Добрый день, есть подозрения на вирусы по типу rootkit, никак не могу выловить окончательно. Система Win 2003 server r2. В логах системы (просмотр событий) заметил, что служба WinHttpAutoProxy то запускается, то останавливается по три/четыре раза за минуту. И так постоянно. Фаервол показывает исходящий трафик на какие-то непонятные "левые" ip-шники и адреса. Например 229.111.112.29, 231.0.0.1, ALL-SYSTEMS.MCAST.NET. Шквал DNS-запросов, трафик на всевозможные ближайшие DNS-сервера. В частности, на адрес 229.111.112.29 слал запросы файл javaw.exe, расположеный в папке с программой raidconsole (конфигурирование raid). Переименовал, убрал из папки - пакеты на 229.111.112.29 прекратились. По логам AVZ видно, что некий процесс dns.exe запущен на огромном количестве портов, как только выключаю службу DNS, эти порты освобождаются. Помогите выловить, пожалуйста, всю заразу с сервака. Все правила выполнил и логи приложил.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Понятно, что серверная версия Enterprise Suite у вас есть.
Для работы Spider на сервере нужна еще клиентская лицензия для сервера. Обратитесь в техподдержку Dr.Web .
В том-то и дело, что запросы идут с самого сервера. 14374 порта именно на самом сервере задействованы службой DNS (эта ситуация больше всего и напрягает). И как только я заблокировал фаерволом адреса dns-серверов провайдера, наряду с заблокированными запросами на эти сервера пошли запросы на другие ip-адреса именно с самого сервера.
Добавлено через 14 минут
Вот это тоже не добавляет оптимизма ((( mod:::логи нужно прикреплять к сообщению, а не постить Добавлено через 11 минут
Да и AVZ ругается красным на backdoor.starline на 50000 порту и на bacdore.kilo.0119 на 50829 порту
Добавлено через 5 минут
Файл сохранён как 090831_175401_virusinfo_files_GKDC_4a9bd5f9d5fbe.z ip
Размер файла 18036639
MD5 c3caadd82aad7d97c9cefb29816b2cfa
Последний раз редактировалось Rene-gad; 01.09.2009 в 13:22.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: