Показано с 1 по 10 из 10.

Подозрение на Виирус или BackDoor (заявка № 34433)

  1. #1
    Junior Member Репутация
    Регистрация
    24.11.2008
    Адрес
    Rostov-on-Don
    Сообщений
    8
    Вес репутации
    30

    Thumbs up Подозрение на Виирус или BackDoor

    Добрый день!
    Прошу помощи знатоков...бо уж не знаю где и копать..
    ПК - контроллер домена, АД, ТС, ДНС, Файл-сервер, да к тому же пока единственный..., поэтому запустить "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". не решился...
    Проблема в следующем:
    1. Перестали запускаться практически все консоли *.MSC - писало Путь к консоли и "Нет доступа" - Проблема решилась просто - правкой Ассациации файлов *.MSC к ММС.

    2. Не открываюся файлы *.INI и *.BAT-форматов (обнаружил случайно), выдает: "Синтаксическая ошибка в имени файла, имени диска или метке тома", при этом файлы из самого блокнота прекрасно открываются.

    3. На компьютере был обнаружен в процессах "C:\WINDOWS\system32\WinVNC.exe" - сам я его туда не ставил!
    Процесс остановил и установил утилиту APS для отлова возможного коннекта.

    Сканирование системы AVZ очень смущают строки:
    1. >>>> Подозрение на маскировку файла процесса: C:\Documents and Settings\Administrator\WINDOWS\system32\smss.exe

    2. Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 16, со всеми соответствующими логами

    3. Сам каталог C:\Documents andSettings\Administrator\WINDOWS\system32\ - при просмотре директории его не видно!!!


    Прилагаю логи сканирования:

    ЗЫ: Прощу прощения за отсутствие лога "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" - причину описал выше; и за не столь КОРОТКОЕ описание проблемы - меньше не получается..
    Есть ещё одна машина с проблемами открытия консолей(полечено) и INI & BAT-файлами - это Гейт в Интернет..
    Вложения Вложения
    Последний раз редактировалось bellic; 24.11.2008 в 11:45.

  2. Реклама
     

  3. #2
    Junior Member Репутация
    Регистрация
    24.11.2008
    Адрес
    Rostov-on-Don
    Сообщений
    8
    Вес репутации
    30

    Повторная просьба о помощи

    Никто не отозвался...
    Кто-нибудь может помочь?

  4. #3
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Код:
    C:\Documents and Settings\Administrator\WINDOWS\system32\smss.exe
    Это особенность работы AVZ на сервере, ошибками настроек LSP лучше заняться вашему одмину, так как при их исправлении пропадет Инет...

    WinVNC.exe- это для удаленного управления сервером...

  5. #4
    Junior Member Репутация
    Регистрация
    24.11.2008
    Адрес
    Rostov-on-Don
    Сообщений
    8
    Вес репутации
    30
    Насчет назначения WinVNC.exe я как-то не сомневался...
    А вот по восстановлению LSP от помощи бы не отказался!(((
    ...
    Я понял так что логи мои чистые?))))

  6. #5
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Логи чистые, вы одмин?

  7. #6
    Junior Member Репутация
    Регистрация
    24.11.2008
    Адрес
    Rostov-on-Don
    Сообщений
    8
    Вес репутации
    30
    Цитата Сообщение от Гриша Посмотреть сообщение
    Логи чистые, вы одмин?
    Да, Гриша, я - Админ

  8. #7
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Запишите настройки Инет, если не помните, выполните это http://virusinfo.info/showpost.php?p=114778&postcount=1

  9. #8
    Junior Member Репутация
    Регистрация
    24.11.2008
    Адрес
    Rostov-on-Don
    Сообщений
    8
    Вес репутации
    30

    Спасибо, попробую разобраться

    Цитата Сообщение от Гриша Посмотреть сообщение
    Запишите настройки Инет, если не помните, выполните это http://virusinfo.info/showpost.php?p=114778&postcount=1
    Спасибо огромное за совет!!!!
    Попробую профиксить когда Сервер освободят юзеры...

    Только какой вариант утилиты по Вашей ссылке использовать? -
    http://www.veldhuizen.speedxs.nl/winsockxpfix.exe
    или
    http://www.veldhuizen.speedxs.nl/lspfix.zip
    ...
    У меня Windows 2003 Server EE...

    PS: В Рунете об этих утилитах пишут что они только для ХР...(не считая 98 и Ме)
    Последний раз редактировалось bellic; 24.11.2008 в 18:19.

  10. #9
    Junior Member Репутация
    Регистрация
    24.11.2008
    Адрес
    Rostov-on-Don
    Сообщений
    8
    Вес репутации
    30

    Гложут сомнения

    Цитата Сообщение от Гриша Посмотреть сообщение
    Код:
    C:\Documents and Settings\Administrator\WINDOWS\system32\smss.exe
    Это особенность работы AVZ на сервере...
    Как-то я засомневался что настройки LSP не правильные на Сервере.
    Учитывая что у AVZ есть особенности работы на сервере (смотрим приписку Гришы выше), и глядя на этот путь: C:\Documents and Settings\Administrator\WINDOWS\system32\mswsock.dl l в Менеджере Winsock SPI.

    Напрашивается Неутешительный для AVZ вывод - данная утилита, а точнее - её Менеджер Winsock SPI (LSP, NSP, TSP) ввиду своих особенностей показывает неправильную информацию на Серверах, выполняющих роли DC (AD, DNS, ...), а потому запуск Автоматического исправления Ошибок или утилит типа WinSockFix может привести к плачевным результатам для Контроллера Домена !!!
    (Учесть бы сей пунктик разработчику - хотя бы в хелпе написать...)

    ЗЫ: Тем более что Сервер работает с сетью исправно и жалоб нет !!!

    ОДНАКО - Большущее спасибо за помощь и потраченное на меня время!!!

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Цитата Сообщение от bellic Посмотреть сообщение
    Напрашивается Неутешительный для AVZ вывод - данная утилита, а точнее - её Менеджер Winsock SPI (LSP, NSP, TSP) ввиду своих особенностей показывает неправильную информацию на Серверах, выполняющих роли DC (AD, DNS, ...)
    Обычно такие смурные пути маячат на терминальных серверах.

  • Уважаемый(ая) bellic, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Подозрение на Backdoor
      От geoleo в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 05.02.2012, 16:26
    2. Подозрение на Backdoor.
      От tyubon в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 21.02.2010, 14:16
    3. Подозрение на BackDoor
      От IgorKr в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 11.11.2009, 11:32
    4. подозрение на BackDoor
      От Олега в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 14.12.2008, 23:11
    5. подозрение на Backdoor
      От zara в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 08.12.2006, 15:21

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00068 seconds with 21 queries