Постоянный взлом

[alexagn]

Цитата:

Сообщение от Streletz

ПК пользуетесь Вы один?

Да, только я и все.

Цитата:

Сообщение от Streletz

ПК пользуетесь Вы один? Эти явления происходят после очередного входа в систему или прямо в процессе работы?

Прямо в процессе работы.

[Streletz]

Настраивайте аудит. Смените пароль на Windows.

Цитата:

Прямо в процессе работы

Хотя в этом случае вряд ли поможет.
Понаблюдайте с помощью FireWall'а за трафиком. Может быть действительно присутствует необычная сетевая активность через какой-то порт.
Наконец, просканируйте целиком антивирусом. Вдруг найдёт что-нибудь...
Сорее всего это либо вирус, либо кто-то хулиганит через "удалёнку".
ПК стоит на работе или дома?

[alexagn]

Цитата:

Сообщение от Streletz

Настраивайте аудит. Смените пароль на Windows. Понаблюдайте с помощью FireWall'а за трафиком. Может быть действительно присутствует необычная сетевая активность через какой-то порт.
Наконец, просканируйте целиком антивирусом. Вдруг найдёт что-нибудь...
ПК стоит на работе или дома?

Спасибо, что ответили. ПК стоит дома

[Streletz]

Цитата:

Сообщение от alexagn

ПК стоит дома

Скорее всего, это вирус. Однако совет относительно FireWall'а может оказаться полезным и в этом случае. Вся эта "деятельность" вполне может управляться из вне. Кроме того вирус(ы) ведёт(ут) вполне могут вести какой-либо обмен данными по сети.
Однако, в любом случае, нужно бороться не со следствием (например, блокировать порты), а, в первую очередь, с причиной в виде вредоносной программы или программ.
Попытайтесь, по возможности, вспомнить: какие программы Вы устанавливали перед тем как это началось, какие файлы загружали (сведения о дате создания из ОС в помощь) и т.д..
Помимо установленного антивируса, также можно воспользоваться бесплатными "сканерами по требованию" других производителей.
Если вычислить источник проблемы не удастся, то, скорее всего, придётся переустановить Windows. Пока не пропали данные критические важные для работы.

[Stilet]

Цитата:

периодически на компе стали пропадать файлы, стал меняться фон рабочего стола. Потом время стало меняться(было, например, 19.48, потом резко стало 17.33), на папках появились иконки(я никогда на папки их не ставлю)

Ну а действительно: Настрой файерволл на параноидальный уровень. Т.е. всем все запретить, и прочисти машинку несколькими антивирами-сканерами. Поройся в автозагрузках и службах, нет ли там чего подозрительного.

[alexagn]

Цитата:

Сообщение от Stilet

Ну а действительно: Настрой файерволл на параноидальный уровень. Т.е. всем все запретить, и прочисти машинку несколькими антивирами-сканерами. Поройся в автозагрузках и службах, нет ли там чего подозрительного.

Здравствуйте!

Спасибо за ответы! Все ненужные службы: Терминалы, Сервер и т.д. отключил. Хотелось бы Вас попросить посмотреть на такие логи(логи из "Аудита безопасности"):

Аудит успеха 15.04.2014 11:07:23 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 11:07:23 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 10:43:58 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 10:43:58 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 10:43:58 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 10:43:58 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:49 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 8:24:49 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:41 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 8:24:41 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:41 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:41 Microsoft Windows security auditing. 4648 Вход в систему
Аудит успеха 15.04.2014 8:24:19 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:18 Microsoft Windows security auditing. 5024 Другие системные события
Аудит успеха 15.04.2014 8:24:17 Microsoft Windows security auditing. 5033 Другие системные события
Аудит успеха 15.04.2014 8:24:17 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 8:24:17 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:16 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 8:24:16 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:16 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 8:24:16 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:16 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 8:24:16 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:15 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 8:24:15 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:15 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 8:24:15 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:14 Microsoft Windows security auditing. 4902 Аудит изменения политики
Аудит успеха 15.04.2014 8:24:13 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:13 Microsoft Windows security auditing. 4608 Изменение состояния безопасности
Аудит успеха 15.04.2014 8:23:24 Eventlog 1100 Завершение работы службы
Аудит успеха 15.04.2014 8:23:23 Microsoft Windows security auditing. 4647 Выход из системы
Аудит успеха 15.04.2014 7:43:22 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 7:43:22 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 7:43:22 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 7:43:22 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 5:57:19 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 5:57:19 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 5:57:11 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 5:57:11 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 5:57:11 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 5:57:11 Microsoft Windows security auditing. 4648 Вход в систему
Аудит успеха 15.04.2014 5:57:00 Microsoft Windows security auditing. 4624 Вход в систему

[alexagn]

В 8:24:13 я опять включил комп (матери оставил, чтобы она в инете инфу поискала) и уехал на работу. Приехал почти в 19.00. Если зайти в любое из этих событий, то будет такое:

Вкладка "Общие":
Новому сеансу входа назначены специальные привилегии.

Субъект:
ИД безопасности: система
Имя учетной записи: система
Домен учетной записи: NT AUTHORITY
Код входа: 0x3e7

Привилегии: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege

Вкладка "Подробности":

+ System

- Provider

[ Name] Microsoft-Windows-Security-Auditing
[ Guid] {54849625-5478-4994-A5BA-3E3B0328C30D}

EventID 4624

Version 0

Level 0

Task 12544

Opcode 0

Keywords 0x8020000000000000

- TimeCreated

[ SystemTime] 2014-04-15T08:07:23.476601900Z

EventRecordID 875

Correlation

- Execution

[ ProcessID] 572
[ ThreadID] 4780

Channel Security

Computer fghjklPC

Security


- EventData

SubjectUserSid S-1-5-18
SubjectUserName FGHJKLPC$
SubjectDomainName WORKGROUP
SubjectLogonId 0x3e7
TargetUserSid S-1-5-18
TargetUserName система
TargetDomainName NT AUTHORITY
TargetLogonId 0x3e7
LogonType 5
LogonProcessName Advapi
AuthenticationPackageName Negotiate
WorkstationName
LogonGuid {00000000-0000-0000-0000-000000000000}
TransmittedServices -
LmPackageName -
KeyLength 0
ProcessId 0x224
ProcessName C:\Windows\System32\services.exe
IpAddress -
IpPort -


Во всех событиях инфа приблизительно такая же.
Кто, что думает? Спасибо

[Streletz]

Помимо "ненужных" служб ещё есть нужные. Они тоже выполняют вход в систему.
В данном случае, на вкладке "Подробности" представлен обычный запуск системной службы.
Если речь идёт о сетевом входе, то ищите записи с соответствующими значениями EventID и EntryType (LogonType). Подробнее можно почитать на хабре: PowerShell и аудит безопасности.
Вредоносная программа вовсе не обязательно висит в службах и выполняет вход. Проверьте автозагрузку на предмет наличия там подозрительных записей.

[f.hump]

и какой это взлом?
так сейчас работает манагер служб у винды. когда нужно провести привелигерованую операцию запрашивает необходимые привелегии через встроенный системный акаунт, только и всего. единственная возможность не наблюдать это событие - не загружать винду.

[alexagn]

Цитата:

Сообщение от Streletz

Помимо "ненужных" служб ещё есть нужные. Они тоже выполняют вход в систему.
В данном случае, на вкладке "Подробности" представлен обычный запуск системной службы.
Если речь идёт о сетевом входе, то ищите записи с соответствующими значениями EventID и EntryType (LogonType). Подробнее можно почитать на хабре: PowerShell и аудит безопасности.
Вредоносная программа вовсе не обязательно висит в службах и выполняет вход. Проверьте автозагрузку на предмет наличия там подозрительных записей.

Спасибо большое