|
|
|
|
| Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Win 2000 Serever - подозрение на шпиона, как выявить? |
|
|
Win 2000 Serever - подозрение на шпиона, как выявить?
|
|
Новый участник Сообщения: 16 |
Просьба помочь советами.
Имеется у меня сервер, на Win 2000 Serever, собранный ещё в 2003 году, переживший кучу админов и сильно потрёпанный админами-стажёрами (всех подробностей не знаю, ибо с бывшими админами не знаком). Всё эт овремя на нём стоял только dr.Web и программа, используемая на фирме (по типу 1С предприятие, но разработанная умельцами из обл. центра). Сервер имеет постоянный доступ к инету через FreeBSD роутер. Пароль для удалённого доступа не менялся с момента установки серва. Приверная конфигурация: 2 двухъядерных Intel Xeon 2,4 2Gb Ram 4x36Gb винты, объединённые в RAID, 2 по 2(номер RAID не помню), объединены через контроллер, дров на который ессно нету. Недавно зайдя на серв, обнаружил в диспетчере задач некие странности: 1. 3 процесса CSRSS.EXE под учёткой SYSTEM 2. процесс CMD.EXE снова под системной учёткой 3. Вместо Explorer.exe загружен explorer1.exe 4. вместо wuauclt.exe загружен wuauclt1.exe 5. загружено 3 Winlogon.exe от системного имени. Проверка DrWeb ничего не дала. Провёл скан программами AVZ и hijackthis. Нашёл их в книге по защите от Spy-софта. Привожу логи: AVZ_log Код:
 Протокол антивирусной утилиты AVZ версии 4.29
Сканирование запущено в 16.03.2008 15:37:45
Загружена база: сигнатуры - 153404, нейропрофили - 2, микропрограммы лечения - 55, база от 13.03.2008 00:09
Загружены микропрограммы эвристики: 370
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 69898
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 5.0.2195, Service Pack 4 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
>>>> Возможно маскировка имени исполняемого файла 2564 diskimageservice.exe, реальное имя - DiskImageServic
>>>> Подозрение на маскировку файла процесса: C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\smss.exe
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=084E80)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 80400000
SDT = 80484E80
KiST = 804767B0 (248)
Проверено функций: 248, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Анализ для процессора 3
Анализ для процессора 4
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
Количество найденных процессов: 59
Анализатор - изучается процесс 208 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\System32\smss.exe
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
Анализатор - изучается процесс 956 C:\WINNT\system32\rcssrv.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 2564 C:\Program Files\iolo\Search and Recover 2\DiskImageService.exe
[ES]:Приложение не имеет видимых окон
[ES]:EXE упаковщик ?
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 2572 C:\CacheSys\Bin\csystray.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 2596 C:\Program Files\DrWeb\DRWU.EXE
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:EXE упаковщик ?
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 2740 c:\cachesys\bin\cservice.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 1704 c:\cachesys\BIN\ctelnetd.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
Количество загруженных модулей: 306
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
$AVZ0637: "TCP/IP" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\System32\rnr20.dll
$AVZ0637: "NTDS" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\System32\winrnr.dll
$AVZ0640 = "MSAFD Tcpip [TCP/IP]" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\msafd.dll
$AVZ0640 = "MSAFD Tcpip [UDP/IP]" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\msafd.dll
$AVZ0640 = "MSAFD Tcpip [RAW/IP]" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\msafd.dll
$AVZ0640 = "RSVP UDP Service Provider" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\rsvpsp.dll
$AVZ0640 = "RSVP TCP Service Provider" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\rsvpsp.dll
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{F9092428-105F-46D8-8BD8-0DE9FDC59151}] SEQPACKET 3" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\msafd.dll
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{F9092428-105F-46D8-8BD8-0DE9FDC59151}] DATAGRAM 3" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\msafd.dll
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{CF29AC45-FB17-44E3-9E67-BA2D3CFEBDAB}] SEQPACKET 4" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\msafd.dll
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{CF29AC45-FB17-44E3-9E67-BA2D3CFEBDAB}] DATAGRAM 4" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\msafd.dll
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{1087E44C-9873-4B1D-8114-61D5EF643D89}] SEQPACKET 0" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\msafd.dll
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{1087E44C-9873-4B1D-8114-61D5EF643D89}] DATAGRAM 0" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\msafd.dll
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{96F7F1D6-CD22-4BFB-B045-FED34278A343}] SEQPACKET 1" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\msafd.dll
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{96F7F1D6-CD22-4BFB-B045-FED34278A343}] DATAGRAM 1" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\msafd.dll
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{813DE959-B45B-457D-81C3-974906D5209E}] SEQPACKET 2" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\msafd.dll
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{813DE959-B45B-457D-81C3-974906D5209E}] DATAGRAM 2" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\msafd.dll
Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 17
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 70 TCP портов и 41 UDP портов
>>> Обратите внимание: Порт 4899 TCP - Remote Admin (c:\winnt\system32\r_server.exe - опознан как безопасный процесс)
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ и справке)
7. Эвристичеcкая проверка системы
Нестандартный ключ Winlogon\Shell: "explorer1.exe"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Служба удаленного управления реестром)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Модифицирован ключ запуска проводника
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 365, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 16.03.2008 15:38:22
Сканирование длилось 00:00:38
-----------------------------------------------------------------------------------------------------------------------------------------------------------
Код:
Logfile of HijackThis v1.99.1
Scan saved at 16:13:50, on 16.03.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\termsrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\system32\ntfrs.exe
C:\WINNT\system32\rcssrv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\locator.exe
C:\WINNT\system32\r_server.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\System32\lserver.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\wins.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\dns.exe
C:\WINNT\System32\ismserv.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\DrWeb\spiderui.exe
C:\Program Files\iolo\Search and Recover 2\DiskImageService.exe
C:\CacheSys\Bin\csystray.exe
C:\Program Files\DrWeb\DRWU.EXE
C:\WINNT\system32\wuauclt1.exe
C:\WINNT\system32\taskmgr.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\explorer1.exe
C:\Program Files\Far\Far.exe
C:\WINNT\explorer.exe
C:\Program Files\Far\Far.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\cmd.exe
c:\cachesys\bin\cservice.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
C:\WINNT\system32\cmd.exe
c:\cachesys\BIN\ctelnetd.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
C:\CacheSys\Mgr\user\sklad.exe
c:\cachesys\bin\cache.exe
C:\Obmen\нетестенное\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
F2 - REG:system.ini: Shell=explorer1.exe
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [PRONoMgrWired] C:\Program Files\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SpIDerNT] C:\PROGRA~1\DrWeb\spiderui.exe /agent
O4 - HKCU\..\Run: [Search and Recover Disk Image Service] "C:\Program Files\iolo\Search and Recover 2\DiskImageService.exe"
O4 - Startup: DrWU.lnk = DrWeb\DRWU.EXE
O4 - Global Startup: CACHE.lnk = C:\CacheSys\Bin\csystray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Start Remote Administrator server.lnk = C:\WINNT\system32\r_server.exe
O4 - Global Startup: SUBV.pif = c:\cachesys\mgr\user\SUBV.BAT
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1168325102250
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) -
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = farmex.priv
O17 - HKLM\System\CCS\Services\Tcpip\..\{1087E44C-9873-4B1D-8114-61D5EF643D89}: NameServer = 192.168.0.1,192.168.0.255,81.90.227.65,81.90.224.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF29AC45-FB17-44E3-9E67-BA2D3CFEBDAB}: NameServer = 127.0.0.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = farmex.priv
O17 - HKLM\System\CS1\Services\Tcpip\..\{1087E44C-9873-4B1D-8114-61D5EF643D89}: NameServer = 192.168.0.1,192.168.0.255,81.90.227.65,81.90.224.1
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = farmex.priv
O17 - HKLM\System\CS2\Services\Tcpip\..\{1087E44C-9873-4B1D-8114-61D5EF643D89}: NameServer = 192.168.0.1,192.168.0.255,81.90.227.65,81.90.224.1
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = farmex.priv
O17 - HKLM\System\CS3\Services\Tcpip\..\{1087E44C-9873-4B1D-8114-61D5EF643D89}: NameServer = 192.168.0.1,192.168.0.255,81.90.227.65,81.90.224.1
O23 - Service: Оповещатель (Alerter) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: Управление приложениями (AppMgmt) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Обозреватель компьютеров (Browser) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: Контроллер Cache' для CACHE (Cache_c-_cachesys) - Unknown owner - c:\cachesys\bin\cservice.exe
O23 - Service: DHCP-клиент (Dhcp) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: Служба администрирования диспетчера логических дисков (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Диспетчер логических дисков (dmserver) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: DNS-сервер (DNS) - Корпорация Майкрософт - C:\WINNT\System32\dns.exe
O23 - Service: DNS-клиент (Dnscache) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Служба факсов (Fax) - Корпорация Майкрософт - C:\WINNT\system32\faxsvc.exe
O23 - Service: Центр распространения ключей Kerberos (kdc) - Корпорация Майкрософт - C:\WINNT\System32\lsass.exe
O23 - Service: Сервер (lanmanserver) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: Рабочая станция (lanmanworkstation) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: Служба поддержки TCP/IP NetBIOS (LmHosts) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: Служба сообщений (Messenger) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINNT\System32\mnmsrvc.exe
O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINNT\system32\netdde.exe
O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINNT\system32\netdde.exe
O23 - Service: Сетевой вход в систему (Netlogon) - Корпорация Майкрософт - C:\WINNT\System32\lsass.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: Служба репликации файлов (NtFrs) - Корпорация Майкрософт - C:\WINNT\system32\ntfrs.exe
O23 - Service: Поставщик поддержки безопасности NT LM (NtLmSsp) - Корпорация Майкрософт - C:\WINNT\System32\lsass.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Агент политики IPSEC (PolicyAgent) - Корпорация Майкрософт - C:\WINNT\System32\lsass.exe
O23 - Service: Защищенное хранилище (ProtectedStorage) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: RAID Configuration Service (RAIDService) - Unknown owner - C:\WINNT\system32\rcssrv.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINNT\system32\r_server.exe" /service (file missing)
O23 - Service: Диспетчер учетных записей безопасности (SamSs) - Корпорация Майкрософт - C:\WINNT\system32\lsass.exe
O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Планировщик заданий (Schedule) - Корпорация Майкрософт - C:\WINNT\system32\MSTask.exe
O23 - Service: Служба RunAs (seclogon) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Служба SNMP (SNMP) - Корпорация Майкрософт - C:\WINNT\System32\snmp.exe
O23 - Service: SpIDer Guard for Windows (SPIDERNT) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\spidernt.exe
O23 - Service: Оповещения и журналы производительности (SysmonLog) - Корпорация Майкрософт - C:\WINNT\system32\smlogsvc.exe
O23 - Service: Службы терминалов (TermService) - Корпорация Майкрософт - C:\WINNT\System32\termsrv.exe
O23 - Service: Лицензирование служб терминалов (TermServLicensing) - Корпорация Майкрософт - C:\WINNT\System32\lserver.exe
O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINNT\system32\tlntsvr.exe
O23 - Service: Сервер отслеживания изменившихся связей (TrkSvr) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Клиент отслеживания изменившихся связей (TrkWks) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Служба времени Windows (W32Time) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: Инструментарий управления Windows (WinMgmt) - Корпорация Майкрософт - C:\WINNT\System32\WBEM\WinMgmt.exe
O23 - Service: Расширения драйвера оснастки управления Windows (Wmi) - Корпорация Майкрософт - C:\WINNT\system32\Services.exe
------------------------------------------------------------------------------------------------------------------------------------------------------------
|
|
|
Отправлено: 19:47, 16-03-2008 |
|
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать dfuec, логи не те, д.б. от AVZ virusinfo_syscure.zip, virusinfo_syscheck.zip, см. правила п.4.2, HijackThis v1.99.1 - д.б. HijackThis v2.0.2
Логи делались из терминальной сессии или через radmin? Сделайте логи с консоли. |
|
------- Последний раз редактировалось Pili, 17-03-2008 в 09:02. Отправлено: 07:57, 17-03-2008 | #2 |
|
Новый участник Сообщения: 42
|
Профиль | Отправить PM | Цитировать Начни с того, что explorer1.exe, c:\cachesys\bin\cache.exe
проверь на virustotal. Логи AVZ для серверных ОС очень своеобразные, к анализу их надо подходить аккуратно. |
|
------- Отправлено: 11:24, 17-03-2008 | #3 |
|
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать Ну F2 - REG:system.ini: Shell=explorer1.exe можно сразу фиксить, но лучше дождаться логов
|
|
------- Отправлено: 12:42, 17-03-2008 | #4 |
|
Новый участник Сообщения: 16
|
Профиль | Отправить PM | Цитировать Спасибо, буду пробовать, вот только доступ к серву будет только завтра, ибо сегодян весь день расчёты
 |
|
|
Отправлено: 12:57, 17-03-2008 | #5 |
|
Новый участник Сообщения: 26
|
Профиль | Отправить PM | Цитировать если есть шпионы, то есть и антишпионы
Покопайся в google, я думаю смлжешь найти антишпионскую прогу |
|
Отправлено: 15:39, 18-03-2008 | #6 |
|
Новый участник Сообщения: 16
|
Профиль | Отправить PM | Цитировать Да я вот накачал книг по шпионам, но там пишут что определить его при работающей системе, когда он запущен, очень сложно, если возможно вообще. Тем более безплатными утилитами.
Или как вариант снять винт и переподключить к другой машине дял проверки. Как алтернативу можно попробовать запуститься с загшрузочного диска и просканить, но я не знаю, увидит ли софтина RAID. Но главная проблема сейчас - опять же в доступе к серваку. Договорился, что в субботу дадут к нему физический доступ, так что надо собрать побольше рецептов. |
|
Отправлено: 16:25, 18-03-2008 | #7 |
|
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать |
|
------- Отправлено: 16:47, 18-03-2008 | #8 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| [решено] Как решить проблему в win 2000? | Rusman | Microsoft Windows NT/2000/2003 | 4 | 31-08-2006 10:20 | |
| Как реализовать вход в win 2000 server ? | Rommsht | Microsoft Windows NT/2000/2003 | 7 | 23-07-2005 12:37 | |
| DOS Клиент Для WIN 2000 Prof, Win 9x,Win NT4 | Leonardo | Сетевые технологии | 10 | 28-04-2004 09:44 | |
| Как перезагрузить НТ (win 2000) ??? | ukms | Программирование и базы данных | 11 | 09-10-2002 13:17 | |
|
|
Время: 01:21. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
