none
Несанкционированное включение удаленного доступа и учетной записи Гостя на Windows Server 2008 R2 RRS feed

  • Общие обсуждения

  • После удаления трояна осталась одна неприятная особенность: в одно и тоже время каждый день включается функция удаленного доступа, происходит сброс пароля Гостя и включение данной учетной записи. 

Все ответы

  • Для конкретизации: имеется на сервере Антивирус 6.0 для Windows Servers MP4, он то и обнаружил троян Troyan-Downloader.Win32.Agent.hhjo, которой по его трактовке он успешно ликвидировал, делал скан Dr. Web CureIt - ничего не нашел, поругался на файл hosts. Сейчас попробую рекомендованную Вами утилиту
  • в шедулях(в планировщике задач) ничо лишнего не завалялось? простейший скриптик выполняющий вышеперечисленное(анлок гостя, резет пароля и тп) никакими антивирусами не отследится.
  • в шедулях(в планировщике задач) ничо лишнего не завалялось? простейший скриптик выполняющий вышеперечисленное(анлок гостя, резет пароля и тп) никакими антивирусами не отследится.

    ==================== Scheduled Tasks (Whitelisted) =============

    (If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)

    Task: {63EE8552-A444-4BA2-8E1E-C8350D6D412A} - System32\Tasks\Microsoft\Windows\Server Manager\ServerManager => C:\Windows\system32\ServerManagerLauncher.exe [2009-07-14] (Microsoft Corporation)
    Task: {69110D7B-41DC-4E9D-BDD3-C826C7DB613B} - System32\Tasks\Microsoft\Windows\Customer Experience Improvement Program\Server\ServerRoleUsageCollector => C:\Windows\system32\ceipdata.exe [2010-11-21] (Microsoft Corporation)
    Task: {AFECE848-8DA2-461B-B5E6-CBEF57A4DF7D} - System32\Tasks\Microsoft\Windows\Customer Experience Improvement Program\Server\ServerRoleCollector => C:\Windows\system32\ceiprole.exe [2010-11-21] (Microsoft Corporation)
    Task: {D49A10DA-0F70-4779-BD96-B2D976A4F2E3} - System32\Tasks\Microsoft\Windows\Customer Experience Improvement Program\Server\ServerCeipAssistant => C:\Windows\system32\ceipdata.exe [2010-11-21] (Microsoft Corporation)
    Task: {ED193743-7050-42E1-9D98-60BF608154AF} - System32\Tasks\Microsoft\Windows\Application Experience\AitAgent => C:\Windows\system32\aitagent.exe [2010-11-21] (Корпорация Майкрософт (Microsoft Corp.))

    Выдал FRST


  • Антон, в каком виде вам прикрепить отчет?
  • До удаления трояна зафиксировано следующее

    Имя журнала:   System
    Источник:      Microsoft-Windows-UserPnp
    Дата:          24.04.2017 23:03:19
    Код события:   20001
    Категория задачи:(7005)
    Уровень:       Сведения
    Ключевые слова:
    Пользователь:  система
    Компьютер:    
    Описание:
    Управление драйверами завершило процесс установки драйвера 
    FileRepository\umbus.inf_amd64_neutral_2d4257afa2e35253\umbus.inf для экземпляра устройства с ИД UMB\UMB\1&841921D&0&TSBUS со следующим состоянием: 0x0.
    Xml события:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-UserPnp" Guid="{96F4A050-7E31-453C-88BE-9634F4E02139}" />
        <EventID>20001</EventID>
        <Version>0</Version>
        <Level>4</Level>
        <Task>7005</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8000000000000000</Keywords>
        <TimeCreated SystemTime="2017-04-24T20:03:19.623155400Z" />
        <EventRecordID>33917</EventRecordID>
        <Correlation />
        <Execution ProcessID="3524" ThreadID="8096" />
        <Channel>System</Channel>
        <Computer>GS2</Computer>
        <Security UserID="S-1-5-18" />
      </System>
      <UserData>
        <InstallDeviceID xmlns:auto-ns2="http://schemas.microsoft.com/win/2004/08/events" xmlns="http://manifests.microsoft.com/win/2004/08/windows/userpnp">
          <DriverName>FileRepository\umbus.inf_amd64_neutral_2d4257afa2e35253\umbus.inf</DriverName>
          <DriverVersion>6.1.7601.17514</DriverVersion>
          <DriverProvider>Microsoft</DriverProvider>
          <DeviceInstanceID>UMB\UMB\1&amp;841921D&amp;0&amp;TSBUS</DeviceInstanceID>
          <SetupClass>{4D36E97D-E325-11CE-BFC1-08002BE10318}</SetupClass>
          <RebootOption>false</RebootOption>
          <UpgradeDevice>false</UpgradeDevice>
          <IsDriverOEM>false</IsDriverOEM>
          <InstallStatus>0x0</InstallStatus>
          <DriverDescription>UMBus перечислитель</DriverDescription>
        </InstallDeviceID>
      </UserData>
    </Event>

  • Да 

    https://cloud.mail.ru/public/HB8o/KAjayC5Yj

  • Для конкретизации: имеется на сервере Антивирус 6.0 для Windows Servers MP4, он то и обнаружил троян Troyan-Downloader.Win32.Agent.hhjo, которой по его трактовке он успешно ликвидировал, делал скан Dr. Web CureIt - ничего не нашел, поругался на файл hosts. Сейчас попробую рекомендованную Вами утилиту

    Если я правильно помню, то эта версия касперского давным давно окончила свой жизненный цикл.

    Логичнее было бы оперативно перенести сервисы на новый сервер и избавиться от зараженного, установить доступные обновления на ОС и обновить антивирус, а не логи изучать.


    MCSAnykey

  • Для конкретизации: имеется на сервере Антивирус 6.0 для Windows Servers MP4, он то и обнаружил троян Troyan-Downloader.Win32.Agent.hhjo, которой по его трактовке он успешно ликвидировал, делал скан Dr. Web CureIt - ничего не нашел, поругался на файл hosts. Сейчас попробую рекомендованную Вами утилиту

    Если я правильно помню, то эта версия касперского давным давно окончила свой жизненный цикл.

    Логичнее было бы оперативно перенести сервисы на новый сервер и избавиться от зараженного, установить доступные обновления на ОС и обновить антивирус, а не логи изучать.


    MCSAnykey

    Вы ошибаетесь, данная версия касперского актуальна и сейчас, базы регулярно обновляются, на ОС установлены все последние обновления
  • Службы Акрониса я сам пока отключил для чистоты эксперимента, но факт остается фактом, в одно и тоже время активируется удаленка и сбрасывается пароль на учетке гостя и происходит ее активация. Логи журнала безопасности прилагаю

    https://cloud.mail.ru/public/5FKk/kkyE7UT6L

  • Если система была скомпрометирована, то лучше переустановить ОС, неизвестно какие ещё скрытые сюрпризы есть в системе.

  • Процесс, который включает удаленку, вычислил по аудиту: C:\Windows\System32\wbem\WmiPrvSE.exe.