Rootkit на DC.

[Skye]

Собственно сабж. В наследство достался DC на Win2k, стоял с необновленным Симантеком. DrWeb нашел троянца и RK. Что за RK был - не скажу, ибо был убит неглядя, что является моей ошибкой.

Далее начались глюки следующего рода: DC не стартовал вообще. Выход был найден копированием веток реестра WinSock и WinSock32 с аналогичного сервера, после чего он стартовал, но не выполняет автозапуск службы NetLogon, завершая ее из-за ошибки. То есть после нажатия ctrl+alt+del, ввода логина/пароля, загрузки рабочего стола - мне требуется вручную запустить службу "Сетевой вход в систему", после чего DC приступает к своим обязанностям.

Теперь сервер перегружается раз в сутки (если не трогать) или "при обращении к модулю c:\winnt\system32\lsass.exe с кодом состояния -1073741819

Я знаю, что проблема связана с тем, что Руткит изменил пути к системным файлам (smss.exe, в частности), но как побороть - не знаю.

[Numb]

Если использовали Cureit! для проверки, он должен был сохранить лог в %userprofile%\DoctorWeb\cureit.log - там должна быть информация о том, что лечилось/удалялось.
Логи выглядят чистыми. На всякий случай, посмотрите эту статью - http://support.microsoft.com/kb/300038 - может быть, ваш случай.
К сожалению, по логам с серверной ос гадать сложно. Совсем на всякий случай, опять же, если есть возможность, загрузите файлы smss.exe и lsass.exe с проблемной машины по ссылке http://virusinfo.info/upload_virus.php?tid=20019 в архиве с паролем virus. И еще, вы сделали что-то похожее руками, но тем не менее: в утилите netsh для Win2003 есть контекст winsock, в котором есть команда reset - сброс каталога winsock в исходное состояние. Если аналогичный контекст есть и в netsh для win2k - попробуйте выполнить.

[Skye]

Как я понимаю, лог Cureit! ограничен по умолчанию размером. К сожалению туда записи убийства RK не попали.

Статью читал. Репликация выставлена согласно статье. Так же пробовал накатить повторно SP4 для w2k. Эффекта не дало.

Маленький комментарий к логу: если повнимательнее посмотреть лог Менеджера WinSock SPI, то можно увидеть массу записей о том, что пути к файлам rnr20.dll, winrnr.dll, т.д., идут на с:\Documents&Settings\Администратор\WINDOWS\System 32\file_name.xxx , что не есть карашо, ибо такого пути нет. Он был, но был жестоко и неосмотрительно пристрелен мной.

На данный момент вижу только одно решение: воспользоваться Easy Recovery PRO, восстановить RK и того троянца для более точного исследования.

К сожалению, netsh то есть, но функции управления сокетами появились только в Win2k3. Именно по-етому пришлось копировать обе ветки реестра.

Файлы сейчас вышлю (как найду, как поставить пароль на Zip - архив, к сожалению, WinRaR не умеет).

[Rene-gad]

В наследство достался DC на Win2k

DC- это Даймлер-Крайслер?

стоял с необновленным Симантеком.

Полученые от кого бы то ни было в наследство ПК подлежат переустановке системы с удалением всех разделов диска. Лучше - еще до подключения к сети.

[Skye]

Файл закачен.

[Numb]

Маленький комментарий к логу: если повнимательнее посмотреть лог Менеджера WinSock SPI, то можно увидеть массу записей о том, что пути к файлам rnr20.dll, winrnr.dll, т.д., идут на с:\Documents&Settings\Администратор\WINDOWS\System 32\file_name.xxx , что не есть карашо, ибо такого пути нет. Он был, но был жестоко и неосмотрительно пристрелен мной.

Это видно, но это, с большой долей вероятности, не проблема вашей ОС, а особенность формирования логов программами AVZ и HJT при работе с серверной ОС (там, если вы посмотрите, практически все системные службы по такому пути расположены). Что касается пути %userprofile%\windows\system32 - он может быть связан с доступом к серверу через терминальную сессию. Если я прав, то при повторном подключении через RDP под администратором, думаю, папки будут созданы снова.
Еще, как вариант: попробуйте netdiag - если он найдет проблемы, там есть ключ fix - возможно, с его помощью удасться восстановить работоспособность системы.

[Skye]

Полученые от кого бы то ни было в наследство ПК подлежат переустановке системы с удалением всех разделов диска. Лучше - еще до подключения к сети.

К сожалению это рабочий Даймлер Крайслер () в сети. Как то мне в голову не приходит ничего больше, нежели понизить роль сервера до рядового, перенести AD, отформатить и снова развернуть домен. Но это слишком большие временные затраты. По-этому, собственно, и обратился к Вам.

Добавлено через 17 минут

Это видно, но это, с большой долей вероятности, не проблема вашей ОС, а особенность формирования логов программами AVZ и HJT при работе с серверной ОС (там, если вы посмотрите, практически все системные службы по такому пути расположены). Что касается пути %userprofile%\windows\system32 - он может быть связан с доступом к серверу через терминальную сессию. Если я прав, то при повторном подключении через RDP под администратором, думаю, папки будут созданы снова.
Еще, как вариант: попробуйте netdiag - если он найдет проблемы, там есть ключ fix - возможно, с его помощью удасться восстановить работоспособность системы.

Хм. Странно, но папки при повторном подключении по RDP не создаются. После убийства вышеописанного RK исчезали папки netshare и sysvol. После копирования веток Winsock'a и создания данных папок пользователям удалось подключаться к DC, началась раздача адресов.

Netdiag проблем не видит.

Может имеет смысл в ручную создать тот путь, который указан в АVZ и поместить туда эти файлы?..

[Rene-gad]

Но это слишком большие временные затраты.

По сравнению с затратами времени на попытки очистить ПК от мусора - это ништяк .

[Skye]

По сравнению с затратами времени на попытки очистить ПК от мусора - это ништяк .

Уважаемый, я, конечно, понимаю, что "поставить все с чистого листа" есть True для любой системы, но поскольку этот компьютер является мало того, что сервером, так еще и контроллером домена на (120 рабочих мест), то этот вариант должен быть самым последним.

P.S. Соответствуете своему нику данными советами?

[Numb]

Наврал Создается путь %userprofile%\windows\system . Но про логи, остаюсь при своем мнении - это, скорее всего, особенность работы AVZ

[Skye]

Наврал Создается путь %userprofile%\windows\system . Но про логи, остаюсь при своем мнении - это, скорее всего, особенность работы AVZ

Да, создается именно этот путь . Хм. Давайте выступлю в качесте "вега" тестера и просканирую соседний аналогичный сервер (ну кроме того, что он рядовой в моем лесу), на предмет вероятности некорректности логов.

[Skye]

Судя по логу, прав я.

[Numb]

А эта вторая машина - тоже именно w2k сервер и тоже используется, как терминальный сервер?

[Skye]

Отредактировал:
Прошу прощения, да, это терминальный сервер так же. Под 1С. По правам - рядовой сервер. ОС - W2k SP4.

[kps]

Можно проверить на всякий случай несколько файлов.
Выполните скрипт в AVZ:

Код:

begin
QuarantineFile('C:\Documents and Settings\Администратор\WINDOWS\system32\drivers\netdtect.sys','');
QuarantineFile ('%WinDir%\system32\drivers\netdtect.sys','');
QuarantineFile('C:\Documents and Settings\Администратор\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile ('%WinDir%\System32\Drivers\Beep.SYS','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин, как написано в правилах (загружать здесь: http://virusinfo.info/upload_virus.php?tid=20019 ).
Вам знакомы эти программы:
D:\WorkTimer\PROMAG.exe
C:\Program Files\3Com\Network Director\bin\NM_Launcher.exe
Если незнакомы, то тоже пришлите.
И еще MSIE: Internet Explorer v5.00 SP4 пора обновить

[Skye]

kps, программы знакомы. Первая - считыватель карт "приход-уход" на работу, вторая - софтинка для управления сетью на базе управляемых свичей 3com, как видно. Поскольку DC не имеет выхода в интернет - не вижу смысла обновлять IE. Лучше уж обновить весь сервер до 2к3 r2, и сделать его WSUS. По поводу скрипта: по пути

'C:\Documents and Settings\Администратор\WINDOWS\system32\drivers\ne tdtect.sys'

'C:\Documents and Settings\Администратор\WINDOWS\System32\Drivers\Be ep.SYS'

Указанных файлов нет, они были убиты мной (как я говорил выше), а в рабочее время перегрузить DC не имею возможности. Можно просто залить архив фалов drivers\netdtect.sys и drivers\beep.sys?..

[kps]

Можно просто залить архив фалов drivers\netdtect.sys и drivers\beep.sys?..

Заливайте оба файла с Вашего компьютера по указанной ссылке.

[Skye]

Закачены. Думаю, они не помогут, ибо при повторном накате SP4 были заменены на чистые.

[kps]

Да, они чистые.

[Kuzz]

После убийства вышеописанного RK исчезали папки netshare и sysvol. После копирования веток Winsock'a и создания данных папок пользователям удалось подключаться к DC, началась раздача адресов.

На DC (но это W2k3) папки Sysvol и NetLogon помечены комментарием "Общий сервер входа" и они действительно нужны для работы домена.

Добавлено через 25 минут

Покажите пожалуйста, что есть в реестре в таких местах:

Код:

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries]