Невидимый вирус

illznn · mbam-log-2009-01-16 (08-39-07).7z

Большое спасибо за советы и утилитки.
Вот логи сегодня утром делал, это после некоторой чистки, и востановления нормальной работоспособности. Коне что меня все смущает, в логах безопасности системы видно что сервер всеже ломится под разными логинами. Видать не до конца вылечили. Вот логи. Это только те что запустились, остальные не запускаются.

OTListIt2

Extras

Код:

OTListIt Extras logfile created on: 16.01.2009 8:31:57 - Run 
OTListIt2 by OldTimer - Version 1.0.3.0     Folder = C:\Documents and Settings\$Uzername$\Рабочий стол\SCAN
Windows Server 2003 Standard Edition Service Pack 2 (Version = 5.2.3790) - Type = NTDomainController
Internet Explorer (Version = 7.0.5730.11)
Locale: 00000422 | Country: Украина | Language: UKR | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 0,93 Gb Available Physical Memory | 46,42% Memory free
3,36 Gb Paging File | 2,03 Gb Available in Paging File | 60,54% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072;
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 19,53 Gb Total Space | 6,22 Gb Free Space | 31,83% Space Free | Partition Type: NTFS
Drive D: | 117,19 Gb Total Space | 36,60 Gb Free Space | 31,23% Space Free | Partition Type: NTFS
Drive E: | 68,36 Gb Total Space | 47,98 Gb Free Space | 70,19% Space Free | Partition Type: NTFS
Drive F: | 58,60 Gb Total Space | 19,40 Gb Free Space | 33,10% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Drive S: | 232,76 Gb Total Space | 16,51 Gb Free Space | 7,10% Space Free | Partition Type: NTFS
Drive X: | 68,36 Gb Total Space | 47,98 Gb Free Space | 70,19% Space Free | Partition Type: NTFS
Drive Y: | 68,36 Gb Total Space | 47,98 Gb Free Space | 70,19% Space Free | Partition Type: NTFS
 
Computer Name: $Servername$
Current User Name: $Uzername$
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: All users
Output = Standard
File Age = 60 Days
Company Name Whitelist: On
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring" = 1
"" = 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\IcmpSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\RemoteAdminSettings]
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[2007.02.17 18:07:32 | 00,792,576 | ---- | M] (Microsoft Corporation) -- %windir%\system32\ntfrs.exe:*:Enabled:C:\WINDOWS\system32\ntfrs.exe
[2005.03.24 16:56:54 | 00,009,216 | ---- | M] (Microsoft Corporation) -- %windir%\system32\scshost.exe:*:Enabled:C:\WINDOWS\system32\scshost.exe
File not found -- D:\WebServer\Apache\Apache.exe:*:Enabled:D:\WebServer\Apache\Apache.exe
[2004.11.19 17:20:00 | 00,022,016 | ---- | M] (Hewlett-Packard Company) -- C:\WINDOWS\system32\CpqRcmc.exe:*:Enabled:C:\WINDOWS\system32\CpqRcmc.exe
[2006.07.19 19:46:54 | 04,075,520 | ---- | M] () -- D:\MySqlServer\Ver41\bin\mysqld-max-nt.exe:*:Enabled:D:\MySqlServer\Ver41\bin\mysqld-max-nt.exe
[2005.07.01 16:14:54 | 00,031,744 | ---- | M] (Compaq Computer Corporation) -- C:\WINDOWS\system32\sysdown.exe:*:Enabled:C:\WINDOWS\system32\sysdown.exe
[2005.08.02 01:01:00 | 01,380,418 | ---- | M] (Hewlett-Packard Company) -- C:\hp\hpsmh\bin\smhstart.exe:*:Enabled:C:\hp\hpsmh\bin\smhstart.exe
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[2007.02.17 18:07:32 | 00,792,576 | ---- | M] (Microsoft Corporation) -- %windir%\system32\ntfrs.exe:*:Enabled:C:\WINDOWS\system32\ntfrs.exe
[2005.03.24 16:56:54 | 00,009,216 | ---- | M] (Microsoft Corporation) -- %windir%\system32\scshost.exe:*:Enabled:C:\WINDOWS\system32\scshost.exe
File not found -- D:\WebServer\Apache\Apache.exe:*:Enabled:D:\WebServer\Apache\Apache.exe
[2004.11.19 17:20:00 | 00,022,016 | ---- | M] (Hewlett-Packard Company) -- C:\WINDOWS\system32\CpqRcmc.exe:*:Enabled:C:\WINDOWS\system32\CpqRcmc.exe
[2006.07.19 19:46:54 | 04,075,520 | ---- | M] () -- D:\MySqlServer\Ver41\bin\mysqld-max-nt.exe:*:Enabled:D:\MySqlServer\Ver41\bin\mysqld-max-nt.exe
[2005.07.01 16:14:54 | 00,031,744 | ---- | M] (Compaq Computer Corporation) -- C:\WINDOWS\system32\sysdown.exe:*:Enabled:C:\WINDOWS\system32\sysdown.exe
[2005.08.02 01:01:00 | 01,380,418 | ---- | M] (Hewlett-Packard Company) -- C:\hp\hpsmh\bin\smhstart.exe:*:Enabled:C:\hp\hpsmh\bin\smhstart.exe
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0F86FD09-BA63-4E45-A70B-604C1106C2F2}" = APC PowerChute Business Edition Console
"{19FA5F90-C08C-4753-B248-30ABE8F5138F}" = Средства выпуска Microsoft SQL Server 2005 Express Edition
"{23E5032B-56CA-4C19-A72E-B50161DB82CA}" = Предыдущая версия клиента
"{2475C7C3-1663-4BE4-8067-7A09A1928FC3}" = Windows Server 2003 Access-based Enumeration
"{342DEBAA-7E71-42BF-B818-308631FC75E2}" = MySQL Query Browser 1.1
"{3C4DF0FD-95CF-4F7B-A816-97CEF616948F}" = HP System Management Homepage
"{48EF897F-B12A-48ED-B936-0D254BD5DE06}" = Среда Microsoft SQL Server Management Studio Express
"{5D29A4EF-A57F-4F47-89F8-4EB3C5302A53}" = Apache HTTP Server 1.3.34
"{5F118268-2DFB-443F-B491-7BE180C1DF04}" = Выпуск Microsoft SQL Server 2005 Express Edition (SQLEXPRESS)
"{6C8342CD-1489-4BF7-BB05-6CE70F2619DF}" = Антивирус Касперского 6.0 для Windows Servers
"{7B56CE2A-4053-456E-B1B7-ED57E5846240}" = Microsoft SQL Server Native Client
"{7EFDA3AC-8A61-43C0-B023-33866829C816}" = MySQL Control Center
"{8398B542-3CC4-44D9-83DF-696CCE70124B}" = Windows Support Tools
"{8A2DA523-38FD-49DA-88E9-6BCDD7CCE9CF}" = MySQL Administrator 1.1
"{A6491A4A-AAA0-4892-BFEF-ECD6CECE2FF3}" = APC PowerChute Business Edition Server
"{B508B3F1-A24A-32C0-B310-85786919EF28}" = Microsoft .NET Framework 2.0 Service Pack 1
"{D16C2374-F69A-4C5F-AF9F-67380FF0D83E}" = Microsoft SQL Server VSS Writer
"{E09B48B5-E141-427A-AB0C-D3605127224A}" = Microsoft SQL Server Desktop Engine
"{F01BB57B-FE12-429E-A579-C01CB58CCD62}" = MySQL Server 4.1
"{F4D0F248-2BF7-4912-814E-4FD751923838}" = Microsoft .NET Framework 2.0 Language Pack - RUS
"{FF8CF519-CE32-486F-BB25-8138070565DE}" = Файлы поддержки установки Microsoft SQL Server (русский)
"7-Zip" = 7-Zip 4.35 beta
"Canon LASER SHOT LBP-1210" = Canon LASER SHOT LBP-1210
"Canon LBP2900" = Canon LBP2900
"Compaq RCMC" = HP ProLiant Remote Monitor Service
"Data Protector Express" = Data Protector Express
"FTD2XX" = FTDI FTD2XX USB Drivers
"FTDICOMM" = FTDI USB Serial Converter Drivers
"Golden Gate 2002" = Golden Gate 2002
"Guardant driver" = Guardant driver
"HASP Device Driver" = HASP Device Driver
"HASP License Manager" = HASP License Manager
"HD Tune_is1" = HD Tune 2.10
"HP ACU" = HP Array Configuration Utility
"HP ACUCLI" = HP Array Configuration Utility CLI
"HP ADU" = HP Array Diagnostic Utility
"HP IMLV" = HP ProLiant Integrated Management Log Viewer
"HP Protected Your Data" = HP Protected Your Data
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"InstallWIX_{6C8342CD-1489-4BF7-BB05-6CE70F2619DF}" = Антивирус Касперского 6.0 для Windows Servers
"LanSpy_is1" = LanSpy
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 2.0 Language Pack - RUS" = Microsoft .NET Framework 2.0 Language Pack - RUS
"Microsoft SQL Server 2005" = Microsoft SQL Server 2005
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"Punto Switcher 2.9" = Punto Switcher 2.9
"Total Commander" = Total Commander 6.52 PowerPack
"Windows Server 2003 Service Pack" = Windows Server 2003 Service Pack 2
"WinRAR archiver" = Архиватор WinRAR
"ЛІГА:ЕЛІТ" = ЛІГА:ЕЛІТ
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 16.01.2009 2:07:55 | Computer Name = MAINSRV | Source = Userenv | ID = 1030
Description = Не удалось запросить данный список объектов групповой политики. Проверьте
 в журнале событий наличие сообщений, описывающих причины сбоя.
 
Error - 16.01.2009 2:12:55 | Computer Name = MAINSRV | Source = Userenv | ID = 1058
Description = Windows не удалось получить доступ к файлу GPT.INI для объекта групповой
 политики CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=zapgaz,DC=net.
 Этот файл должен находиться в <\\zapgaz.net\sysvol\zapgaz.net\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>.
 (Отказано в доступе. ). Обработка групповой политики прекращена. 
 
Error - 16.01.2009 2:12:55 | Computer Name = MAINSRV | Source = Userenv | ID = 1030
Description = Не удалось запросить данный список объектов групповой политики. Проверьте
 в журнале событий наличие сообщений, описывающих причины сбоя.
 
Error - 16.01.2009 2:17:55 | Computer Name = MAINSRV | Source = Userenv | ID = 1058
Description = Windows не удалось получить доступ к файлу GPT.INI для объекта групповой
 политики CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=zapgaz,DC=net.
 Этот файл должен находиться в <\\zapgaz.net\sysvol\zapgaz.net\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>.
 (Отказано в доступе. ). Обработка групповой политики прекращена. 
 
Error - 16.01.2009 2:17:55 | Computer Name = MAINSRV | Source = Userenv | ID = 1030
Description = Не удалось запросить данный список объектов групповой политики. Проверьте
 в журнале событий наличие сообщений, описывающих причины сбоя.
 
Error - 16.01.2009 2:22:55 | Computer Name = MAINSRV | Source = Userenv | ID = 1058
Description = Windows не удалось получить доступ к файлу GPT.INI для объекта групповой
 политики CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=zapgaz,DC=net.
 Этот файл должен находиться в <\\zapgaz.net\sysvol\zapgaz.net\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>.
 (Отказано в доступе. ). Обработка групповой политики прекращена. 
 
Error - 16.01.2009 2:22:55 | Computer Name = MAINSRV | Source = Userenv | ID = 1030
Description = Не удалось запросить данный список объектов групповой политики. Проверьте
 в журнале событий наличие сообщений, описывающих причины сбоя.
 
Error - 16.01.2009 2:27:55 | Computer Name = MAINSRV | Source = Userenv | ID = 1058
Description = Windows не удалось получить доступ к файлу GPT.INI для объекта групповой
 политики CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=zapgaz,DC=net.
 Этот файл должен находиться в <\\zapgaz.net\sysvol\zapgaz.net\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>.
 (Отказано в доступе. ). Обработка групповой политики прекращена. 
 
Error - 16.01.2009 2:27:55 | Computer Name = MAINSRV | Source = Userenv | ID = 1030
Description = Не удалось запросить данный список объектов групповой политики. Проверьте
 в журнале событий наличие сообщений, описывающих причины сбоя.
 
Error - 16.01.2009 2:32:56 | Computer Name = MAINSRV | Source = Userenv | ID = 1058
Description = Windows не удалось получить доступ к файлу GPT.INI для объекта групповой
 политики CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=zapgaz,DC=net.
 Этот файл должен находиться в <\\zapgaz.net\sysvol\zapgaz.net\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>.
 (Отказано в доступе. ). Обработка групповой политики прекращена. 
 
[ Directory Service Events ]
Error - 16.01.2009 2:31:59 | Computer Name = MAINSRV | Source = NTDS General | ID = 1481
Description = Внутренняя ошибка. Не удалось выполнить операцию над объектом.        Дополнительные
 данные    Значение ошибки:  2 0000208D: NameErr: DSID-031001CD, problem 2001 (NO_OBJECT),
 data 0, best match of:  'CN=Dfs-Configuration,CN=System,DC=zapgaz,DC=net' 
 
Error - 16.01.2009 2:31:59 | Computer Name = MAINSRV | Source = NTDS General | ID = 1481
Description = Внутренняя ошибка. Не удалось выполнить операцию над объектом.        Дополнительные
 данные    Значение ошибки:  2 0000208D: NameErr: DSID-031001CD, problem 2001 (NO_OBJECT),
 data 0, best match of:  'CN=Dfs-Configuration,CN=System,DC=zapgaz,DC=net' 
 
Error - 16.01.2009 2:32:02 | Computer Name = MAINSRV | Source = NTDS General | ID = 1481
Description = Внутренняя ошибка. Не удалось выполнить операцию над объектом.        Дополнительные
 данные    Значение ошибки:  2 0000208D: NameErr: DSID-031001CD, problem 2001 (NO_OBJECT),
 data 0, best match of:  'CN=Dfs-Configuration,CN=System,DC=zapgaz,DC=net' 
 
Error - 16.01.2009 2:32:02 | Computer Name = MAINSRV | Source = NTDS General | ID = 1481
Description = Внутренняя ошибка. Не удалось выполнить операцию над объектом.        Дополнительные
 данные    Значение ошибки:  2 0000208D: NameErr: DSID-031001CD, problem 2001 (NO_OBJECT),
 data 0, best match of:  'CN=Dfs-Configuration,CN=System,DC=zapgaz,DC=net' 
 
Error - 16.01.2009 2:32:02 | Computer Name = MAINSRV | Source = NTDS General | ID = 1481
Description = Внутренняя ошибка. Не удалось выполнить операцию над объектом.        Дополнительные
 данные    Значение ошибки:  2 0000208D: NameErr: DSID-031001CD, problem 2001 (NO_OBJECT),
 data 0, best match of:  'CN=Dfs-Configuration,CN=System,DC=zapgaz,DC=net' 
 
Error - 16.01.2009 2:32:02 | Computer Name = MAINSRV | Source = NTDS General | ID = 1481
Description = Внутренняя ошибка. Не удалось выполнить операцию над объектом.        Дополнительные
 данные    Значение ошибки:  2 0000208D: NameErr: DSID-031001CD, problem 2001 (NO_OBJECT),
 data 0, best match of:  'CN=Dfs-Configuration,CN=System,DC=zapgaz,DC=net' 
 
Error - 16.01.2009 2:32:52 | Computer Name = MAINSRV | Source = NTDS General | ID = 1481
Description = Внутренняя ошибка. Не удалось выполнить операцию над объектом.        Дополнительные
 данные    Значение ошибки:  2 000020EF: NameErr: DSID-032500F4, problem 2001 (NO_OBJECT),
 data -1603, best match of:  '' 
 
Error - 16.01.2009 2:32:55 | Computer Name = MAINSRV | Source = NTDS General | ID = 1481
Description = Внутренняя ошибка. Не удалось выполнить операцию над объектом.        Дополнительные
 данные    Значение ошибки:  2 000020EF: NameErr: DSID-032500F4, problem 2001 (NO_OBJECT),
 data -1603, best match of:  '' 
 
Error - 16.01.2009 2:32:56 | Computer Name = MAINSRV | Source = NTDS General | ID = 1481
Description = Внутренняя ошибка. Не удалось выполнить операцию над объектом.        Дополнительные
 данные    Значение ошибки:  2 000020EF: NameErr: DSID-032500F4, problem 2001 (NO_OBJECT),
 data -1603, best match of:  '' 
 
Error - 16.01.2009 2:33:00 | Computer Name = MAINSRV | Source = NTDS General | ID = 1481
Description = Внутренняя ошибка. Не удалось выполнить операцию над объектом.        Дополнительные
 данные    Значение ошибки:  2 000020EF: NameErr: DSID-032500F4, problem 2001 (NO_OBJECT),
 data -1603, best match of:  '' 
 
[ System Events ]
Error - 15.01.2009 11:16:26 | Computer Name = MAINSRV | Source = DhcpServer | ID = 1059
Description = Служба DHCP не смогла обнаружить папку для авторизации сервера.
 
Error - 15.01.2009 11:16:54 | Computer Name = MAINSRV | Source = DhcpServer | ID = 1059
Description = Служба DHCP не смогла обнаружить папку для авторизации сервера.
 
Error - 15.01.2009 16:56:16 | Computer Name = MAINSRV | Source = KDC | ID = 11
Description = Существует несколько учетных записей с именем cifs/ADS2 типа DS_SERVICE_PRINCIPAL_NAME.
 
Error - 16.01.2009 1:20:17 | Computer Name = MAINSRV | Source = KDC | ID = 11
Description = Существует несколько учетных записей с именем cifs/ADS2 типа DS_SERVICE_PRINCIPAL_NAME.
 
Error - 16.01.2009 1:25:52 | Computer Name = MAINSRV | Source = KDC | ID = 11
Description = Существует несколько учетных записей с именем cifs/Org2 типа DS_SERVICE_PRINCIPAL_NAME.
 
Error - 16.01.2009 1:47:23 | Computer Name = MAINSRV | Source = KDC | ID = 11
Description = Существует несколько учетных записей с именем cifs/oasup1 типа DS_SERVICE_PRINCIPAL_NAME.
 
Error - 16.01.2009 1:47:30 | Computer Name = MAINSRV | Source = KDC | ID = 11
Description = Существует несколько учетных записей с именем cifs/Account2 типа DS_SERVICE_PRINCIPAL_NAME.
 
Error - 16.01.2009 1:51:40 | Computer Name = MAINSRV | Source = KDC | ID = 11
Description = Существует несколько учетных записей с именем cifs/OASUP1 типа DS_SERVICE_PRINCIPAL_NAME.
 
Error - 16.01.2009 2:06:24 | Computer Name = MAINSRV | Source = KDC | ID = 11
Description = Существует несколько учетных записей с именем cifs/account1 типа DS_SERVICE_PRINCIPAL_NAME.
 
Error - 16.01.2009 2:20:37 | Computer Name = MAINSRV | Source = KDC | ID = 11
Description = Существует несколько учетных записей с именем cifs/SMU2 типа DS_SERVICE_PRINCIPAL_NAME.
 
 
< End of report >