Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   произвольное создание пользователя SUPPORT_388945a0 (http://forum.oszone.net/showthread.php?t=294610)

Ronald 28-01-2015 16:51 2462749
произвольное создание пользователя SUPPORT_388945a0
 
Имеем Windows 7 в которой произвольно создаётся юзер SUPPORT_388945a0. Я читал статьи по поводу взлома через telnet, но порты закрыты и даже если я удаляю/переименовываю этого юзера, то он снова появляется, добавляет себе роли админа и пользователя удалённого рабочего стола.
Я проверил все папки в профилях, а также самой ОС, проверил реестр и т.д. Вроде ничего не осталось, но что-то или кто-то запускает скрипт. Все юзеры с правами юзеров, только 1 учётка админа и пароль сменил, гость под паролем тоже и отключён.
У кого какие идеи??

ruslan... 28-01-2015 17:07 2462759
Ronald,

Can account SUPPORT_388945a0 be deleted from domain controller?
Цитата:
Джон, есть хакеры из Китая с использованием этой учетной записи,
проверить ваш группа пользователей «Пользователи удаленного рабочего стола» и «Администраторы».
Если учетная запись SUPPORT_388945a0 или гость там, то ваша система скомпрометирована.
Если удалить/отключить учетные записи и они снова, то есть bat-файл, который воссоздание их...

Ronald 28-01-2015 18:13 2462794
Я это видел, но перекопав все батники понял, что возможен запуск в виде VBскрипта.. не могу отловить эту гадость. Порты закрыты, но постоянное создание такого юзера достало.

ruslan... 28-01-2015 18:27 2462799
Ronald,

В реестре попробуйте запустить по поиску 388945a0, возможно удастся отследить путь к скрипту.
Ищите во локальных папках:
C:\ProgramData
C:\Users\имяпользователя\AppData

Возможно здесь помогут:
сначала сюда собрать логи после слова Диагностика
Затем, с результатами создать тему здесь Лечение систем от вредоносных программ

Ronald 28-01-2015 18:30 2462804
Тут либо скрип не срабатывает полностью либо... ну папка юзера SUPPORT_388945a0 не создаётся.
В реестре по цифрам всё убивал, но создаётся опять :(
мне бы скрипт сам поймать.. антивирусы ничего не дают, а переставить ОСь почти анриал, там сколько всего висит, просто аллес капут :(

ЗЫ: Сейчас поищу ещё...

ruslan... 28-01-2015 18:34 2462806
Цитата:
Цитата Ronald
В реестре по цифрам всё убивал, но создаётся опять »
Да сейчас не так главное убить, как отследить возможный путь. Проанализируйте записи в реестре.

Ronald 28-01-2015 18:47 2462812
Только что опять сработала сия дрянь. Антивирус молчит (KIS). Создало "правильного" юзера SUPPORT_388945a0 с русским описанием и добавило его в ветку UserList чтобы скрыть на входе. Данный юзер добавлен в группу Администраторы и Пользователи удалённого рабочего стола.
Ничего лишнего в памяти не висит... вроде.

ЗЫ: На вирусы проверялся жёсткий диск подключенный к другому ПК несколькими антивирусами.

Iska 28-01-2015 19:12 2462825
Process Monitor. Если это пакетный файл — фильтр на cmd.exe. Если скрипт WSH — фильтр на cscript.exe и wscript.exe.

Ronald 29-01-2015 12:22 2463138
Включил фильтры на скрипты, будем ждать...

Добавил фильтр на cscript.exe и wscript.exe а также на regedit, он когда юзера создаёт, то прячет его на странице логина...

Ronald 29-01-2015 18:40 2463343
пусто :(
юзер снова создался, а в процесс мониторе пусто...

zai 29-01-2015 18:48 2463349
http://support.microsoft.com/kb/947296/ru

Iska 29-01-2015 18:51 2463353
Ronald, если Вы не ошиблись с фильтром, надо полагать — создаётся иным способом. В принципе, создавать пользователя может любое приложение, любая библиотека, имеющие достаточные привилегии.

Лучше последуйте советам из второй части поста #4.

Vadikan 29-01-2015 20:13 2463397
2mods: если чисто, верните в 7, плиз

iskander-k 29-01-2015 21:42 2463444
Выложите логи в соответствии с этими инструкциями.


Время: 14:55.

Время: 14:55.
© OSzone.net 2001-