Подозрение на rootkit.

Сегодня произошла непредвиденная остановка терминального сервера (питание есть, сервер работает, нет сигнала на мониторе, нет реакции на нажатие клавиш, нет индикации активности дисков).
После перезагрузки были проблемы с подключением части терминальных клиентов.

В журнале системы появились подозрительные ошибки:

[code] Тип события: Ошибка
Источник события: Service Control Manager
Категория события: Отсутствует
Код события: 7028
Дата: 01.04.2009
Время: 17:37:23
Пользователь: Н/Д
Компьютер: SRV006
Описание:
В разделе реестра kgyjjnokbhy запрещен доступ к программам
учетной записи SYSTEM, поэтому владельцем раздела реестра
стал диспетчер служб.

[/code]При очередной перезагрузке (после проверки в безопасном режиме утилитой CureIt) было зависание на этапе восстановления сетевых подключений.
Утилита при проверке ничего не нашла.
Установленный на сервере КАВ 6 тоже не выдавал сообщений об обнаружении вирусов на время сбоя.

Логи диагностики прилагаются.

Надеюсь на помощь! :)

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('kgyjjnokbhy');
QuarantineFile('C:\WINDOWS\system32\drivers\ibquje.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\ibquje.sys');
DeleteFile('C:\WINDOWS\system32\drivers\00000ED2.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('kgyjjnokbhy');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...

Карантин выслан. Логи повторю с утра..

Спасибо за быстрый ответ.

После выполнения рекомендованного скрипта ошибки в журнале системы перестали появляться.

Логи повторил. Высылаю

Очень смущает меня вот эта запись
[code]Running processes:
C:\Documents and Settings\administrator\WINDOWS\System32\smss.exe[/code]Вообще, странно что эта папка появилась в профиле.

В логах чисто...

[quote=Гриша;382061]В логах чисто...[/quote]

[FONT=Arial][SIZE=3]Это хорошо. Спасибо!

Осталось только несколько вопросов:
1. Что за каталоги C:\Documents and Settings\administrator[B]\WINDOWS[/B]\ в профилях всех пользователей на этом сервере? Они реально существуют и в них находятся файлы.

На "чистых" серверах в профилях пользователя таких папок нет.


2. Что за процесс запущен из папки

[/SIZE][/FONT] [FONT=Arial][SIZE=2][SIZE=3]C:\Documents and Settings\administrator\WINDOWS\System32\smss.exe[/SIZE]
(в проводнике я такого файла в этом каталоге не вижу) или это глюк AVZ под w3k и на самом деле запущен процесс
[/SIZE][/FONT] [FONT=Arial][SIZE=2]C:\WINDOWS\System32\smss.exe?


3. Что за вирус мы подцепили на этом сервере и какая у него была деструктивная функция?[/SIZE][/FONT]

[QUOTE=Igor_;382190]2. Что за процесс запущен из папки
C:\Documents and Settings\administrator\WINDOWS\System32\smss.exe
(в проводнике я такого файла в этом каталоге не вижу) или это глюк AVZ под w3k и на самом деле запущен процесс [/QUOTE]Это глюк АВЗ на серваках. Собственно и по первому вопросу тот же ответ ;)
[QUOTE=Igor_;382190]
3. Что за вирус мы подцепили на этом сервере и какая у него была деструктивная функция?[/QUOTE]
ibquje.sys - Trojan.Win32.Tdss.wlf

[QUOTE=Igor_;382190]1. Что за каталоги C:\Documents and Settings\administrator[B]\WINDOWS[/B]\ в профилях всех пользователей на этом сервере? Они реально существуют и в них находятся файлы.[/QUOTE]
Особенность терминального сервера. Отсюда и характерные глюки всех программ исследования.

[quote=pig;382613]Особенность терминального сервера. Отсюда и характерные глюки всех программ исследования.[/quote]
Я про реально существующие папки на зараженном сервере, а не про запись в логе.
На "чистом" терминальном сервере этих папок нет.
На сколько я знаю, никаких папок Windows в профилях пользователей быть не должно.

Кстати, позавчера переустановил на нем антивирус. Вместо КАВ для FS поставил Enterprise. Сначала все было нормально, но после очередной перезагрузки выскочило предупреждение об ошибке при запуске служб. В результате, не запущены службы Netlogon и еще несколько связанных с сетью служб. К сожалению, не я перезагружал сервер. Рассказали мне об этом уже утром.
Запустить службы вручную не удается. Более подробно опишу в Пн. Хотя, м.б. будет быстрее и правильнее переустановить этот сервер с нуля, чем вылавливать остатки блох..

[QUOTE=Igor_;382647]Я про реально существующие папки на зараженном сервере, а не про запись в логе.
На "чистом" терминальном сервере этих папок нет.
На сколько я знаю, никаких папок Windows в профилях пользователей быть не должно.[/QUOTE]
У пользователей терминального сервера эти папки как раз и есть. Сам видел.

Вчера выяснил, что сбой описанный выше (в №8 сообщении) похоже вызван тем, что на сервере отсутствует служба Net Logon (Сетевой вход в систему)
В списке служб ее вообще нет.. :O
Как она пропала не понятно.. И как ее проще восстановить?

Потратив три дня на попытку разобраться, что же мешает службам запускаться, решил переустановить сервер.

История еще не закончилась. После перестановки системы были обнаружены проблемы с подключением к серверу. После 10-15 минут работы пропадает пинг его IP и становится невозможно подключиться по RDP. С консоли сервера доступ к сети есть. Каких либо проблем в работе не обнаружено.

Однако, в процессе выяснения причин такого поведения в групповых политиках случайно обнаружил "левые" правила:

[CODE] [COLOR=black][FONT=&quot]
Windows Firewall: Allow inbound file and printer sharing exception
Allow unsolicited incoming messages from these IP addresses:[/FONT][/COLOR] [COLOR=black][FONT=&quot]192.168.0.108[/FONT][/COLOR]

[/CODE]

и

[CODE]
Windows Firewall: Allow inbound remote administration exception
[COLOR=black][FONT=&quot]Allow unsolicited incoming messages from these IP addresses:[/FONT][/COLOR] [COLOR=black][FONT=&quot]192.168.0.108[/FONT][/COLOR]

[/CODE]Это последствия заражения вирусом Trojan.Win32.Tdss.wlf ?
Или пора проверять персонал работавший на зараженном сервере на благонадежность?

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\ibquje.sys - [B]Trojan.Win32.Tdss.wlf[/B][/LIST][/LIST]