Настораживают подозрительные логи AVZ на контроллере домена
Доброе время суток!
Помогите разобраться и принять меры. Сильно настораживает перехватчик взаимодействия с файловой системой, который при этом не определяется. \FileSystem\ntfs[IRP_MJ_CREATE] = 896C31E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_CLOSE] = 896C31E8 -> hook not defined
...
А также маскировка процесса Visible process, PID=516, name = "\Device\HarddiskVolume1\WINDOWS\system32\smss.exe "
>> Name substitution detected, new name = "C:\Documents and Settings\Administrator.APPSRV.000\WINDOWS\system32 \smss.exe"
А также ошибки LSP LSP NameSpace error: "Tcpip" --> file is missing C:\Documents and Settings\Administrator.APPSRV.000\WINDOWS\System32 \mswsock.dll
LSP NameSpace error: "NTDS" --> file is missing C:\Documents and Settings\Administrator.APPSRV.000\WINDOWS\System32 \winrnr.dll
...
Поскольку сервер удаленный, все анализы брались терминально
Заранее спасибо за уделенное внимание!
Последний раз редактировалось UncleVader; 28.01.2009 в 13:31.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Вобщем вчера целый день бодался с сервером, кратко опишу что сделано и что беспокоит:
1. Поиски решения проблемы привели к утилите EConfickerRemover.exe которая подтвердила наличие конфикера в памяти, но вылечить не смогла, поскольку не было рекомендованых заплаток на систему
2. После установки SP2 (была голая W2K3SrvEn) и патчей WindowsServer2003-KB957097-x86-ENU.exe, WindowsServer2003-KB958644-x86-ENU.exe, WindowsServer2003-KB958687-x86-ENU.exe
утилита смогла сковырнуть конфикер
3. После этого в логах AVZ появились еще более пугающие записи
Masking process with PID=280, name = ""
>> PID substitution detected (current PID=0, real = 280)
...
4. Причем эти записи присутствуют даже в сейф моде - без поддержки сети их 3, с поддержкой порядка 15 (лог без сети прилагаю)
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: