистрация: 19.08.2007
Адрес: Зея
Сообщений: 15,797
Записей в дневнике: 71
Сказал(а) спасибо: 166
Поблагодарили 203 раз(а) в 86 сообщениях
Репутация: 75760
|
RemoteAdministrator временно удалите, тем самым вы лишите возможного злоумышленника инструмента удаленного доступа. Поюзайте временно AmmyAdmin для удалёнки. Если всё придёт в норму - ищите чела с RAdmin-ом. Также сканируйте систему на предмет keyloggera, ведь откуда-то вражина получает ваши пароли даже после их изменения.
Также смотрите, что в Планировщике задач прописалось, не исключено, что оттуда старт всему дается путём автозапуска скрипта. |
03.03.2017, 12:14 | #10 (permalink) |
Banned
Регистрация: 02.12.2010
Сообщений: 1,130
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 69
|
AlexZir,
radmin виснет на логине через-раз(чего никогда не наблюдалось, причем именно управление передача файлов к примеру работает в этот момент) перешел на TeamViewer. Последний раз редактировалось виктор_лютый; 03.03.2017 в 12:22 |
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
|
|