Подозрение на Виирус или BackDoor

Printable View

24.11.2008, 11:35
bellic

Вложений: 2

Подозрение на Виирус или BackDoor

Добрый день!
Прошу помощи знатоков...бо уж не знаю где и копать..:?
ПК - контроллер домена, АД, ТС, ДНС, Файл-сервер, да к тому же пока единственный...:(, поэтому запустить [B]"Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info"[/B]. не решился...
Проблема в следующем:
1. Перестали запускаться практически все консоли *.MSC - писало Путь к консоли и "Нет доступа" - Проблема решилась просто - правкой Ассациации файлов *.MSC к ММС.

2. Не открываюся файлы *.INI и *.BAT-форматов (обнаружил случайно), выдает: [B]"Синтаксическая ошибка в имени файла, имени диска или метке тома"[/B], при этом файлы из самого блокнота прекрасно открываются.

3. На компьютере был обнаружен в процессах [B]"C:\WINDOWS\system32\WinVNC.exe"[/B] - сам я его туда не ставил!
Процесс остановил и установил утилиту [B]APS[/B] для отлова возможного коннекта.

Сканирование системы AVZ очень смущают строки:
1. [SIZE=2][COLOR=#ff0000]>>>> Подозрение на маскировку файла процесса: C:\Documents and Settings\Administrator\WINDOWS\system32\smss.exe[/COLOR][/SIZE]

[SIZE=2][COLOR=#ff0000][COLOR=black]2. [SIZE=2][COLOR=#ff0000]Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 16[COLOR=black], со всеми соответствующими логами[/COLOR][/COLOR][/SIZE][/COLOR][/COLOR][/SIZE]

[SIZE=2][COLOR=#ff0000][COLOR=black][SIZE=2][COLOR=#ff0000][COLOR=#000000]3. Сам каталог [/COLOR][COLOR=#ff0000]C:\Documents andSettings\Administrator\WINDOWS\system32\ [/COLOR][COLOR=black]- при просмотре директории его не видно!!![/COLOR][/COLOR][/SIZE][/COLOR][/COLOR][/SIZE]

[SIZE=2][COLOR=#ff0000][COLOR=black][SIZE=2][COLOR=#ff0000][COLOR=#000000]Прилагаю логи сканирования:[/COLOR][/COLOR][/SIZE]

[/COLOR][/COLOR][COLOR=black]ЗЫ: Прощу прощения за отсутствие лога [B]"Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info"[/B] - причину описал выше; и за не столь КОРОТКОЕ описание проблемы - меньше не получается..:)
Есть ещё одна машина с проблемами открытия консолей(полечено) и INI & BAT-файлами - это Гейт в Интернет..:([/COLOR][/SIZE]
24.11.2008, 14:27
bellic

Повторная просьба о помощи

:( Никто не отозвался...:(
:sos:Кто-нибудь может помочь?:sos:
24.11.2008, 14:36
Гриша

[CODE]C:\Documents and Settings\Administrator\WINDOWS\system32\smss.exe[/CODE]

Это особенность работы AVZ на сервере, ошибками настроек LSP лучше заняться вашему одмину, так как при их исправлении пропадет Инет...

WinVNC.exe- это для удаленного управления сервером...
24.11.2008, 16:14
bellic

Насчет назначения [B]WinVNC.exe[/B] я как-то не сомневался...
А вот по восстановлению LSP от помощи бы не отказался!(((
...
Я понял так что логи мои чистые?))))
24.11.2008, 16:17
Гриша

Логи чистые, вы одмин?
24.11.2008, 16:39
bellic

[quote=Гриша;313783]Логи чистые, вы одмин?[/quote]

Да, Гриша, я - Админ:D
24.11.2008, 17:44
Гриша

Запишите настройки Инет, если не помните, выполните это [url]http://virusinfo.info/showpost.php?p=114778&postcount=1[/url]
24.11.2008, 18:02
bellic

Спасибо, попробую разобраться

[quote=Гриша;313864]Запишите настройки Инет, если не помните, выполните это [URL]http://virusinfo.info/showpost.php?p=114778&postcount=1[/URL][/quote]
Спасибо огромное за совет!!!!
Попробую профиксить когда Сервер освободят юзеры...:D

Только какой вариант утилиты по Вашей ссылке использовать? -
[url]http://www.veldhuizen.speedxs.nl/winsockxpfix.exe[/url]
или
[url]http://www.veldhuizen.speedxs.nl/lspfix.zip[/url]
...
У меня Windows 2003 Server EE...;)

PS: В Рунете об этих утилитах пишут что они только для ХР...(не считая 98 и Ме)
25.11.2008, 13:26
bellic

Гложут сомнения

[quote=Гриша;313693][code]C:\Documents and Settings\Administrator\WINDOWS\system32\smss.exe[/code]Это особенность работы AVZ на сервере...[/quote]

Как-то я засомневался что настройки LSP не правильные на Сервере.:(
Учитывая что у AVZ есть [B]особенности работы на сервере [/B](смотрим приписку [COLOR=Blue]Гришы[/COLOR] выше), и глядя на этот путь: [COLOR=Red]C:\Documents and Settings\Administrator\WINDOWS\system32\mswsock.dll[/COLOR] в Менеджере Winsock SPI.

Напрашивается Неутешительный для AVZ вывод - данная утилита, а точнее - её Менеджер Winsock SPI (LSP, NSP, TSP) ввиду своих особенностей показывает неправильную информацию на Серверах, [B]выполняющих роли DC (AD, DNS, ...)[/B], а потому запуск [B][COLOR=Blue]Автоматического исправления Ошибок[/COLOR][/B][COLOR=Blue][COLOR=Black] или утилит типа[COLOR=Blue] [B]WinSockFix[/B][/COLOR][/COLOR][/COLOR] может привести к плачевным результатам для [B]Контроллера Домена[/B] !!!:bomb:
(Учесть бы сей пунктик разработчику - хотя бы в хелпе написать...)

ЗЫ: Тем более что Сервер работает с сетью исправно и жалоб нет !!!

[COLOR=SeaGreen][B]ОДНАКО - Большущее спасибо за помощь и потраченное на меня время!!!:beer:[/B][/COLOR]
26.11.2008, 03:31
pig

[QUOTE=bellic;314233]Напрашивается Неутешительный для AVZ вывод - данная утилита, а точнее - её Менеджер Winsock SPI (LSP, NSP, TSP) ввиду своих особенностей показывает неправильную информацию на Серверах, [B]выполняющих роли DC (AD, DNS, ...)[/B][/QUOTE]
Обычно такие смурные пути маячат на терминальных серверах.