Uit het niets een nieuw account.

zondag 3 april 2011 18:50

Acties:

0 Henk 'm!

Proud DD Member! :D

Topicstarter

Hallo allemaal, nadat ik ben gaan eten kwam ik terug met de schrik dat er ineens een account "support" op mijn pc stond.

Ik heb alles teruggezocht in m'n event log wat met het tijdstip te maken heeft.
Dit is hier terug te vinden: http://pastebin.com/M5zYY5rx

Ook viel me een invalid login op VNC eerder:

- <EventData>
<Data>3/4/2011 16:40 Invalid attempt from client 72.3.226.152</Data>
</EventData>

Wat ik terug kan tracen naar server3.legalaccessplans.com

Nog wat informatie vanaf m'n application log: http://pastebin.com/EkgRjj34

Misschien dat jullie hier iets wijzer uit worden? Waarschijnlijk is pc opnieuw installeren het veiligste maar dat doe ik natuurlijk niet als ik de bron van deze aanval kan vinden.

League of Legends [Last Updated 22-08-2012]: [EUW] Jeffro (Now:Silver, S1:Bronze), RankedSolo5x5: 1502 [120W/106L], Dominion: 84W, TT: 3W, Normal: 504W

zondag 3 april 2011 18:51

Acties:

0 Henk 'm!

mrFoce

Volgens mij is er hier meer aan de hand dan jij nu zegt.
Waarom zou je nadat je terug kwam van eten, gaan checken of er toevallig nieuwe accounts waren aangemaakt????

Wat was je precies aan het doen?

zondag 3 april 2011 18:53

Acties:

0 Henk 'm!

Jeffroiscool

Proud DD Member! :D

Topicstarter

mrFoce schreef op zondag 03 april 2011 @ 18:51:
Volgens mij is er hier meer aan de hand dan jij nu zegt.
Waarom zou je nadat je terug kwam van eten, gaan checken of er toevallig nieuwe accounts waren aangemaakt????

Wat was je precies aan het doen?

Ik was AUTOMATISCH uitgelogd en ik stond op het inlog scherm waarbij Administrator EN support beide ingelogd waren.

League of Legends [Last Updated 22-08-2012]: [EUW] Jeffro (Now:Silver, S1:Bronze), RankedSolo5x5: 1502 [120W/106L], Dominion: 84W, TT: 3W, Normal: 504W

zondag 3 april 2011 18:53

Acties:

0 Henk 'm!

Humma Kavula

Don't vote for stupid

Betreft het een legale windows?

Wear Sunscreen!

zondag 3 april 2011 18:53

Acties:

0 Henk 'm!

YopY

mrFoce schreef op zondag 03 april 2011 @ 18:51:
Volgens mij is er hier meer aan de hand dan jij nu zegt.
Waarom zou je nadat je terug kwam van eten, gaan checken of er toevallig nieuwe accounts waren aangemaakt????

Wat was je precies aan het doen?

Lijkt me logisch dat óf hij uitlogt als hij bij zijn PC weggaat, óf Windows automagisch zijn account 'locked' of uitlogt als het zoveel minuten weggaat. Weinig verassend.

zondag 3 april 2011 18:53

Acties:

0 Henk 'm!

heuveltje

KoelkastFilosoof

mrFoce schreef op zondag 03 april 2011 @ 18:51:
Volgens mij is er hier meer aan de hand dan jij nu zegt.
Waarom zou je nadat je terug kwam van eten, gaan checken of er toevallig nieuwe accounts waren aangemaakt????

Als er een nieuw account is aangemaakt is dat het eerste wat je ziet als je op die pc wil inloggen, niet iets waar je specifiek naar hoeft te zoeken.

Over hoe het daar komt tast ik ook even in het duister

Heuveltjes CPU geschiedenis door de jaren heen : AMD 486dx4 100, Cyrix PR166+, Intel P233MMX, Intel Celeron 366Mhz, AMD K6-450, AMD duron 600, AMD Thunderbird 1200mhz, AMD Athlon 64 x2 5600, AMD Phenom X3 720, Intel i5 4460, AMD Ryzen 5 3600 5800x3d

zondag 3 april 2011 18:54

Acties:

0 Henk 'm!

Jeffroiscool

Proud DD Member! :D

Topicstarter

Humma Kavula schreef op zondag 03 april 2011 @ 18:53:
Betreft het een legale windows?

Ja dit betreft een legale van MSDN gedownloade Windows.

League of Legends [Last Updated 22-08-2012]: [EUW] Jeffro (Now:Silver, S1:Bronze), RankedSolo5x5: 1502 [120W/106L], Dominion: 84W, TT: 3W, Normal: 504W

zondag 3 april 2011 18:57

Acties:

0 Henk 'm!

Marzman

They'll never get caught.

Welke Windows? Geupdate? Welke versie van VNC?

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.

zondag 3 april 2011 18:57

Acties:

0 Henk 'm!

Humma Kavula

Don't vote for stupid

Je computer is ook volledig up to date met anti virus e.d?

Zo ja dan wordt het inderdaad een vaag verhaal..
Zit je op een bepaald netwerk o.i.d of gewoon thuis eigen internet ( niet gedeeld)?

Ah google is your'e friend..

ESENT-gebeurtenis-id's 1000, 1202, 412 en 454 worden herhaaldelijk vastgelegd in het logboek voor toepassingsgebeurtenissen
en Google

Al iets meer info

[ Voor 49% gewijzigd door Humma Kavula op 03-04-2011 19:00 ]

Wear Sunscreen!

zondag 3 april 2011 18:58

Acties:

0 Henk 'm!

AMD1800

Humma Kavula schreef op zondag 03 april 2011 @ 18:53:
Betreft het een legale windows?

Als het een illegale versie was, zou dit dan gelijk verklaren dat er ineens na een x aantal dagen een nieuw account te zien is? Ik vind het logischer dat het dan gelijk zo is.

Overigens heb ik iets soortgelijks meegemaakt. Heb ook windows via MSDNAA. Bij mij stond er ineens een plaatje bij van nieuw account aanmaken. Typisch.

zondag 3 april 2011 19:01

Acties:

0 Henk 'm!

D4NG3R

kiwi

:)

Bij een van de updates van MS komt er een extra account (Onder bepaalde omstandigheden, welke weet ik zo niet). Deze kan je gewoon veilig verwijderen, heb ik ook gehad toen ik nog WinXP gebruikte. (Ook legaal, ook via MSDNAA)

[ Voor 13% gewijzigd door D4NG3R op 03-04-2011 19:04 ]

Komt d'r in, dan kö-j d’r oet kieken

zondag 3 april 2011 19:02

Acties:

0 Henk 'm!

Marzman

They'll never get caught.

AMD1800 schreef op zondag 03 april 2011 @ 18:58:
[...]

Als het een illegale versie was, zou dit dan gelijk verklaren dat er ineens na een x aantal dagen een nieuw account te zien is? Ik vind het logischer dat het dan gelijk zo is.

Overigens heb ik iets soortgelijks meegemaakt. Heb ook windows via MSDNAA. Bij mij stond er ineens een plaatje bij van nieuw account aanmaken. Typisch.

Een illegale versie is lastiger te updaten vaak en zou een backdoor kunnen hebben. Daar kun je pas na een paar dagen last van hebben al zouden ze dat account inderdaad dan ook meteen mee kunnen installeren (valt minder op). Het zou ook door VNC kunnen komen, als de computer niet gelocked was.

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.

zondag 3 april 2011 19:02

Acties:

0 Henk 'm!

Yippie

In de log komt meerdere malen ESENT voor, heb je dit ook ?
Geen hulp of afstand of iets dergelijks geaccepteerd van iemand ?

Los van dat feit, loop je dit risico als je als administrator ingelogd bent en de beveiliging niet op orde is.
Waarom werk je niet met een gewoon gebruikersaccount, als je wat wilt doen waar admin rechten voor nodig zijn, rechterknop "run as admin..".

Kijk is of er niet meer account aan zijn gemaakt, en schakel het support account uit.
Eventueel een backup terugzetten, of je wel of niet alles opnieuw moet installeren kan alleen jij bepalen, wij weten niet wat je doet en wat er aan data opstaat.

zondag 3 april 2011 19:02

Acties:

0 Henk 'm!

mrFoce

YopY schreef op zondag 03 april 2011 @ 18:53:
[...]

Lijkt me logisch dat óf hij uitlogt als hij bij zijn PC weggaat, óf Windows automagisch zijn account 'locked' of uitlogt als het zoveel minuten weggaat. Weinig verassend.

Jouw logica is de mijne niet. Sowieso waarom uitloggen op een computer wat waarschijnlijk zijn thuis computer is? Het automatisch uitloggen na x minuten is volgens mij een van de eerste dingen die tegenwoordig wordt uitgeschakeld op 'thuis' computers.
Maar goed, never mind..

Verder als je het van MSDN hebt, kan je ook MS contacteren. Misschien kunnen hun je vertellen wat er gebeurd is. Lijkt me niet prettig dat zoiets kan als jij niets fouts op je computer uitvoert.

zondag 3 april 2011 19:05

Acties:

0 Henk 'm!

D4NG3R

kiwi

:)

YopY schreef op zondag 03 april 2011 @ 18:53:
[...]

Lijkt me logisch dat óf hij uitlogt als hij bij zijn PC weggaat, óf Windows automagisch zijn account 'locked' of uitlogt als het zoveel minuten weggaat. Weinig verassend.

"Windows heeft update gedownload blahblahblah" nu opnieuw opstarten of herriner mij in 15mins, 60mins, 4uur.

Als je niks selecteert herstart de PC in 30 secs. Dit kan dus perfect zijn gebeurt?

Komt d'r in, dan kö-j d’r oet kieken

zondag 3 april 2011 19:07

Acties:

0 Henk 'm!

Jeffroiscool

Proud DD Member! :D

Topicstarter

Marzman schreef op zondag 03 april 2011 @ 18:57:
Welke Windows? Geupdate? Welke versie van VNC?

Windows 7 Ultimate Premium, Ik mis idd een paar updates sinds Service Pack 1, UltraVNC 1.0.8

Humma Kavula schreef op zondag 03 april 2011 @ 18:57:
Je computer is ook volledig up to date met anti virus e.d?

Zo ja dan wordt het inderdaad een vaag verhaal..
Zit je op een bepaald netwerk o.i.d of gewoon thuis eigen internet ( niet gedeeld)?

ESET NOD32, virus signature database 6011.

Yippie schreef op zondag 03 april 2011 @ 19:02:
In de log komt meerdere malen ESENT voor, heb je dit ook ?
Geen hulp of afstand of iets dergelijks geaccepteerd van iemand ?

Los van dat feit, loop je dit risico als je als administrator ingelogd bent en de beveiliging niet op orde is.
Waarom werk je niet met een gewoon gebruikersaccount, als je wat wilt doen waar admin rechten voor nodig zijn, rechterknop "run as admin..".

Kijk is of er niet meer account aan zijn gemaakt, en schakel het support account uit.
Eventueel een backup terugzetten, of je wel of niet alles opnieuw moet installeren kan alleen jij bepalen, wij weten niet wat je doet en wat er aan data opstaat.

Klopt, maar dit is ook de 1e keer dat dit voorkomt en ik zal dan ook toegeven dat het eerste wat ik doe is UAC uitschakelen zodat ik niet overal 3 keer ja moet klikken om iets uberhaupt te kunnen doen.

Wat ESENT is weet ik zelf ook niet idd.

D4NG3R schreef op zondag 03 april 2011 @ 19:05:
[...]

"Windows heeft update gedownload blahblahblah" nu opnieuw opstarten of herriner mij in 15mins, 60mins, 4uur.

Als je niks selecteert herstart de PC in 30 secs. Dit kan dus perfect zijn gebeurt?

Ik laat mijn pc nooit automatisch updates installeren en rebooten. Daar heb ik dan ook een hekel aan aangezien ik meerdere services draai (Teamspeak, VMWare en dergelijke)

Edit: Ik was dan ook uitgelogd in te trend van switch user en dingen zoals Teamspeak en LoL stonden allemaal nog aan.

Edit2: Deze installatie draait al vanaf -> Original Install Date: 17-9-2010, 16:41:56

[ Voor 4% gewijzigd door Jeffroiscool op 03-04-2011 19:13 ]

League of Legends [Last Updated 22-08-2012]: [EUW] Jeffro (Now:Silver, S1:Bronze), RankedSolo5x5: 1502 [120W/106L], Dominion: 84W, TT: 3W, Normal: 504W

zondag 3 april 2011 19:24

Acties:

0 Henk 'm!

Yippie

Ik moest in 1ste instantie aan NOD32 inderdaad van ESET denken, maar ESENT is van MS.

Eigenlijk is het Extensible Storage Engine NT, dus verkort naar ESENT:
MSDN: Extensible Storage Engine
Zit o.a. in de Windows SDK, maar zie dat ook Windows Live mail en Live messenger er o.a. gebruik van maken. Lijkt me dus dat je het mogelijk in die richting moet zoeken, is er misschien een "hulp of afstand" sessie getracht te starten via Messenger door jou of een andere gebruiker ?

Wellicht dat toen het "support" automagisch is geactiveerd.
Ik gebruik op werk nog wel is de "offer remote assistance" functie van XP, en die gebruikt ook de ingebouwde support account, maar dan wel on demand.

Nog even als toevoeging, dit doen ze bij legalaccesplans.com:
http://www.employee-group-legal-plan.com/lap-overview.html

[ Voor 9% gewijzigd door Yippie op 03-04-2011 19:31 ]

zondag 3 april 2011 19:28

Acties:

0 Henk 'm!

Jeffroiscool

Proud DD Member! :D

Topicstarter

Yippie schreef op zondag 03 april 2011 @ 19:24:
Ik moest in 1ste instantie aan NOD32 inderdaad van ESET denken, maar ESENT is van MS.

Eigenlijk is het Extensible Storage Engine NT, dus verkort naar ESENT:
MSDN: Extensible Storage Engine
Zit o.a. in de Windows SDK, maar zie dat ook Windows Live mail en Live messenger er o.a. gebruik van maken. Lijkt me dus dat je het mogelijk in die richting moet zoeken, is er misschien een "hulp of afstand" sessie getracht te starten via Messenger door jou of een andere gebruiker ?

Wellicht dat toen het "support" automagisch is geactiveerd.
Ik gebruik op werk nog wel is de "offer remote assistance" functie van XP, en die gebruikt ook de ingebouwde support account, maar dan wel on demand.

Ja daar kwam ik idd ook op uit met ESENT, Windows Live Messenger heb ik echter niet meer en ik gebruik zelf Microsoft Office 2010

[ Voor 71% gewijzigd door Jeffroiscool op 03-04-2011 19:29 ]

League of Legends [Last Updated 22-08-2012]: [EUW] Jeffro (Now:Silver, S1:Bronze), RankedSolo5x5: 1502 [120W/106L], Dominion: 84W, TT: 3W, Normal: 504W

zondag 3 april 2011 19:30

Acties:

0 Henk 'm!

Verwijderd

mrFoce schreef op zondag 03 april 2011 @ 19:02:
[...]

Jouw logica is de mijne niet. Sowieso waarom uitloggen op een computer wat waarschijnlijk zijn thuis computer is? Het automatisch uitloggen na x minuten is volgens mij een van de eerste dingen die tegenwoordig wordt uitgeschakeld op 'thuis' computers.
Maar goed, never mind..

Verder als je het van MSDN hebt, kan je ook MS contacteren. Misschien kunnen hun je vertellen wat er gebeurd is. Lijkt me niet prettig dat zoiets kan als jij niets fouts op je computer uitvoert.

Omdat iedere, een beetje ICT'er uit automatisme zijn pc locked als hij weg loopt

nuff said tbh.

zondag 3 april 2011 19:35

Acties:

0 Henk 'm!

3dfx

D4NG3R schreef op zondag 03 april 2011 @ 19:01:
Bij een van de updates van MS komt er een extra account (Onder bepaalde omstandigheden, welke weet ik zo niet). Deze kan je gewoon veilig verwijderen, heb ik ook gehad toen ik nog WinXP gebruikte. (Ook legaal, ook via MSDNAA)

Dat was het ASP.NET-account onder XP dat "meekwam" met het Microsoft .NET-framework.
Kon je inderdaad veilig verwijderen, tenzij je werkte/ontwikkeld met dat .NET-framework.

maandag 4 april 2011 19:58

Acties:

0 Henk 'm!

alt-92

ye olde farte

Die Support account is niet standaard aanwezig op een WinVista/7 machine, maar wel op XP.

Denk dat je dan ook gratis en geheel voor niks bebackdoored bent, misschien wel via een vuln in VNC en dat die 'support' account die naam ook heeft zodat je gaat denkendat het wel zo hoort.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Onderwerpen