Появление чужих пользователей в Windows Server 2003

@ersedes · Регистрация: 31.05.2012

Студворк — интернет-сервис помощи студентам

Здравствуйте, после обновление операционки или касперского появляются левые пользователи в Windows Server 2003 R2 Standart Edition SP2 , и открывается доступ к удаленному рабочему столу. В безопасном режиме CureIT ничего не нашла, Касперский 6.0 для Windows Servers версия 6.0.3.837 c.d.e.f.i тоже. Дополнительно установлен Outpost Firewall Pro 7.0.2 (3377.514.1238). Если нужно могу прикрепить скрин учетных записей пользователей.
Прошу помочь...

magirus · 31.05.2012, 14:23

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

Добавлено через 1 минуту

Сообщение от ersedes

могу прикрепить скрин учетных записей пользователей.

прикрепите...

@ersedes · 31.05.2012, 14:44 **[ТС]**

Первым появляется красным отмеченный пользователь, потом если не принимать никаких мер, появляются остальные.

@shestale · 31.05.2012, 15:23

По логам ни чего плохого не видно.
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

@ersedes · 01.06.2012, 11:23 **[ТС]**

Сообщение от shestale

По логам ни чего плохого не видно.
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Лог файл

@shestale · 01.06.2012, 12:54

Удалите все найденное в МВАМ.

Обнаруженные ключи в реестре: 18
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rp.exe (Security.Hijack) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rps.exe (Security.Hijack) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe (Security.Hijack) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360sd.exe (Security.Hijack) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe (Security.Hijack) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avcenter.exe (Security.Hijack) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgnt.exe (Security.Hijack) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avguard.exe (Security.Hijack) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cfp.exe (Security.Hijack) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmdagent.exe (Security.Hijack) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kavstart.exe (Security.Hijack) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kissvc.exe (Security.Hijack) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KsafeTray.exe (Security.Hijack) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KSWebShield.exe (Security.Hijack) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Kwatch.exe (Security.Hijack) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQPCRTP.EXE (Security.Hijack) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQPCTray.exe (Security.Hijack) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravmond.exe (Security.Hijack) -> Действие не было предпринято.
Обнаруженные файлы: 2
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\C9IFOBWB\cmd[1].exe (Trojan.Backdoor) -> Действие не было предпринято.
C:\WINDOWS\ЧФјєЙиЦГ±ЈґжµДEXEОДјюГы.exe (Trojan.Backdoor) -> Действие не было предпринято.

Перегрузитесь. Что с проблемой?

@ersedes · 01.06.2012, 14:34 **[ТС]**

Удалил, и заново проверил вот свежие логи

@ersedes · 01.06.2012, 15:03 **[ТС]**

Проблема осталось только что обновил файервол, и обратно все повторилось.

@shestale · 01.06.2012, 19:11

Сделайте такой лог.

Я вижу у вас установлен UserGate. Появление новых пользователей не может быть глюками его работы?

@Katharsis · 01.06.2012, 19:19

в качестве чего используется сервер? Какие привилегии имеют создаваемые учетки?

Уверены в чистоте подключенных к серверу машин?

@ersedes · 02.06.2012, 07:46 **[ТС]**

Сообщение от shestale

Сделайте такой лог.

Я вижу у вас установлен UserGate. Появление новых пользователей не может быть глюками его работы?

Мне кажется это не из за Usergate, после обновления появляется пользователь с правами админа и открывается удаленный доступ к рабочему столу, на этом месте я удаляю этого чужака и убираю доступ на удаленный рабочий стол, пока этот цикл повторяется. Лог сейчас подготовлю.

Добавлено через 5 минут

Сообщение от Katharsis

в качестве чего используется сервер? Какие привилегии имеют создаваемые учетки?

Уверены в чистоте подключенных к серверу машин?

Сервер с помощью Usergate раздает интернет и там установлен MS SQL Server 2005+IIS для дистанционного обучения обучающихся.

Левые пользователи имеют права администратора.

На счет других машин не уверен.

@ersedes · 02.06.2012, 10:09 **[ТС]**

Сообщение от shestale

Сделайте такой лог.

Логи OTL

@shestale · 02.06.2012, 12:16

И здесь чисто.
Сделайте такой лог.
Проверьте появление левых пользователей, обновившись, без подключенных к серверу машин.

@ersedes · 04.06.2012, 08:11 **[ТС]**

После установки, Kaspersky Endpoint Security 8 для Windows нашел вирус BackDoor.Win32.Hupigon.nkor

@shestale · 04.06.2012, 17:57

Что сейчас с проблемой, есть изменения?
Он в карантине остался? Под каким именем?

@ersedes · 05.06.2012, 07:51 **[ТС]**

Сообщение от shestale

Что сейчас с проблемой, есть изменения?
Он в карантине остался? Под каким именем?

Вот скрин карантина

@shestale · 05.06.2012, 10:14

Как и предполагалось, в ранее присланных логах их нет. Что с проблемой не ответили?

@ersedes · 05.06.2012, 15:08 **[ТС]**

Сообщение от shestale

Как и предполагалось, в ранее присланных логах их нет. Что с проблемой не ответили?

Сейчас специально обновил операционку и антивирус, пока все в норме, тишина.

@shestale · 05.06.2012, 15:17

Сможете отправить их из карантина с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме?

@ersedes · 06.06.2012, 13:15 **[ТС]**

Сообщение от shestale

Сможете отправить их из карантина с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме?

Они у меня в резервной хранилище лежать. На жестком где можно скачать эти файлы? В целях безопасности восстанавливать эти файлы не хочется.

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .	SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .	SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .
SDL3 для Web (WebAssembly): Установка Emscripten SDK (emsdk) и CMake для сборки C и C++ приложений в Wasm 8Observer8 30.01.2026 Содержание блога Для того чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. . . .	SDL3 для Android: Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .	SDL3 для Android: Загрузка PNG с альфа-каналом с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 28.01.2026 Содержание блога SDL3 имеет собственные средства для загрузки и отображения PNG-файлов с альфа-каналом и базовой работы с ними. В этой инструкции используется функция SDL_LoadPNG(), которая. . .

@ersedes 1 / 1 / 0 Регистрация: 31.05.2012 Сообщений: 13
	31.05.2012, 14:44 [ТС]
	Первым появляется красным отмеченный пользователь, потом если не принимать никаких мер, появляются остальные. Миниатюры 0

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	31.05.2012, 15:23
	По логам ни чего плохого не видно. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. 0

@ersedes 1 / 1 / 0 Регистрация: 31.05.2012 Сообщений: 13
	01.06.2012, 15:03 [ТС]
	Проблема осталось только что обновил файервол, и обратно все повторилось. 0

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	01.06.2012, 19:11
	Сделайте такой лог. Я вижу у вас установлен UserGate. Появление новых пользователей не может быть глюками его работы? 0

@Katharsis 8571 / 4877 / 66 Регистрация: 16.09.2010 Сообщений: 14,446
	01.06.2012, 19:19
	в качестве чего используется сервер? Какие привилегии имеют создаваемые учетки? Уверены в чистоте подключенных к серверу машин? 0

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	02.06.2012, 12:16
	И здесь чисто. Сделайте такой лог. Проверьте появление левых пользователей, обновившись, без подключенных к серверу машин. 0

@ersedes 1 / 1 / 0 Регистрация: 31.05.2012 Сообщений: 13
	04.06.2012, 08:11 [ТС]
	После установки, Kaspersky Endpoint Security 8 для Windows нашел вирус BackDoor.Win32.Hupigon.nkor 0

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	04.06.2012, 17:57
	Что сейчас с проблемой, есть изменения? Он в карантине остался? Под каким именем? 0

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	05.06.2012, 10:14
	Как и предполагалось, в ранее присланных логах их нет. Что с проблемой не ответили? 0

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	05.06.2012, 15:17
	Сможете отправить их из карантина с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме? 0