Имеем Windows 7 в которой произвольно создаётся юзер SUPPORT_388945a0. Я читал статьи по поводу взлома через telnet, но порты закрыты и даже если я удаляю/переименовываю этого юзера, то он снова появляется, добавляет себе роли админа и пользователя удалённого рабочего стола.
Я проверил все папки в профилях, а также самой ОС, проверил реестр и т.д. Вроде ничего не осталось, но что-то или кто-то запускает скрипт. Все юзеры с правами юзеров, только 1 учётка админа и пароль сменил, гость под паролем тоже и отключён.
У кого какие идеи??

Ronald,

Can account SUPPORT_388945a0 be deleted from domain controller? (https://social.technet.microsoft.com/Forums/windowsserver/en-US/b8621da7-1361-4a1a-a42b-2425414bfa71/can-account-support388945a0-be-deleted-from-domain-controller?forum=winserverDS)
Джон, есть хакеры из Китая с использованием этой учетной записи,
проверить ваш группа пользователей «Пользователи удаленного рабочего стола» и «Администраторы».
Если учетная запись SUPPORT_388945a0 или гость там, то ваша система скомпрометирована.
Если удалить/отключить учетные записи и они снова, то есть bat-файл, который воссоздание их...

Я это видел, но перекопав все батники понял, что возможен запуск в виде VBскрипта.. не могу отловить эту гадость. Порты закрыты, но постоянное создание такого юзера достало.

Ronald,

В реестре попробуйте запустить по поиску 388945a0, возможно удастся отследить путь к скрипту.
Ищите во локальных папках:
C:\ProgramData
C:\Users\имяпользователя\AppData

Возможно здесь помогут:
сначала сюда собрать логи после слова Диагностика (http://forum.oszone.net/thread-98169.html)
Затем, с результатами создать тему здесь Лечение систем от вредоносных программ (http://forum.oszone.net/forum-87.html)

Тут либо скрип не срабатывает полностью либо... ну папка юзера SUPPORT_388945a0 не создаётся.
В реестре по цифрам всё убивал, но создаётся опять :(
мне бы скрипт сам поймать.. антивирусы ничего не дают, а переставить ОСь почти анриал, там сколько всего висит, просто аллес капут :(

ЗЫ: Сейчас поищу ещё...

В реестре по цифрам всё убивал, но создаётся опять »
Да сейчас не так главное убить, как отследить возможный путь. Проанализируйте записи в реестре.

Только что опять сработала сия дрянь. Антивирус молчит (KIS). Создало "правильного" юзера SUPPORT_388945a0 с русским описанием и добавило его в ветку UserList чтобы скрыть на входе. Данный юзер добавлен в группу Администраторы и Пользователи удалённого рабочего стола.
Ничего лишнего в памяти не висит... вроде.

ЗЫ: На вирусы проверялся жёсткий диск подключенный к другому ПК несколькими антивирусами.

Process Monitor. Если это пакетный файл — фильтр на cmd.exe. Если скрипт WSH — фильтр на cscript.exe и wscript.exe.

Включил фильтры на скрипты, будем ждать...

Добавил фильтр на cscript.exe и wscript.exe а также на regedit, он когда юзера создаёт, то прячет его на странице логина...

пусто :(
юзер снова создался, а в процесс мониторе пусто...

http://support.microsoft.com/kb/947296/ru

Ronald, если Вы не ошиблись с фильтром, надо полагать — создаётся иным способом. В принципе, создавать пользователя может любое приложение, любая библиотека, имеющие достаточные привилегии.

Лучше последуйте советам из второй части поста #4 (http://forum.oszone.net/post-2462799.html#post2462799).

2mods: если чисто, верните в 7, плиз

Выложите логи в соответствии с этими (http://forum.oszone.net/post-717373.html) инструкциями.