буквально вчера процесс system.exe (видно через мониторинг системы Windows Server 2008 R2) стал потреблять много трафика (10% 100 Мбитной сетки). Касперский ничего не увидел.
ЧТо это может быть?
Printable View
буквально вчера процесс system.exe (видно через мониторинг системы Windows Server 2008 R2) стал потреблять много трафика (10% 100 Мбитной сетки). Касперский ничего не увидел.
ЧТо это может быть?
Уважаемый(ая) [B]ZiggyX[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
bwmeter устанавливали?
В логах ничего необычного, удаляйте лишние программы...
[url]http://virusinfo.info/showthread.php?t=122218[/url]
[QUOTE=Techno;1061141]bwmeter устанавливали?
В логах ничего необычного, удаляйте лишние программы...
[URL]http://virusinfo.info/showthread.php?t=122218[/URL][/QUOTE]
Вот именно его установил, потому что было непонятно, кто трафик кушает. Уже все проги удалил, какие можно.
Сервер является контроллером домена, на нем находятся профили пользователей. Вот как только пользователи начинают работать, сразу System.exe кушает аж до 15% 100Мбитной сети. Когда все ПК выключены - все ок. Обновления отключены на рабочих станциях. Но еще позавчера все работало, а уже сегодня - сеть висит...
Там может проблема не с сервером, а с каким то компьютером в сети?
[QUOTE=Techno;1061222]Там может проблема не с сервером, а с каким то компьютером в сети?[/QUOTE]
Проблема оказалась в неисправном DNS на сервере. После перезапуска службы, System.exe перестал кушать трафик.
Выполните скрипт в AVZ при наличии доступа в интернет:
[CODE]var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]
[QUOTE=regist;1062285]Выполните скрипт в AVZ при наличии доступа в интернет:
...
[URL="http://virusinfo.info/showthread.php?t=121902"]Советы и рекомендации после лечения компьютера[/URL][/QUOTE]
Спасибо!
Но вроде ничего сверхкритичного. Установлю, все семь.
Поиск критических уязвимостей
Уязвимости в протоколе SMB делают возможным удаленное выполнение кода
[url]http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=2707650A-604C-4044-ACC4-07A30B5640D8[/url]
Установите новый Internet Explorer
[url]http://windows.microsoft.com/ru-ru/internet-explorer/download-ie[/url]
Уязвимость драйверов режима ядра Windows, делает возможным удаленное выполнение кода
[url]http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=c09cbb73-7814-4946-8c0a-323d304dd633[/url]
Несанкционированные цифровые сертификаты делают возможным подмену содержимого
[url]http://download.microsoft.com/download/1/7/8/1787B87D-5DA3-44EF-A393-F15BF8EA3FBF/Windows6.1-KB2718704-x64.msu[/url]
Уязвимость в MSXML делает возможным удаленное выполнение кода
[url]http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=4b442601-2808-4192-aa7d-b6476668cd23[/url]
Уязвимость в MSXML делает возможным удаленное выполнение кода
[url]http://www.microsoft.com/downloads/details.aspx?FamilyID=7dabf372-4b31-4c9e-a660-4e0f4a65db04[/url]
Запускайте обновление от имени Администратора
Уязвимости драйверов режима ядра Windows делают возможным удаленное выполнение кода
[url]http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=d0d8e289-2c71-4b40-9a1f-de2501c8d40e[/url]
Обнаружено уязвимостей: 7