Разное - произвольное создание пользователя SUPPORT_388945a0

ruslan... · Конфигурация компьютера

Ronald,

Can account SUPPORT_388945a0 be deleted from domain controller?

Цитата:

Джон, есть хакеры из Китая с использованием этой учетной записи,
проверить ваш группа пользователей «Пользователи удаленного рабочего стола» и «Администраторы».
Если учетная запись SUPPORT_388945a0 или гость там, то ваша система скомпрометирована.
Если удалить/отключить учетные записи и они снова, то есть bat-файл, который воссоздание их...

Ronald · Отправлено: **18:13, 28-01-2015** | #3

Я это видел, но перекопав все батники понял, что возможен запуск в виде VBскрипта.. не могу отловить эту гадость. Порты закрыты, но постоянное создание такого юзера достало.

ruslan... · Конфигурация компьютера

Ronald,

В реестре попробуйте запустить по поиску 388945a0, возможно удастся отследить путь к скрипту.
Ищите во локальных папках:
C:\ProgramData
C:\Users\имяпользователя\AppData

Возможно здесь помогут:
сначала сюда собрать логи после слова Диагностика
Затем, с результатами создать тему здесь Лечение систем от вредоносных программ

Ronald · Отправлено: **18:30, 28-01-2015** | #5

Тут либо скрип не срабатывает полностью либо... ну папка юзера SUPPORT_388945a0 не создаётся.
В реестре по цифрам всё убивал, но создаётся опять

мне бы скрипт сам поймать.. антивирусы ничего не дают, а переставить ОСь почти анриал, там сколько всего висит, просто аллес капут

ЗЫ: Сейчас поищу ещё...

ruslan... · Конфигурация компьютера

Цитата Ronald:

В реестре по цифрам всё убивал, но создаётся опять »

Да сейчас не так главное убить, как отследить возможный путь. Проанализируйте записи в реестре.

Ronald · Отправлено: **18:47, 28-01-2015** | #7

Только что опять сработала сия дрянь. Антивирус молчит (KIS). Создало "правильного" юзера SUPPORT_388945a0 с русским описанием и добавило его в ветку UserList чтобы скрыть на входе. Данный юзер добавлен в группу Администраторы и Пользователи удалённого рабочего стола.
Ничего лишнего в памяти не висит... вроде.

ЗЫ: На вирусы проверялся жёсткий диск подключенный к другому ПК несколькими антивирусами.

Iska · Отправлено: **19:12, 28-01-2015** | #8

Process Monitor. Если это пакетный файл — фильтр на cmd.exe. Если скрипт WSH — фильтр на cscript.exe и wscript.exe.

Ronald · Отправлено: **12:22, 29-01-2015** | #9

Включил фильтры на скрипты, будем ждать...

Добавил фильтр на cscript.exe и wscript.exe а также на regedit, он когда юзера создаёт, то прячет его на странице логина...

Ronald · Отправлено: **18:40, 29-01-2015** | #10

пусто

юзер снова создался, а в процесс мониторе пусто...