[mwz]

Цитата polonin:

Есть подозрение что к машине подбирают пароль из[]вне. »

Какое основание для таких подозрений?

И коли извне — то в "Лечение от вредоносных программ" смысла обращаться не было вообще.

PS
polonin

Кстати, у меня на WS2003 (полагаю что у вас тоже не win 2003, а Windows Server 2003) из логов подключений (в папке C:\WINDOWS\system32\LogFiles\MSFTPSVC1) и сообщений Cистемы в "Просмотре событий" от источника MSFTPSVC типа

Код:

The server was unable to logon the Windows NT account 'root' due to the following error: Logon failure: unknown user name or bad password.  The data is the error code.

следует, что ко мне регулярно, практически каждый лень, пытаются продолбиться.

Уже лет десять пытаются. И что? Ну нет у меня пользователей со стандартными именами типа root, admin и т.д., и нет паролей типа 1111111, qwerty, root, admin и т.д (да и вообще нет словарных).

[ShaddyR]

Цитата polonin:

Здравствуйте, мой коллега, системный администратор утверждает что на машину попал вредонос подбирающий пароль. Но вылечить машину самостоятельно не может. <CUT> видимо человеку, который работает за ним, для чего то надо чтобы дата была 30 ноября 2018 года. »

Цитата polonin:

коллега, который обследовал машину до лечения. Цитирую - Диагностика событий аудита безопасности. Анализ поведения клиента - на сервер поступают пакеты с запросами ntlm авторизации. Выполнил мониторинг соединений, нет информации по взаимосвязи с приложением отсылающим пакеты. Произвел антивирусную проверку. Диагностические утилиты procexp и procmon выдают ошибку и не запускаются. Есть признаки заражения или повреждения ОС - на клиенте установлено устаревшее по windows 2003. »

один другого круче... то дата левая, то призрнаки обнаружены.
Сервер терминалов ли? Локальная сеть и ресурсы расшаренные имеются ли? Логи событий системы хоть один из указанных специалистов глядел, сюда их можно предоставить?

[polonin]

Когда то, давным давно да, был сервер терминалов. Теперь используется просто как рабочая станция для бухгалтера. ОС: Windows Server 2003 R2 Enterprice Edition SP2. Комп в локальной сети. Есть несколько сетевых папочек. Журнал "Система" поврежден. В журнале "Безопасность" нашел вот такое событие
Тип события: Аудит успехов
Источник события: Security
Категория события: Вход/выход
Код события: 540
Дата: 05.12.2018
Время: 14:20:11
Пользователь: NT AUTHORITY\АНОНИМНЫЙ ВХОД
Компьютер: SERVER
Описание:
Успешный сетевой вход в систему:
Пользователь:
Домен:
Код входа: (0x0,0x926D48)
Тип входа: 3
Процесс входа: NtLmSsp
Пакет проверки: NTLM
Рабочая станция: USER-ПК
Код GUID: -
Имя вызывающего пользователя: -
Домен вызывающего: -
Код входа вызывающего: -
Код процесса вызывающего: -
Промежуточные службы:-
Адрес сети источника: 192.168.0.210
Порт источника: 0


Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

Я подключался через TeamViewer. Может быть, этот успешный анонимный вход и есть теамвивер.

[mwz]

Цитата polonin:

Адрес сети источника: 192.168.0.210 »

Ну и кто у вас за компьютером с этим IP сидит?

Цитата polonin:

Журнал "Система" поврежден »

Очистить его не получается?

[Angry Demon]

Цитата polonin:

Успешный сетевой вход в систему: Пользователь: Домен: Код входа: (0x0,0x926D48) Тип входа: 3 Процесс входа: NtLmSsp Пакет проверки: NTLM Рабочая станция: USER-ПК]

И что? Кто-то успешно в ваши "общие папочки" полез ковыряться.

[polonin]

Журнал отчистил. Спасибо, за инфу про общие папки. Короче, поинтересовался снова в чём суть проблемы. Эта машина ломится на сервер терминалов (на win 2008).
Вот лог журнала "Безопасность"
Учетной записи не удалось выполнить вход в систему.

Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0

Тип входа: 3

Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: Администратор
Домен учетной записи: SERVER

Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xc000006d
Подсостояние: 0xc000006a

Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x0
Имя процесса вызывающей стороны: -

Сведения о сети:
Имя рабочей станции: SERVER
Сетевой адрес источника: 192.168.0.85
Порт источника: 2409

Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0

Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.

Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).

В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход.

Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
- В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
- Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
- Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.

Так вот на этом 85 айпишнике - win 2003.

[Angry Demon]

Цитата polonin:

Эта машина ломится на сервер терминалов (на win 2008)

Ну ищет она расшаренные папки. Ну и что? Подозреваю, что не только на эту машину ломится, а всю сеть обнюхивает.
Поди, какой-нибудь антивирус с криво настроенными параметрами обновления ломится куда не попадя.

[ShaddyR]

polonin, если это - все - ты поднял бурю в стакане. Ломятся - это когда идёт перебор пароле, как было сказано выше,- сотни попыток входа с разными учетными данными. А это... это - ничего не было.

[polonin]

Дак хорошо если так, просто бухгалтерия переживает.