Вложений: 3
Настораживают подозрительные логи AVZ на контроллере домена
Доброе время суток!
Помогите разобраться и принять меры. Сильно настораживает перехватчик взаимодействия с файловой системой, который при этом не определяется.
[B]\FileSystem\ntfs[IRP_MJ_CREATE] = 896C31E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_CLOSE] = 896C31E8 -> hook not defined
...
[/B]
А также маскировка процесса
[B]Visible process, PID=516, name = "\Device\HarddiskVolume1\WINDOWS\system32\smss.exe"
>> Name substitution detected, new name = "C:\Documents and Settings\Administrator.APPSRV.000\WINDOWS\system32\smss.exe" [/B]
А также ошибки LSP
[B]LSP NameSpace error: "Tcpip" --> file is missing C:\Documents and Settings\Administrator.APPSRV.000\WINDOWS\System32\mswsock.dll
LSP NameSpace error: "NTDS" --> file is missing C:\Documents and Settings\Administrator.APPSRV.000\WINDOWS\System32\winrnr.dll
...
[/B]
Поскольку сервер удаленный, все анализы брались терминально
Заранее спасибо за уделенное внимание!
