|
|
Регистрация Восстановить пароль |
Повторная активизация e-mail |
Регистрация | Задать вопрос |
Заплачу за решение |
Новые сообщения |
Сообщения за день |
Расширенный поиск |
Правила |
Всё прочитано |
|
|
Опции темы | Поиск в этой теме |
13.04.2014, 21:06 | #11 |
Новичок
Джуниор
Регистрация: 13.04.2014
Сообщений: 12
|
Да, только я и все.
Прямо в процессе работы. Последний раз редактировалось Stilet; 13.04.2014 в 22:30. |
13.04.2014, 21:16 | #12 | |
Старожил
Регистрация: 03.01.2014
Сообщений: 2,870
|
Настраивайте аудит. Смените пароль на Windows.
Цитата:
Понаблюдайте с помощью FireWall'а за трафиком. Может быть действительно присутствует необычная сетевая активность через какой-то порт. Наконец, просканируйте целиком антивирусом. Вдруг найдёт что-нибудь... Сорее всего это либо вирус, либо кто-то хулиганит через "удалёнку". ПК стоит на работе или дома? Последний раз редактировалось Streletz; 13.04.2014 в 21:23. |
|
13.04.2014, 21:19 | #13 | |
Новичок
Джуниор
Регистрация: 13.04.2014
Сообщений: 12
|
Цитата:
|
|
13.04.2014, 21:50 | #14 |
Старожил
Регистрация: 03.01.2014
Сообщений: 2,870
|
Скорее всего, это вирус. Однако совет относительно FireWall'а может оказаться полезным и в этом случае. Вся эта "деятельность" вполне может управляться из вне. Кроме того вирус(ы) ведёт(ут) вполне могут вести какой-либо обмен данными по сети.
Однако, в любом случае, нужно бороться не со следствием (например, блокировать порты), а, в первую очередь, с причиной в виде вредоносной программы или программ. Попытайтесь, по возможности, вспомнить: какие программы Вы устанавливали перед тем как это началось, какие файлы загружали (сведения о дате создания из ОС в помощь) и т.д.. Помимо установленного антивируса, также можно воспользоваться бесплатными "сканерами по требованию" других производителей. Если вычислить источник проблемы не удастся, то, скорее всего, придётся переустановить Windows. Пока не пропали данные критические важные для работы. |
13.04.2014, 22:28 | #15 | |
Белик Виталий :)
Старожил
Регистрация: 23.07.2007
Сообщений: 57,097
|
Цитата:
I'm learning to live...
|
|
15.04.2014, 23:11 | #16 | |
Новичок
Джуниор
Регистрация: 13.04.2014
Сообщений: 12
|
Цитата:
Спасибо за ответы! Все ненужные службы: Терминалы, Сервер и т.д. отключил. Хотелось бы Вас попросить посмотреть на такие логи(логи из "Аудита безопасности"): Аудит успеха 15.04.2014 11:07:23 Microsoft Windows security auditing. 4672 Специальный вход Аудит успеха 15.04.2014 11:07:23 Microsoft Windows security auditing. 4624 Вход в систему Аудит успеха 15.04.2014 10:43:58 Microsoft Windows security auditing. 4672 Специальный вход Аудит успеха 15.04.2014 10:43:58 Microsoft Windows security auditing. 4624 Вход в систему Аудит успеха 15.04.2014 10:43:58 Microsoft Windows security auditing. 4672 Специальный вход Аудит успеха 15.04.2014 10:43:58 Microsoft Windows security auditing. 4624 Вход в систему Аудит успеха 15.04.2014 8:24:49 Microsoft Windows security auditing. 4672 Специальный вход Аудит успеха 15.04.2014 8:24:49 Microsoft Windows security auditing. 4624 Вход в систему Аудит успеха 15.04.2014 8:24:41 Microsoft Windows security auditing. 4672 Специальный вход Аудит успеха 15.04.2014 8:24:41 Microsoft Windows security auditing. 4624 Вход в систему Аудит успеха 15.04.2014 8:24:41 Microsoft Windows security auditing. 4624 Вход в систему Аудит успеха 15.04.2014 8:24:41 Microsoft Windows security auditing. 4648 Вход в систему Аудит успеха 15.04.2014 8:24:19 Microsoft Windows security auditing. 4624 Вход в систему Аудит успеха 15.04.2014 8:24:18 Microsoft Windows security auditing. 5024 Другие системные события Аудит успеха 15.04.2014 8:24:17 Microsoft Windows security auditing. 5033 Другие системные события Аудит успеха 15.04.2014 8:24:17 Microsoft Windows security auditing. 4672 Специальный вход Аудит успеха 15.04.2014 8:24:17 Microsoft Windows security auditing. 4624 Вход в систему Аудит успеха 15.04.2014 8:24:16 Microsoft Windows security auditing. 4672 Специальный вход Аудит успеха 15.04.2014 8:24:16 Microsoft Windows security auditing. 4624 Вход в систему Аудит успеха 15.04.2014 8:24:16 Microsoft Windows security auditing. 4672 Специальный вход Аудит успеха 15.04.2014 8:24:16 Microsoft Windows security auditing. 4624 Вход в систему Аудит успеха 15.04.2014 8:24:16 Microsoft Windows security auditing. 4672 Специальный вход Аудит успеха 15.04.2014 8:24:16 Microsoft Windows security auditing. 4624 Вход в систему Аудит успеха 15.04.2014 8:24:15 Microsoft Windows security auditing. 4672 Специальный вход Аудит успеха 15.04.2014 8:24:15 Microsoft Windows security auditing. 4624 Вход в систему Аудит успеха 15.04.2014 8:24:15 Microsoft Windows security auditing. 4672 Специальный вход Аудит успеха 15.04.2014 8:24:15 Microsoft Windows security auditing. 4624 Вход в систему Аудит успеха 15.04.2014 8:24:14 Microsoft Windows security auditing. 4902 Аудит изменения политики Аудит успеха 15.04.2014 8:24:13 Microsoft Windows security auditing. 4624 Вход в систему Аудит успеха 15.04.2014 8:24:13 Microsoft Windows security auditing. 4608 Изменение состояния безопасности Аудит успеха 15.04.2014 8:23:24 Eventlog 1100 Завершение работы службы Аудит успеха 15.04.2014 8:23:23 Microsoft Windows security auditing. 4647 Выход из системы Аудит успеха 15.04.2014 7:43:22 Microsoft Windows security auditing. 4672 Специальный вход Аудит успеха 15.04.2014 7:43:22 Microsoft Windows security auditing. 4624 Вход в систему Аудит успеха 15.04.2014 7:43:22 Microsoft Windows security auditing. 4672 Специальный вход Аудит успеха 15.04.2014 7:43:22 Microsoft Windows security auditing. 4624 Вход в систему Аудит успеха 15.04.2014 5:57:19 Microsoft Windows security auditing. 4672 Специальный вход Аудит успеха 15.04.2014 5:57:19 Microsoft Windows security auditing. 4624 Вход в систему Аудит успеха 15.04.2014 5:57:11 Microsoft Windows security auditing. 4672 Специальный вход Аудит успеха 15.04.2014 5:57:11 Microsoft Windows security auditing. 4624 Вход в систему Аудит успеха 15.04.2014 5:57:11 Microsoft Windows security auditing. 4624 Вход в систему Аудит успеха 15.04.2014 5:57:11 Microsoft Windows security auditing. 4648 Вход в систему Аудит успеха 15.04.2014 5:57:00 Microsoft Windows security auditing. 4624 Вход в систему |
|
15.04.2014, 23:11 | #17 |
Новичок
Джуниор
Регистрация: 13.04.2014
Сообщений: 12
|
В 8:24:13 я опять включил комп (матери оставил, чтобы она в инете инфу поискала) и уехал на работу. Приехал почти в 19.00. Если зайти в любое из этих событий, то будет такое:
Вкладка "Общие": Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: система Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Вкладка "Подробности": + System - Provider [ Name] Microsoft-Windows-Security-Auditing [ Guid] {54849625-5478-4994-A5BA-3E3B0328C30D} EventID 4624 Version 0 Level 0 Task 12544 Opcode 0 Keywords 0x8020000000000000 - TimeCreated [ SystemTime] 2014-04-15T08:07:23.476601900Z EventRecordID 875 Correlation - Execution [ ProcessID] 572 [ ThreadID] 4780 Channel Security Computer fghjklPC Security - EventData SubjectUserSid S-1-5-18 SubjectUserName FGHJKLPC$ SubjectDomainName WORKGROUP SubjectLogonId 0x3e7 TargetUserSid S-1-5-18 TargetUserName система TargetDomainName NT AUTHORITY TargetLogonId 0x3e7 LogonType 5 LogonProcessName Advapi AuthenticationPackageName Negotiate WorkstationName LogonGuid {00000000-0000-0000-0000-000000000000} TransmittedServices - LmPackageName - KeyLength 0 ProcessId 0x224 ProcessName C:\Windows\System32\services.exe IpAddress - IpPort - Во всех событиях инфа приблизительно такая же. Кто, что думает? Спасибо |
15.04.2014, 23:55 | #18 |
Старожил
Регистрация: 03.01.2014
Сообщений: 2,870
|
Помимо "ненужных" служб ещё есть нужные. Они тоже выполняют вход в систему.
В данном случае, на вкладке "Подробности" представлен обычный запуск системной службы. Если речь идёт о сетевом входе, то ищите записи с соответствующими значениями EventID и EntryType (LogonType). Подробнее можно почитать на хабре: PowerShell и аудит безопасности. Вредоносная программа вовсе не обязательно висит в службах и выполняет вход. Проверьте автозагрузку на предмет наличия там подозрительных записей. |
16.04.2014, 00:00 | #19 |
C/C++, Asm
Участник клуба
Регистрация: 02.03.2010
Сообщений: 1,323
|
и какой это взлом?
так сейчас работает манагер служб у винды. когда нужно провести привелигерованую операцию запрашивает необходимые привелегии через встроенный системный акаунт, только и всего. единственная возможность не наблюдать это событие - не загружать винду. |
16.04.2014, 00:01 | #20 | |
Новичок
Джуниор
Регистрация: 13.04.2014
Сообщений: 12
|
Цитата:
|
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Постоянный Scrollbars в TsListBox. | Cyrix | Общие вопросы Delphi | 3 | 09.11.2012 23:29 |
Постоянный массив указателей на постоянный массив Delphi | Kreadlling | Общие вопросы Delphi | 2 | 16.04.2012 15:28 |
Постоянный размер TImage | apinigin | C++ Builder | 5 | 26.07.2011 11:46 |
Постоянный фокус на кнопке | Upgrades | Общие вопросы Delphi | 6 | 20.07.2010 20:50 |
Постоянный контент страницы | Ivanchikov | HTML и CSS | 7 | 15.03.2010 18:59 |