-
[QUOTE]Покажите пожалуйста, что есть в реестре в таких местах:
[/QUOTE]
Тут содержится 2 каталога с таким содержимым:
[CODE][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001\[/CODE] и
[CODE][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002\[/CODE]
Параметры для первого (параметр - значение):
[CODE]DisplayString - TCP/IP
Enabled - 1
LibraryPath - %SystemRoot%\system32\rnr20.dll
ProviderID - 40 9D 05 22 9e 7e cf 11 ae 5a 00 aa 00 a7 11 2b
StoresServiceClassInfo - (0)
SupportedNameSpace - 12
Version - 0
[/CODE]
Параметры для второго:
[CODE]DisplayString - NTDS
Enabled - 1
LibraryPath - %SystemRoot%\system32\winrnr.dll
ProviderID - ee 37 26 3b 80 e5 cf 11 a5 55 00 c0 4f d8 d4 ac
StoresServiceClassInfo - (0)
SupportedNameSpace - 32
Version - 0
[/CODE]
Да, прошу прощения, папка именно NetLogon была вновь создана вручную, я тут ошибся с именем. :)
Сейчас поискал эти папки, нашел sysvol (пошареный) по пути c:\winnt\sysvol\sysvol, вторую не нашел, но через сетевое окружение ее видно. Насколько я помню, они должны создаваться автоматически после перезагрузки контроллера домена, чего в моем случае не происходит.
P.s. Утром ребутнулся снова, 2 раза с интервалом в 5 минут. В журнале событий лишь сухая строка, что "Предыдущее завершение работы было неожиданным." И Ошибка "Служба "Сетевой вход в систему" завершена из-за внутренней ошибки 2114.". После ручного запуска службы снова заработал.
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Может быть и не связано с етим, но DrWeb CureIt! снова обнаружил в пошареной папке на другом диске Win32.Sector.4. Лечит успешно. Правда, есть у меня подозрение, что эта зараза где-то сидит в сети.
[size="1"][color="#666686"][B][I]Добавлено через 33 минуты[/I][/B][/color][/size]
К сожалению, Easy Recovery 6 PRO не умеет работать со СКАЗИ дисками, по-этому восстановить руткит на место пока не удалось... Если возможно, подскажите, как это можно исполнить.
[size="1"][color="#666686"][B][I]Добавлено через 6 часов 34 минуты[/I][/B][/color][/size]
Хм. А подскажите мне, какие параметры стоят на пути
[code][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcLocator][/code]
на контроллере домена в w2k3 в пункте DependOnService?
-
LanmanWorkstation
LanmanServer
Это ответ на последний вопрос.
Над остальным "помедитирую" после установки тестового W2k-server+DC
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
А по поводу "DrWeb CureIt! снова обнаружил в пошареной папке на другом диске Win32.Sector.4" - вполне может быть.
-
[b]Kuzz[/b]
Вцелом результат положительный. Изменение параметров [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon] на данные выше помогло. Стал грузиться нормально. Теперь осталось выяснить 2 вещи:
1. Что это был за Руткит.
2. Найти источник Win32.Sector.4.
Буду благодарен за полное описание виря, что бы хотя бы знать, где его отлавливать в приоритете (то есть тип, исполняемые файлы, что генерит, что поражает, что исправляет и где добавляет). Заранее спасибо.
-
По указаному имени вируса нашел пока только
[url]http://info.drweb.com/virus/?match=family&family=Win32.HLLP.Sector[/url]
[url]http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21030[/url]
А вот что это был за руткит можно было узнать из лога DrWeb-а..
Ну и на всякий случай - указаные выше места реестра в аттаче (взяты с Win2k).
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]
Page generated in 0.00611 seconds with 10 queries