[решено] Самопроизвольно создаются учетные записи

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

Самопроизвольно создаются учетные записи

Доброго времени суток!
ОС Win 8.1. Некоторое время назад обнаружил, что в списке учетных записей помимо моей присутствует 7 других учетных записей, со странными именами (как-будто писались русские имена, забыв перевести раскладку). В папке Users не одной из них небыло. Попробовал зайти с помощью одной из них, началась настройка системы как при первом входе в учетку и в папке Users появилась соответствующая новая папка с именем учетной записи.
Все лишние учетки удалил, антивирусом проверился. Всё чисто. Антивирус eset smart security 8.
Сейчас опять обнаружил новую учетку с именем cgtfizux.
С чем это может быть связано?

Delleter, м.б. какая то программа создаёт учётку.

Цитата:

Цитата tb_rgg

Delleter, м.б. какая то программа создаёт учётку. »

Это можно как-то проверить? Ничего лишнего в автозапуске не нашел. Прог, которые на такое способны вроде не использую.

Delleter, полагаю, Вам с такими симптомами надо не сюда, а в: Лечение систем от вредоносных программ.

Самопроизвольно создаются учетные записи

Доброго времени суток!
ОС Win 8.1. Некоторое время назад обнаружил, что в списке учетных записей помимо моей присутствует 7 (примерно) других учетных записей, со странными именами (как-будто писались русские имена, забыв перевести раскладку). В папке Users не одной из них небыло. Попробовал зайти с помощью одной из них, началась настройка системы как при первом входе в учетку и в папке Users появилась соответствующая новая папка с именем учетной записи.
Все лишние учетки удалил, антивирусом проверился. Всё чисто.
Сейчас опять обнаружил новую учетку с именем cgtfizux.
Логи прикрепляю.

ProxyServer="63.150.152.151:8080" - сами прописывали?

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

Запустите AVZ.
Выполните обновление баз (Меню Файл - Обновление баз)
Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
Закачайте полученный архив, как описано на этой странице.
Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, UkrShara или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
Подробнее читайте в руководстве.

Цитата:

ProxyServer="63.150.152.151:8080" - сами прописывали?

Да

Цитата:

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ

http://dropmefiles.com/coBa4

Цитата:

Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.

Лог во вложении

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

новые пользователи появляются при каждом включение компьютера?

Цитата:

Цитата regist

новые пользователи появляются при каждом включение компьютера? »

Нет. Когда и при каких обстаятельствах они появляются - мне неизвестно. С момента, как я впервые это обнаружил и удалил всех левых пользователей (около двух-трех недель назад), появился только один новый.
Лог во вложении

AceStream и MBAM деинсталируйте.

Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Цитата:

Цитата regist

Прикрепите отчет к своему следующему сообщению »

Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Удалить).
Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

плохого больше ничего не вижу.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var

LogPath : string;

ScriptPath : string;



begin

 LogPath := GetAVZDirectory + 'log\avz_log.txt';

 if FileExists(LogPath) Then DeleteFile(LogPath);

 ScriptPath := GetAVZDirectory +'ScanVuln.txt';



  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin

    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin

       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');

       exit;

      end;

  end;

 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)

end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.

Цитата:

Цитата regist

После его работы, если будут найдены уязвимости »

Ничего не найдено.

Цитата:

Цитата regist

Выполните рекомендации после лечения. »

Выполнил.
"Левую" учётную запись удалил. После перезагрузки она появилась снова с тем же именем.
Не знаю связано это или нет, одновременно с этим глюканул Eset Smart Security. При открытии его окна, оно оказывается пустым и невозможно включить защиту. В "Центре поддержки" и антивирус, и фаервол были отключены. Вылечилось перезагрузкой.
p.s. Eset Smart Security - лицензионный.

В логе нашел такие события:

Скрытый текст

Добавлен член глобальной группы с включенной безопасностью.

Субъект:
Идентификатор безопасности: СИСТЕМА
Имя учетной записи: DELL-PC$
Домен учетной записи: WORKGROUP
Идентификатор входа: 0x3E7

Член:
Идентификатор безопасности: dell-pc\cgtfizux
Имя учетной записи: -

Группа:
Идентификатор безопасности: dell-pc\Отсутствует
Имя группы: Отсутствует
Домен группы: dell-pc

Дополнительные сведения:
Привилегии: -

Скрытый текст

Создана учетная запись пользователя.

Субъект:
Идентификатор безопасности: СИСТЕМА
Имя учетной записи: DELL-PC$
Домен учетной записи: WORKGROUP
Идентификатор входа: 0x3E7

Новая учетная запись:
Идентификатор безопасности: dell-pc\cgtfizux
Имя учетной записи: cgtfizux
Домен учетной записи: dell-pc

Атрибуты:
Имя учетной записи SAM: cgtfizux
Отображаемое имя: <значение не задано>
Основное имя пользователя: -
Домашний каталог: <значение не задано>
Домашний диск: <значение не задано>
Путь к сценарию: <значение не задано>
Путь к профилю: <значение не задано>
Рабочие станции пользователя: <значение не задано>
Последний пароль задан: <никогда>
Срок действия учетной записи истекает: <никогда>
Идентификатор основной группы: 513
Разрешено делегировать: -
Старое значение UAC: 0x0
Новое значение UAC: 0x15
Управление учетной записью пользователя:
Учетная запись отключена
"Пароль не требуется" - включено
"Обычная учетная запись" - включено
Параметры пользователя: <значение не задано>
Журнал SID: -
Часы входа: Все

Дополнительные сведения:
Privileges -

Скрытый текст

Включена учетная запись пользователя.

Субъект:
Идентификатор безопасности: СИСТЕМА
Имя учетной записи: DELL-PC$
Домен учетной записи: WORKGROUP
Идентификатор входа: 0x3E7

Целевая учетная запись:
Идентификатор безопасности: dell-pc\cgtfizux
Имя учетной записи: cgtfizux
Домен учетной записи: dell-pc

Скрытый текст

Изменена учетная запись пользователя.

Субъект:
Идентификатор безопасности: СИСТЕМА
Имя учетной записи: DELL-PC$
Домен учетной записи: WORKGROUP
Идентификатор входа: 0x3E7

Целевая учетная запись:
Идентификатор безопасности: dell-pc\cgtfizux
Имя учетной записи: cgtfizux
Домен учетной записи: dell-pc

Измененные атрибуты:
Имя учетной записи SAM: cgtfizux
Отображаемое имя: cgtfizux
Основное имя пользователя: -
Домашний каталог: <значение не задано>
Домашний диск: <значение не задано>
Путь к сценарию: <значение не задано>
Путь к профилю: <значение не задано>
Рабочие станции пользователя: <значение не задано>
Последний пароль задан: 13.06.2015 14:27:19
Срок действия учетной записи истекает: <никогда>
Идентификатор основной группы: 513
Разрешено делегировать: -
Старое значение UAC: 0x15
Новое значение UAC: 0x210
Управление учетной записью пользователя:
Учетная запись включена
"Пароль не требуется" - отключено
"Не ограничивать срок действия пароля" - включено
Параметры пользователя: <значение не задано>
Журнал SID: -
Часы входа: Все

Дополнительные сведения:
Привилегии: -

Скрытый текст

Добавлен член локальной группы с включенной безопасностью.

Субъект:
Идентификатор безопасности: СИСТЕМА
Имя учетной записи: DELL-PC$
Домен учетной записи: WORKGROUP
Идентификатор входа: 0x3E7

Член:
Идентификатор безопасности: dell-pc\cgtfizux
Имя учетной записи: -

Группа:
Идентификатор безопасности: BUILTIN\Пользователи
Имя группы: Пользователи
Домен группы: Builtin

Дополнительные сведения:
Привилегии: -

Скрытый текст

Учетной записи предоставлен доступ к безопасности системы.

Субъект:
ИД безопасности: СИСТЕМА
Имя учетной записи: DELL-PC$
Домен учетной записи: WORKGROUP
Код входа: 0x3E7

Измененная учетная запись:
Имя учетной записи: dell-pc\cgtfizux

Предоставленный доступ:
Право на доступ: SeDenyNetworkLogonRight

Скрытый текст

А также еще один лог:

Скрытый текст

Служба "ESET Service" зависла при запуске.

Цитата:

Цитата Delleter

Не знаю связано это или нет, одновременно с этим глюканул Eset Smart Security. »

скорее всего связано, эти учётки создаёт ESET Антивор. Отключите его.

Цитата:

Цитата regist

эти учётки создаёт ESET Антивор. Отключите его. »

Спасибо! Вот теперь проблема окончательно решена.