smss.exe ping $я

Printable View

08.02.2008, 12:33
vaDik

Вложений: 3

smss.exe ping $я

сервер терминалов win2003 r2 rus, крутится 1c
после попыток излечения снесся winlogon и ipsec
была произведена repair установка
вирус остался

висит [COLOR=red]smss.exe[/COLOR]

и куча скрытых
подключаюсь по терминалу ( сервер в другом конце города
поставили радмин ( не работает
аваст не ловит мышей

проблемы с сетью, сокетами, пингом, сетевыми принтерами

C:\avz4>ping 172.21.1.207
Обмен пакетами с [COLOR=red]$я[/COLOR] по с 32 байт данных:
Ответ от 172.21.1.207: число байт=32 время=2мс TTL=255
Ответ от 172.21.1.207: число байт=32 время=1мс TTL=255
Статистика Ping для ЩГ__☻:
Пакетов: отправлено = 2, получено = 2, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 1мсек, Максимальное = 2 мсек, Среднее = 1 мсек
Control-C
^C

ну и [COLOR=red]ipsec[/COLOR] с файрволом (
08.02.2008, 12:49
Bratez

Логи сделаны в терминальной сессии - так не пойдет.
08.02.2008, 13:58
vaDik

Вложений: 3

сделаны локально
08.02.2008, 14:20
Bratez

К сожалению, ничего определённо подозрительного выудить из логов не удается. По поводу путей вида [i]C:\Documents and Settings\Администратор\WINDOWS\System32[/i] не беспокойтесь, для серверной ОС это нормально.
И еще: серьезному серверу - серьезную защиту. Антивирус Аваст серьезной защитой назвать трудно.
08.02.2008, 14:25
vaDik

куплен др.веб энтерпрайзовый
ждет своего часа установки

чтонибудь можете проянить по поводу [SIZE=2][COLOR=#ff0000]
Маскировка процесса с PID=xyz, имя = ""
обнаружена подмена PID (текущий PID=0, реальный = xyz)
[COLOR=black]и[/COLOR]
C:\avz4>ping 172.21.1.207
Обмен пакетами с $я по с 32 байт данных:
Ответ от 172.21.1.207: число байт=32 время=2мс TTL=255
Ответ от 172.21.1.207: число байт=32 время=1мс TTL=255
Статистика Ping для ЩГ__☻:
Пакетов: отправлено = 2, получено = 2, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 1мсек, Максимальное = 2 мсек, Среднее = 1 мсек
Control-C
^C
[COLOR=black]?[/COLOR]
[/COLOR][/SIZE]
08.02.2008, 14:51
pig

Попробуйте свежий CureIt, может, он что найдёт. Если нет - есть возможность на какое-то время тормознуть сервер, вынуть из него диск и поисследовать на заведомо чистой системе? Или хотя бы загрузиться с Live CD?
08.02.2008, 14:56
vaDik

к сожалению это все проблематично (
сата зеркало на интел серверборде

есть конечно вариант лайфсд с подсовыванием дров
11.02.2008, 14:56
vaDik

[URL]http://support.microsoft.com/kb/811259/ru[/URL]
11.02.2008, 19:27
Kuzz

[quote=vaDik;184978]
чтонибудь можете проянить по поводу
Маскировка процесса с PID=xyz, имя = ""
обнаружена подмена PID (текущий PID=0, реальный = xyz)
[/quote]
Судя по тому, что система - Windows2003 SP2, это вполне нормально.
Просто на некоторых экземплярах проявляются последствия изменений, внесенных MicroSoft-ом во втором сервис-паке. Это "следы" завершенных процессов, которые "жили" малое время (напр. процессы веб-сервера )