Короче раз словил шифровальщика, все пошифровало. Востановил и начались чудеса. Учетки всем поделал новые кроме администратора, у него поменял пароль, права всем обрезал кроме администратора. И короче понеслось, каждые выходные у меня создаетсяновая учетка, с правами администратора, хотя пароль в неделю раза по два меняю, уже такое чувство что какой то кейлогер лежит. Порты все закрыты, на рдп только открыт и то порт взят с головы, стоит Kaspersky Anti-Virus 2016 который каждую ночь отлавливает одно и тоже(

Вот что мне всегда показывает кашпер
28.12.2015 09.25.56 Обнаруженный объект (файл) удален. C:\RECYCLER\xphlkg.exe Файл: C:\RECYCLER\xphlkg.exe Название объекта: Trojan-Downloader.BAT.Small.aq Тип объекта: Троянская программа Время: 28.12.2015 9:25
28.12.2015 09.25.56 Обнаруженный объект (файл) удален. C:\WINDOWS\system32\sethlkg.exe Файл: C:\WINDOWS\system32\sethlkg.exe Название объекта: Trojan-Downloader.BAT.Small.aq Тип объекта: Троянская программа Время: 28.12.2015 9:25
28.12.2015 09.25.55 Обнаруженный объект (файл) удален. C:\WINDOWS\system32\xphlkg.exe Файл: C:\WINDOWS\system32\xphlkg.exe Название объекта: Trojan-Downloader.BAT.Small.aq Тип объекта: Троянская программа Время: 28.12.2015 9:25
28.12.2015 06.18.26 Обнаруженный объект (файл) удален. C:\hexlg.exe//data0000.res Файл: C:\hexlg.exe//data0000.res Название объекта: Rootkit.Win32.Lapka.an Тип объекта: Троянская программа Время: 28.12.2015 6:18
28.12.2015 06.18.26 Обнаруженный объект (файл) удален. C:\hexlg.exe Файл: C:\hexlg.exe Название объекта: HEUR:Trojan.Win32.Generic Тип объекта: Троянская программа Время: 28.12.2015 6:18
28.12.2015 06.18.23 Чистый объект (файл) помещен пользователем на карантин. C:\hexlg.exe Файл: C:\hexlg.exe Название объекта: HEUR:Trojan.Win32.Generic Тип объекта: Троянская программа Время: 28.12.2015 6:18
28.12.2015 06.17.41 Обнаруженный объект (файл) удален. C:\RECYCLER\hexlg.exe//data0000.res Файл: C:\RECYCLER\hexlg.exe//data0000.res Название объекта: Rootkit.Win32.Lapka.an Тип объекта: Троянская программа Время: 28.12.2015 6:17
28.12.2015 06.17.41 Обнаруженный объект (файл) удален. C:\RECYCLER\hexlg.exe Файл: C:\RECYCLER\hexlg.exe Название объекта: HEUR:Trojan.Win32.Generic Тип объекта: Троянская программа Время: 28.12.2015 6:17
28.12.2015 06.17.41 Чистый объект (файл) помещен пользователем на карантин. C:\RECYCLER\hexlg.exe Файл: C:\RECYCLER\hexlg.exe Название объекта: HEUR:Trojan.Win32.Generic Тип объекта: Троянская программа Время: 28.12.2015 6:17
28.12.2015 06.16.57 Обнаруженный объект (файл) удален. C:\WINDOWS\system32\hexlg.exe Файл: C:\WINDOWS\system32\hexlg.exe Название объекта: HEUR:Trojan.Win32.Generic Тип объекта: Троянская программа Время: 28.12.2015 6:16
28.12.2015 06.16.57 Обнаруженный объект (файл) удален. C:\WINDOWS\system32\hexlg.exe//data0000.res Файл: C:\WINDOWS\system32\hexlg.exe//data0000.res Название объекта: Rootkit.Win32.Lapka.an Тип объекта: Троянская программа Время: 28.12.2015 6:16
28.12.2015 06.16.55 Чистый объект (файл) помещен пользователем на карантин. C:\WINDOWS\system32\hexlg.exe Файл: C:\WINDOWS\system32\hexlg.exe Название объекта: HEUR:Trojan.Win32.Generic Тип объекта: Троянская программа Время: 28.12.2015 6:16
28.12.2015 06.15.00 Обнаруженный объект (файл) удален. C:\zylg.exe Файл: C:\zylg.exe Название объекта: Trojan-Downloader.VBS.Small.kx Тип объекта: Троянская программа Время: 28.12.2015 6:15
28.12.2015 06.14.57 Обнаруженный объект (файл) удален. C:\RECYCLER\zylg.exe Файл: C:\RECYCLER\zylg.exe Название объекта: Trojan-Downloader.BAT.Small.aq Тип объекта: Троянская программа Время: 28.12.2015 6:14
28.12.2015 06.14.53 Обнаруженный объект (файл) удален. C:\WINDOWS\system32\zylg.exe Файл: C:\WINDOWS\system32\zylg.exe Название объекта: Trojan-Downloader.BAT.Small.aq Тип объекта: Троянская программа Время: 28.12.2015 6:14
27.12.2015 19.00.35 Обнаруженный объект (файл) удален. C:\hexlogs.exe//data0000.res Файл: C:\hexlogs.exe//data0000.res Название объекта: Rootkit.Win32.Lapka.an Тип объекта: Троянская программа Время: 27.12.2015 19:00
27.12.2015 19.00.35 Обнаруженный объект (файл) удален. C:\hexlogs.exe Файл: C:\hexlogs.exe Название объекта: HEUR:Trojan.Win32.Generic Тип объекта: Троянская программа Время: 27.12.2015 19:00
27.12.2015 19.00.35 Чистый объект (файл) помещен пользователем на карантин. C:\hexlogs.exe Файл: C:\hexlogs.exe Название объекта: HEUR:Trojan.Win32.Generic Тип объекта: Троянская программа Время: 27.12.2015 19:00
27.12.2015 19.00.35 Обнаруженный объект (файл) удален. C:\RECYCLER\hexlogs.exe//data0000.res Файл: C:\RECYCLER\hexlogs.exe//data0000.res Название объекта: Rootkit.Win32.Lapka.an Тип объекта: Троянская программа Время: 27.12.2015 19:00
27.12.2015 19.00.35 Обнаруженный объект (файл) удален. C:\RECYCLER\hexlogs.exe Файл: C:\RECYCLER\hexlogs.exe Название объекта: HEUR:Trojan.Win32.Generic Тип объекта: Троянская программа Время: 27.12.2015 19:00
27.12.2015 19.00.34 Обнаруженный объект (файл) удален. C:\WINDOWS\system32\hexlogs.exe//data0000.res Файл: C:\WINDOWS\system32\hexlogs.exe//data0000.res Название объекта: Rootkit.Win32.Lapka.an Тип объекта: Троянская программа Время: 27.12.2015 19:00
27.12.2015 19.00.34 Обнаруженный объект (файл) удален. C:\WINDOWS\system32\hexlogs.exe Файл: C:\WINDOWS\system32\hexlogs.exe Название объекта: HEUR:Trojan.Win32.Generic Тип объекта: Троянская программа Время: 27.12.2015 19:00
27.12.2015 19.00.33 Чистый объект (файл) помещен пользователем на карантин. C:\RECYCLER\hexlogs.exe Файл: C:\RECYCLER\hexlogs.exe Название объекта: HEUR:Trojan.Win32.Generic Тип объекта: Троянская программа Время: 27.12.2015 19:00
27.12.2015 19.00.32 Чистый объект (файл) помещен пользователем на карантин. C:\WINDOWS\system32\hexlogs.exe Файл: C:\WINDOWS\system32\hexlogs.exe Название объекта: HEUR:Trojan.Win32.Generic Тип объекта: Троянская программа Время: 27.12.2015 19:00
27.12.2015 13.05.58 Обнаруженный объект (файл) удален. C:\wshom.exe Файл: C:\wshom.exe Название объекта: HEUR:Trojan.Win32.Generic Тип объекта: Троянская программа Время: 27.12.2015 13:05
27.12.2015 13.04.48 Обнаруженный объект (файл) удален. C:\WINDOWS\system32\config\wshom.exe Файл: C:\WINDOWS\system32\config\wshom.exe Название объекта: HEUR:Trojan.Win32.Generic Тип объекта: Троянская программа Время: 27.12.2015 13:04
27.12.2015 13.02.38 Обнаруженный объект (файл) удален. C:\WINDOWS\system32\wshom.exe Файл: C:\WINDOWS\system32\wshom.exe Название объекта: HEUR:Trojan.Win32.Generic Тип объекта: Троянская программа Время: 27.12.2015 13:02

И вот такое постоянно в логах
Пользователю "wwo" не удалось войти в систему. [КЛИЕНТ: 222.186.34.122]
Пользователю "sa" не удалось войти в систему. [КЛИЕНТ: 222.186.34.122]
Пользователю "vice" не удалось войти в систему. [КЛИЕНТ: 222.186.34.122]

Логи по правилам (http://forum.oszone.net/thread-98169.html) предоставьте.

Прикрепил

Ломятся из Китая, и, видимо, успешно.

Скачайте Universal Virus Sniffer (http://safezone.cc/resources/7/) (uVS).
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. Дождитесь окончания работы программы, после сохранения полный образ автозапуска будет автоматически упакован в архив 7-Zip с расширением .7Z. Прикрепите этот архив к посту в теме.

Ломятся из Китая, и, видимо, успешно.
Скачайте Universal Virus Sniffer (uVS).
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. Дождитесь окончания работы программы, после сохранения полный образ автозапуска будет автоматически упакован в архив 7-Zip с расширением .7Z. Прикрепите этот архив к посту в теме. »


Та видел что с китая, тупо постоянно ломится. ( менять порт не вариант, 100 человек


стоит dsl модем dsl n12e, в разделе проброса, поставил запрет на этот ип в отклоние адреса истояника, в tcp порты оставил пустые, по идее же должен все порты отклонять?

, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v385c
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALLA\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EAHEBAMIOPDHEFNDNMAPPCIHFAJIGKKA\4.6.2.7_0\KASPERSKY PROTECTION
delref %SystemDrive%\DOCUMENTS AND SETTINGS\OLYA\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EAHEBAMIOPDHEFNDNMAPPCIHFAJIGKKA\4.6.2.7_0\KASPERSKY PROTECTION
delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EAHEBAMIOPDHEFNDNMAPPCIHFAJIGKKA\4.6.2.7_0\KASPERSKY PROTECTION
delref %SystemDrive%\DOCUMENTS AND SETTINGS\OLYA1\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EAHEBAMIOPDHEFNDNMAPPCIHFAJIGKKA\4.6.2.7_0\KASPERSKY PROTECTION
delref %SystemDrive%\DOCUMENTS AND SETTINGS\DIREKTOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EAHEBAMIOPDHEFNDNMAPPCIHFAJIGKKA\4.6.2.7_0\KASPERSKY PROTECTION
delref %SystemDrive%\PROGRAM FILES\STEAM\STEAM.EXE
delref %SystemDrive%\PROGRAM FILES\OPERA\LAUNCHER.EXE
cexec tracert google.ua
...В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Пишет: Текст скрипта содержит ошибки, либо не содержит команды uVS
Большое желание купить билет в китай и набить морду тому кто это делает, если конечно это не через китайские шлюзы ломатся. новый ип в логах(

Всем ста миллионам китайским хакерам - замаетесь морду бить...
Скрипт проверен ещё раз, во вложении дублирую, выполняйте.
SRV.txt (http://forum.oszone.net/attachment.php?attachmentid=132366&stc=1&d=1451385608)

а да, их много, не подумал)

Выполнил скрипт, вот логи

Выполните скрипт в AVZ при наличии доступа в интернет:var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. Прикрепите его к сообщению.

Сообщите в личном сообщении ip-адрес, по которому доступен с наружи сервер, проверю на дыры.

Вот лог avz, и как всегда новый ip ломится

Поиск критических уязвимостей
Уязвимость в MSXML делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/details.aspx?FamilyID=1e2738b9-d3c2-4dfe-8a79-335d5feee55b

[микропрограмма лечения]> изменен параметр Compatibility Flags ключа HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E55B-0000-0000-C000-000000000046}
[микропрограмма лечения]> изменен параметр Compatibility Flags ключа HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E559-0000-0000-C000-000000000046}
Обнаружено уязвимостей: 1

Скачал упдейт тот, посмотрим

Кашпер больше нечего не находит, учеток новых нет, но вот китайцы продолжают ломиться(
Думал закрыть всем доступ а сделать определенным ip разрешение, так у всех dhcp

Снаружи открыть доступ по RDP есть возможность только определённым адресам/подсетям?
Если нет - простейший роутер с возможностью настройки файрвола рещит проблему. Или софтовый файрволл.

У меня обычный dsl-n12e, там нечего такого нет,
Что можешь посоветовать поднять? может isa поставить да правилами только определенных пользователей пускать?

kot488, по настройке сети лучше создать отдельную тему тут http://forum.oszone.net/forum-55.html
В этом разделе право отвечать имеют только несколько человек, так что там скорее разберётесь.
И тут раздел для лечения от вирусов, так что немного офтопик.

Ломятся к вам как понял из вне? Кроме этого какие проблемы остались?