|
RXL
|
 |
« Ответ #30 : 09-09-2010 06:40 » |
|
В разделе Безопасность в просмоторщике событий можно увидеть, когда и кто входи и выход с компа. Только там такая свалка...
|
|
|
|
|
Записан
|
... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
|
|
|
|
Serg79
|
|
« Ответ #31 : 09-09-2010 07:04 » |
|
Но понимаете, я говорю про программку или про спец-пароль, которым они это делают. Потому что так регулярно происходит с компом, на котором работают сменщики и которые друг другу из пакости всё время ставят пароли и не сообщают эти пароли.
Люсь, нет никаких спец-паролей которые бы позволяли входить под твоей учеткой. |
|
|
|
|
Записан
|
|
|
|
|
zubr
Гость
|
|
« Ответ #32 : 09-09-2010 07:13 » |
|
Может стоять троян, который запускается от винлогона, (кроме авторана надо посмотреть что в реестре по адресу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows -> параметр AppInit_DLLs) логирует клавиши, инфу сбрасывает на другой комп по наличии сети и отключается. Поэтому вычислить его через процессы может быть проблематичным. Кстати, если он грамотно сделан, то и эвенты будет после себя подчищать.
|
|
|
|
|
Записан
|
|
|
|
|
Люсь
|
|
« Ответ #33 : 09-09-2010 08:57 » |
|
реестр:
|
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
|
Люсь
|
|
« Ответ #34 : 09-09-2010 09:20 » |
|
Посмотри что у тебя в автозагрузке. Кстати, не стоит ли случайно у вас в организации система h**p://www.searchinform.ru/index.html или ей подобная?
В автозагрузке (Пуск) только Керио. Забыла, как/где ещё можно посмотреть? Подобной системы в организации нет. у sysinternals есть утилита autoruns.exe
посмотри что, где и как у тебя запускается в "автозагрузке"
Как это запустить? Где найти sysinternals? Если зараза, как найти источник и убить? Выбила из процессов - на работу никак не повлияло. По второй ссылке вся инфа не на русском и для меня не факт, что это зараза. В разделе Безопасность в просмоторщике событий можно увидеть, когда и кто входи и выход с компа. Только там такая свалка...
У меня тут совершенно пусто. Прикрепляю журнал событий и журнал приложений, может кто лучше разберётся? Хотя мне почитать первый раз в жизни это тоже любопытно, только я не уверена, что могу истолковать всё это правильно ))) |
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
Алексей++
глобальный и пушистый
Глобальный модератор
 Offline
Сообщений: 13
|
|
« Ответ #35 : 09-09-2010 09:25 » |
|
для начала с LiveCD какого-нибудь свежего проверить систему.
|
|
|
|
|
Записан
|
|
|
|
|
|
|
Люсь
|
|
« Ответ #37 : 09-09-2010 09:33 » |
|
Подозрительный ключ в винлогоне: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dimsntfy Сохрани его в key-файл и выложи или сделай скриншот его развернутым.
|
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
|
Люсь
|
|
« Ответ #38 : 09-09-2010 09:34 » |
|
Алексей1153++, нема такого.
NOD32 ничо не находит.
Есть Total Commander, может там есть какие-нибудь средства? Я пока не очень хорошо знаю, что есть у TCmd.
|
|
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
|
Sla
|
|
« Ответ #39 : 09-09-2010 09:39 » |
|
|
|
|
|
|
Записан
|
Мы все учились понемногу... Чему-нибудь и как-нибудь.
|
|
|
|
Люсь
|
|
« Ответ #40 : 09-09-2010 09:43 » |
|
т.е.?
треба грохать?
или что?
|
|
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
|
Люсь
|
|
« Ответ #41 : 09-09-2010 09:58 » |
|
до понедельника!
|
|
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
|
Люсь
|
|
« Ответ #42 : 13-09-2010 03:35 » |
|
Почитав логи, я пришла к мнению, что система запускалась с установочного диска, с попыткой вызвать ошибку, с помощью которой и удалось проникнуть в систему. Я думаю, что перед отъездом отключу шлейф дисковода и опечатаю комп )
Спасибо всем за просвещение, хоть половину из всех вещей я так и не догнала )
|
|
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
|
Люсь
|
|
« Ответ #43 : 03-11-2010 05:27 » |
|
Я с них фигею!
Сначала они видимо не могли понять, в чём дело, но по логам уже через 3 дня они наладили тут всё, создали какого-то Гостя (непонятно как), у Администратора пароль сменили, мой аккаунт в порядке. У дисковода шлейф подключен как ни в чем не бывало, при этом наклейка, опечатывающая корпус, цела и невредима. КАК???
|
|
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
Алексей++
глобальный и пушистый
Глобальный модератор
Offline
Сообщений: 13
|
|
« Ответ #44 : 03-11-2010 05:30 » |
|
Люсь, не пора бы их административно наказывать ? Что-то распустила ты студентов  |
|
|
|
|
Записан
|
|
|
|
|
Kivals
|
|
« Ответ #45 : 03-11-2010 05:42 » |
|
...при этом наклейка, опечатывающая корпус, цела и невредима. КАК???
Ну зависит от наклейки. Большинство можно аккуратно содрать и потом вернуть "взад". А вообще согласен с Алексей1153++ - это уже надо решать админ мерами... Если тебе конечно больше важен результат, а не понять КАК |
|
|
|
|
Записан
|
|
|
|
|
Люсь
|
|
« Ответ #46 : 03-11-2010 06:13 » |
|
Какие студенты??? Это на работе!
Наклейку, которая щас, просто так не обдерешь, сама скоко раз переклеивала их. Можно конечно промочить и снять, но тогда по бумажке было бы видно, что она побывала во влажном состоянии. Короч не знаю.
Админ.мерами тут ничего не решишь - какой начальник в отделе - такое и отношение...
|
|
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
Алексей++
глобальный и пушистый
Глобальный модератор
Offline
Сообщений: 13
|
|
« Ответ #47 : 03-11-2010 06:26 » |
|
Люсь, студенты - это образно. Это даже школота, я бы сказал ) А мы в универе так баловались, ставили контру у доцента, потом сносили. Потом сносили наши головы  Добавлено через 1 минуту и 33 секунды:Люсь, запирай винт в сейф, в конце то концов. Остальное пусть портят, там всё восполнимо ))
|
|
|
|
« Последнее редактирование: 03-11-2010 06:28 от Алексей1153 »
|
Записан
|
|
|
|
|
Люсь
|
|
« Ответ #48 : 03-11-2010 06:56 » |
|
Понятненько.
|
|
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
|
Sla
|
|
« Ответ #49 : 03-11-2010 07:05 » |
|
Загрузочная флешка, загрузочный usb-девайс
|
|
|
|
|
Записан
|
Мы все учились понемногу... Чему-нибудь и как-нибудь.
|
|
|
|
Люсь
|
|
« Ответ #50 : 03-11-2010 07:34 » |
|
Мэй би, но дисковод то оказался тоже подключенным. Я даже комп сегодня не вскрывала, чтоб шлейф на место вернуть, просто попыталась воткнуть диск - а он читается!
|
|
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
|
Sla
|
|
« Ответ #51 : 03-11-2010 07:45 » |
|
ты его бумажкой? а попробуй опечатать.
|
|
|
|
|
Записан
|
Мы все учились понемногу... Чему-нибудь и как-нибудь.
|
|
|
|
Люсь
|
|
« Ответ #52 : 03-11-2010 09:32 »  |
|
в след. раз попробую
|
|
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
|
