Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Самопроизвольно создаются учетные записи (http://forum.oszone.net/showthread.php?t=301046)

Delleter 11-06-2015 11:17 2517334

Самопроизвольно создаются учетные записи
 
Доброго времени суток!
ОС Win 8.1. Некоторое время назад обнаружил, что в списке учетных записей помимо моей присутствует 7 других учетных записей, со странными именами (как-будто писались русские имена, забыв перевести раскладку). В папке Users не одной из них небыло. Попробовал зайти с помощью одной из них, началась настройка системы как при первом входе в учетку и в папке Users появилась соответствующая новая папка с именем учетной записи.
Все лишние учетки удалил, антивирусом проверился. Всё чисто. Антивирус eset smart security 8.
Сейчас опять обнаружил новую учетку с именем cgtfizux.
С чем это может быть связано?

tb_rgg 11-06-2015 13:31 2517393

Delleter, м.б. какая то программа создаёт учётку.

Delleter 11-06-2015 15:46 2517438

Цитата:

Цитата tb_rgg
Delleter, м.б. какая то программа создаёт учётку. »

Это можно как-то проверить? Ничего лишнего в автозапуске не нашел. Прог, которые на такое способны вроде не использую.

Iska 11-06-2015 15:59 2517444

Delleter, полагаю, Вам с такими симптомами надо не сюда, а в: Лечение систем от вредоносных программ.

Delleter 11-06-2015 17:29 2517488

Самопроизвольно создаются учетные записи
 
Вложений: 1
Доброго времени суток!
ОС Win 8.1. Некоторое время назад обнаружил, что в списке учетных записей помимо моей присутствует 7 (примерно) других учетных записей, со странными именами (как-будто писались русские имена, забыв перевести раскладку). В папке Users не одной из них небыло. Попробовал зайти с помощью одной из них, началась настройка системы как при первом входе в учетку и в папке Users появилась соответствующая новая папка с именем учетной записи.
Все лишние учетки удалил, антивирусом проверился. Всё чисто.
Сейчас опять обнаружил новую учетку с именем cgtfizux.
Логи прикрепляю.

regist 11-06-2015 21:18 2517605

ProxyServer="63.150.152.151:8080" - сами прописывали?

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, UkrShara или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.


Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:

%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
Подробнее читайте в руководстве.

Delleter 12-06-2015 10:38 2517727

Вложений: 1
Цитата:

ProxyServer="63.150.152.151:8080" - сами прописывали?
Да
Цитата:

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ
http://dropmefiles.com/coBa4
Цитата:

Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Лог во вложении

regist 12-06-2015 20:24 2517954

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.


новые пользователи появляются при каждом включение компьютера?

Delleter 12-06-2015 20:48 2517966

Вложений: 1
Цитата:

Цитата regist
новые пользователи появляются при каждом включение компьютера? »

Нет. Когда и при каких обстаятельствах они появляются - мне неизвестно. С момента, как я впервые это обнаружил и удалил всех левых пользователей (около двух-трех недель назад), появился только один новый.
Лог во вложении

regist 13-06-2015 11:32 2518109

AceStream и MBAM деинсталируйте.
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Delleter 13-06-2015 12:48 2518143

Вложений: 1
Цитата:

Цитата regist
Прикрепите отчет к своему следующему сообщению »


regist 13-06-2015 13:55 2518165

  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Удалить).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.


плохого больше ничего не вижу.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
      ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
      exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.

Delleter 13-06-2015 14:25 2518174

Цитата:

Цитата regist
После его работы, если будут найдены уязвимости »

Ничего не найдено.
Цитата:

Цитата regist
Выполните рекомендации после лечения. »

Выполнил.
"Левую" учётную запись удалил. После перезагрузки она появилась снова с тем же именем.
Не знаю связано это или нет, одновременно с этим глюканул Eset Smart Security. При открытии его окна, оно оказывается пустым и невозможно включить защиту. В "Центре поддержки" и антивирус, и фаервол были отключены. Вылечилось перезагрузкой.
p.s. Eset Smart Security - лицензионный.

В логе нашел такие события:
Скрытый текст
Добавлен член глобальной группы с включенной безопасностью.

Субъект:
Идентификатор безопасности: СИСТЕМА
Имя учетной записи: DELL-PC$
Домен учетной записи: WORKGROUP
Идентификатор входа: 0x3E7

Член:
Идентификатор безопасности: dell-pc\cgtfizux
Имя учетной записи: -

Группа:
Идентификатор безопасности: dell-pc\Отсутствует
Имя группы: Отсутствует
Домен группы: dell-pc

Дополнительные сведения:
Привилегии: -

Скрытый текст
Создана учетная запись пользователя.

Субъект:
Идентификатор безопасности: СИСТЕМА
Имя учетной записи: DELL-PC$
Домен учетной записи: WORKGROUP
Идентификатор входа: 0x3E7

Новая учетная запись:
Идентификатор безопасности: dell-pc\cgtfizux
Имя учетной записи: cgtfizux
Домен учетной записи: dell-pc

Атрибуты:
Имя учетной записи SAM: cgtfizux
Отображаемое имя: <значение не задано>
Основное имя пользователя: -
Домашний каталог: <значение не задано>
Домашний диск: <значение не задано>
Путь к сценарию: <значение не задано>
Путь к профилю: <значение не задано>
Рабочие станции пользователя: <значение не задано>
Последний пароль задан: <никогда>
Срок действия учетной записи истекает: <никогда>
Идентификатор основной группы: 513
Разрешено делегировать: -
Старое значение UAC: 0x0
Новое значение UAC: 0x15
Управление учетной записью пользователя:
Учетная запись отключена
"Пароль не требуется" - включено
"Обычная учетная запись" - включено
Параметры пользователя: <значение не задано>
Журнал SID: -
Часы входа: Все

Дополнительные сведения:
Privileges -

Скрытый текст
Включена учетная запись пользователя.

Субъект:
Идентификатор безопасности: СИСТЕМА
Имя учетной записи: DELL-PC$
Домен учетной записи: WORKGROUP
Идентификатор входа: 0x3E7

Целевая учетная запись:
Идентификатор безопасности: dell-pc\cgtfizux
Имя учетной записи: cgtfizux
Домен учетной записи: dell-pc

Скрытый текст
Изменена учетная запись пользователя.

Субъект:
Идентификатор безопасности: СИСТЕМА
Имя учетной записи: DELL-PC$
Домен учетной записи: WORKGROUP
Идентификатор входа: 0x3E7

Целевая учетная запись:
Идентификатор безопасности: dell-pc\cgtfizux
Имя учетной записи: cgtfizux
Домен учетной записи: dell-pc

Измененные атрибуты:
Имя учетной записи SAM: cgtfizux
Отображаемое имя: cgtfizux
Основное имя пользователя: -
Домашний каталог: <значение не задано>
Домашний диск: <значение не задано>
Путь к сценарию: <значение не задано>
Путь к профилю: <значение не задано>
Рабочие станции пользователя: <значение не задано>
Последний пароль задан: 13.06.2015 14:27:19
Срок действия учетной записи истекает: <никогда>
Идентификатор основной группы: 513
Разрешено делегировать: -
Старое значение UAC: 0x15
Новое значение UAC: 0x210
Управление учетной записью пользователя:
Учетная запись включена
"Пароль не требуется" - отключено
"Не ограничивать срок действия пароля" - включено
Параметры пользователя: <значение не задано>
Журнал SID: -
Часы входа: Все

Дополнительные сведения:
Привилегии: -

Скрытый текст
Добавлен член локальной группы с включенной безопасностью.

Субъект:
Идентификатор безопасности: СИСТЕМА
Имя учетной записи: DELL-PC$
Домен учетной записи: WORKGROUP
Идентификатор входа: 0x3E7

Член:
Идентификатор безопасности: dell-pc\cgtfizux
Имя учетной записи: -

Группа:
Идентификатор безопасности: BUILTIN\Пользователи
Имя группы: Пользователи
Домен группы: Builtin

Дополнительные сведения:
Привилегии: -

Скрытый текст
Учетной записи предоставлен доступ к безопасности системы.

Субъект:
ИД безопасности: СИСТЕМА
Имя учетной записи: DELL-PC$
Домен учетной записи: WORKGROUP
Код входа: 0x3E7

Измененная учетная запись:
Имя учетной записи: dell-pc\cgtfizux

Предоставленный доступ:
Право на доступ: SeDenyNetworkLogonRight

Скрытый текст
Учетной записи предоставлен доступ к безопасности системы.

Субъект:
ИД безопасности: СИСТЕМА
Имя учетной записи: DELL-PC$
Домен учетной записи: WORKGROUP
Код входа: 0x3E7

Измененная учетная запись:
Имя учетной записи: dell-pc\cgtfizux

Предоставленный доступ:
Право на доступ: SeDenyRemoteInteractiveLogonRight

А также еще один лог:
Скрытый текст
Служба "ESET Service" зависла при запуске.

regist 13-06-2015 15:23 2518196

Цитата:

Цитата Delleter
Не знаю связано это или нет, одновременно с этим глюканул Eset Smart Security. »

скорее всего связано, эти учётки создаёт ESET Антивор. Отключите его.

Delleter 13-06-2015 18:33 2518263

Цитата:

Цитата regist
эти учётки создаёт ESET Антивор. Отключите его. »

Спасибо! Вот теперь проблема окончательно решена.


Время: 05:08.

Время: 05:08.
© OSzone.net 2001-