Закрыто Множество событий аудита на ПК: проблема и решение

[Shevanti]

Добрый день!
У меня возникли подозрения, что на моём ПК может быть вирус. Прошу помощи в диагностике и лечении проблемы.
Перепробовал кучу способов для решения проблемы, но все безрезультатно. Антивирусы не видят, либо меняются какие-то настройки в нем, хотя стоят пароли сложные везде, даже перешел временно на запись в тетрадке исключив хранение на пк пока не решу проблемы эти все. Переустанавливал систему несколько раз уже соблюдая все базовые меры, но не помогало. Началось еще в районе месяца назад, очень много событий аудита отказа, подбор паролей из локальной сети. Папку windows раздули на 120ГБ, после этого что я только не пытался. Подобрать пароли вообще не вариант, этот вопрос можно исключить. Очень надеюсь на вашу помощь, заранее благодарю.

 

[akok]

AppLocker сами настраивали? Если да, то не фиксите строки связанные с O7 - AppLocker

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4 - HKLM\..\Session Manager: [BootExecute] = (no file)
O7 - AppLocker: (Allow) [AppX] [Publisher] *
O7 - AppLocker: Fix all (including policies)
O7 - Policy: [Untrusted Certificate] HKLM - 1C68E697AB5091FE7616D52FA036025C4743BB73 - google.com
O23 - Service S3: MSI Center Service - (MSI_Center_Service) - (no file)

встроенный контроль паяти использовали для чистки раздутых папок?

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Можно еще посмотреть, что ест место при помощи утилиты windirstat

 

[Shevanti]

AppLocker, да, но там ничего такого важного, поэтому пофиксил все что вы указали. Раздутые папки уже не актуально, после этого начали ломаться службы, аудитов входа было порядка 75000 за 24часа.Вообщем было принято решение снести. Поэтому сейчас, это недавняя установка с оригинального образа, проверенного. Файлы прикрепил. Спасибо.

 

[akok]

Это мы в свежую систему смотрим?

 

[Shevanti]

Да, достаточно свежую, но также зараженную, хотел бы отметить, что я обращался за вашей помощью специально после сброса системы и мониторинга работы ПК и убедившись что что-то неладное происходит. Несмотря на то что система новая и "свежая", у меня по-прежнему 22,000 событий безопасности за 2 дня. Это вызывает тревогу и указывает на то, что в системе может существовать нечто, что устойчиво поражает систему и не удаляется даже после сброса. Прошу очень помочь вас.

 

[Sandor]

по-прежнему 22,000 событий безопасности за 2 дня

Где именно вы это смотрите?

 

[Sandor]

Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что наша помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!