QUOTE (horton @ 04-02-2009, 16:14): | QUOTE: | QUOTE: | со вторым юзером все ОК и после копирования профиля. | Логично. SAM при копировании (ессно) не трогается. Видимо, действительно, кто-то пытался "стать" админом вручную... | Такое подозрение возникло сразу. Возможно, временно подставляли другой SAM файл, но что то не срослось.
|
Posted by: valja on 04-02-2009, 19:46
|
QUOTE (Sandro2 @ 04-02-2009, 03:25): | Валя, а не может это быть пока не учтенный, только что выпущенный в свет, вирус? То есть, антивирус или malware его не определяют? | В принципе возможно, но маловероятно. Если даже так, то странный вирус - его единственное (пока) проявление - права юзера. И тогда тем более копать надо.
|
Posted by: Sandro on 05-02-2009, 01:45
|
Ну не вирус, это я оговорился, а троян специально заточенный под такую задачу. Тем более если он написан узконаправлено, специально для вашей конторы, то ни один антивирусник или антималвера его не определит. Или просто, "недоделанный" троян. Хотя, согласен - маловероятно.
|
Posted by: valja on 05-02-2009, 12:32
|
QUOTE (horton @ 04-02-2009, 11:06): | HKLM\SAM.
|
В HKLM\SAM\SAM\Domains\Builtin\Aliases в ключе админской группы наблюдается только RID админа, пользователя не видно. Что в общем то и логично - его в группе админов не видно и реальных админских прав у него нет. НО, в конце записи восемь лишних байтов нулей (?). Нормально при добавлении пользователя в админ группу туда его RID и пишется, но при удалении из группы стирается вся дополнительна область - никаких лишних нулей не остается.
В общем, временно подкину туда SAM от нормально работающего клона. Если проблема исчезнет, то собака там и зарыта (т.е. в SAM). Если нет, придется копать в других местах. В любом случае будет полезно посмотреть через RegMon обращения к реестру.
|
Posted by: valja on 05-02-2009, 20:28
|
Другой SAM так и не упел подкинуть. Попутно произошел диалектический скачок - после очередного запуска компа юзер проявился в группе админов. Только теперь его удалить из админов не получается - "The specified account name is not a member of the local group". Теперь сижу, разглядываю логи RegMon.
Sandro2, народ молился бы на такой врус, превращяющий юзера в непотопляемого админа.
|
Posted by: Sandro on 05-02-2009, 22:21
|
Валя, я же говорю - "не вирус", а специальная программулька... если ты говоришь что есть подозрение что юзер пытался взять права админа. Ведь есть же такие программы.
Хотя да, ежели он непотопляем, тогда странно. А в реале нельзя этого юзера выловить и спросить (с пристрастием)?
|
Posted by: valja on 05-02-2009, 23:00
|
QUOTE (Sandro2 @ 05-02-2009, 21:21): | Валя, я же говорю - "не вирус", а специальная программулька... если ты говоришь что есть подозрение что юзер пытался взять права админа. Ведь есть же такие программы. | Конечно есть, их даже искать особо не надо.
QUOTE: | Хотя да, ежели он непотопляем, тогда странно. А в реале нельзя этого юзера выловить и спросить (с пристрастием)? | Так его и ловить не надо, он сам комп принес. И говорит, что вот, запустил машину, а тут такое... Для вопросов с пристрастием голых подзрений мало.
|
Posted by: horton on 05-02-2009, 23:43
|
QUOTE (valja): | Попутно произошел диалектический скачок - после очередного запуска компа юзер проявился в группе админов. Только теперь его удалить из админов не получается - "The specified account name is not a member of the local group". | valja, такое уже было... В каком-то фильме. По-моему восстание машин называлось. Блокируем все обращения к SAM и изменения допускаются только от имени SYSTEM. По предварительной заявке. Вписанной только в заранее известные понумерованные блоки эмулятора FAT...
А если серьёзно - похоже, что ты уже начал "рикошеты" ловить от некорректного изменения файла. И не известно что и чем вызвано и что первично... Надеюсь, хоть ключик hivelist ссылается на правильный файл, а не непойми на что.
QUOTE (valja): | Теперь сижу, разглядываю логи RegMon. | Показывает? А как ты его под SYSTEM запустил? Через service_any?
|
Posted by: valja on 06-02-2009, 10:47
|
QUOTE (horton @ 05-02-2009, 22:43): | Надеюсь, хоть ключик hivelist ссылается на правильный файл, а не непойми на что. | Там их два, оба в порядке (идентичны ключам на нормальной системе). Вообще говоря, весьма удобно держать рядом аналогичный нормальный комп (с того же имиджа) и сравнивать ключи.
QUOTE (valja): | Теперь сижу, разглядываю логи RegMon. | Показывает? А как ты его под SYSTEM запустил? Через service_any? | Похоже, он сам так запускается (скачал свежую версию с майкрософта (http://technet.microsoft.com/en-us/sysinternals/bb896652.aspx). По крайней мере в логах все видно. Вот кусочек лога при попытке удалить "непотопляемого" админа:
CODE | 228 16:20:13 lsass.exe:1076 QueryValue HKLM\SAM\SAM\C SUCCESS 07 00 01 00 00 00 00 00 ... 229 16:20:13 lsass.exe:1076 QueryValue HKLM\SAM\SAM\Domains\Account\V SUCCESS 00 00 00 00 E0 00 00 00 ... 230 16:20:13 lsass.exe:1076 QueryValue HKLM\SAM\SAM\Domains\Builtin\V SUCCESS 00 00 00 00 98 00 00 00 ... 231 16:20:13 lsass.exe:1076 OpenKey HKLM\SAM\SAM\DOMAINS\Account\Groups\Names\user NOT FOUND 232 16:20:13 lsass.exe:1076 OpenKey HKLM\SAM\SAM\DOMAINS\Account\Aliases\Names\user NOT FOUND 233 16:20:13 lsass.exe:1076 OpenKey HKLM\SAM\SAM\DOMAINS\Account\Users\Names\user SUCCESS Access: 0x20019 234 16:20:13 lsass.exe:1076 QueryValue HKLM\SAM\SAM\DOMAINS\Account\Users\Names\user\(Default) SUCCESS UNKNOWN TYPE: 1005 235 16:20:13 lsass.exe:1076 CloseKey HKLM\SAM\SAM\DOMAINS\Account\Users\Names\user SUCCESS 236 16:20:13 lsass.exe:1076 OpenKey HKLM\SAM\SAM\DOMAINS\Account\Users\000003ED SUCCESS Access: 0x2001F 237 16:20:13 lsass.exe:1076 QueryValue HKLM\SAM\SAM\DOMAINS\Account\Users\000003ED\V SUCCESS 00 00 00 00 D4 00 00 00 ... 238 16:20:13 lsass.exe:1076 QueryValue HKLM\SAM\SAM\DOMAINS\Account\Users\000003ED\F SUCCESS 02 00 01 00 00 00 00 00 ... 239 16:20:13 lsass.exe:1076 QueryValue HKLM\SAM\SAM\DOMAINS\Account\Users\000003ED\V SUCCESS 00 00 00 00 D4 00 00 00 ... 240 16:20:13 lsass.exe:1076 QueryValue HKLM\SAM\SAM\DOMAINS\Account\Users\000003ED\V SUCCESS 00 00 00 00 D4 00 00 00 ... 241 16:20:13 lsass.exe:1076 CloseKey HKLM\SAM\SAM\DOMAINS\Account\Users\000003ED SUCCESS | А вообще под SYSTEM можно запускать через PsExec (http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx - например psexec -s -i regedit.exe
|