Показано с 1 по 6 из 6.

Настораживают подозрительные логи AVZ на контроллере домена (заявка № 38413)

  1. #1
    Junior Member Репутация
    Регистрация
    28.01.2009
    Сообщений
    5
    Вес репутации
    56

    Question Настораживают подозрительные логи AVZ на контроллере домена

    Доброе время суток!
    Помогите разобраться и принять меры. Сильно настораживает перехватчик взаимодействия с файловой системой, который при этом не определяется.
    \FileSystem\ntfs[IRP_MJ_CREATE] = 896C31E8 -> hook not defined
    \FileSystem\ntfs[IRP_MJ_CLOSE] = 896C31E8 -> hook not defined
    ...

    А также маскировка процесса
    Visible process, PID=516, name = "\Device\HarddiskVolume1\WINDOWS\system32\smss.exe "
    >> Name substitution detected, new name = "C:\Documents and Settings\Administrator.APPSRV.000\WINDOWS\system32 \smss.exe"


    А также ошибки LSP
    LSP NameSpace error: "Tcpip" --> file is missing C:\Documents and Settings\Administrator.APPSRV.000\WINDOWS\System32 \mswsock.dll
    LSP NameSpace error: "NTDS" --> file is missing C:\Documents and Settings\Administrator.APPSRV.000\WINDOWS\System32 \winrnr.dll
    ...


    Поскольку сервер удаленный, все анализы брались терминально

    Заранее спасибо за уделенное внимание!
    Вложения Вложения
    Последний раз редактировалось UncleVader; 28.01.2009 в 13:31.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Логи из терминала не пойдут...

  4. #3
    Junior Member Репутация
    Регистрация
    28.01.2009
    Сообщений
    5
    Вес репутации
    56
    Ок, возьму под радмином, так пойдет?

    Добавлено через 14 минут

    Может еще какие-то особенности при взятии анализов с серверов? А то в правилах об этом не сказано
    Последний раз редактировалось UncleVader; 28.01.2009 в 14:52. Причина: Добавлено

  5. #4
    Junior Member Репутация
    Регистрация
    28.01.2009
    Сообщений
    5
    Вес репутации
    56

    Новые сведения

    Вобщем вчера целый день бодался с сервером, кратко опишу что сделано и что беспокоит:
    1. Поиски решения проблемы привели к утилите EConfickerRemover.exe которая подтвердила наличие конфикера в памяти, но вылечить не смогла, поскольку не было рекомендованых заплаток на систему
    2. После установки SP2 (была голая W2K3SrvEn) и патчей WindowsServer2003-KB957097-x86-ENU.exe, WindowsServer2003-KB958644-x86-ENU.exe, WindowsServer2003-KB958687-x86-ENU.exe
    утилита смогла сковырнуть конфикер
    3. После этого в логах AVZ появились еще более пугающие записи
    Masking process with PID=280, name = ""
    >> PID substitution detected (current PID=0, real = 280)
    ...

    4. Причем эти записи присутствуют даже в сейф моде - без поддержки сети их 3, с поддержкой порядка 15 (лог без сети прилагаю)


    Уважаемые хелперы, помогите пож. разобраться!

    зы: все анализы брались нетерминально!
    Вложения Вложения

  6. #5
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    В логах ничего плохого нет...

  7. #6
    Junior Member Репутация
    Регистрация
    28.01.2009
    Сообщений
    5
    Вес репутации
    56
    Это не есть гут, поскольку проблемы в сети остались.
    Например на соседнем серваке постоянно стопится служба server и соответственно пропадают шары

    А как узнать что это за процессы маскируются?

  • Уважаемый(ая) UncleVader, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Проблемы на контроллере домена Windows 2003
      От RiCKo в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 10.11.2010, 04:36
    2. Востановление домена
      От XiTri в разделе Windows для опытных пользователей
      Ответов: 5
      Последнее сообщение: 27.07.2010, 09:25
    3. Зависание контроллера домена
      От Fausteno4ek в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 16.06.2010, 13:56
    4. Засевшая зараза в контроллере домена
      От don_vito в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 11.03.2009, 20:38
    5. Просканировал ПК. Подозрительные логи
      От VatoLoko в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 09:29

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00241 seconds with 20 queries