Файл маскирующий процесс D:\Documents and Settings\Администратор.SERVEROLD\WINDOWS\System32\ smss.exe на диске не находится, ни avz, ни чем другим. Но папка такая есть.
Файлов smss.exe всего три в D:\Windows\System32\smss.exe
D:\Windows\System32\dllcache\smss.exe
и C:\Distrib\I386\System32\smss.exe - в этой папке лежал дистриб W2k3,
но в папке System32 лежат всего 2 файла, вышеназванный и ntdll.dll
причем размер smss.exe по размеру отличается от тех что лежат в системных папках, хотя на virustotal ни один из них не детектится...
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
По-моему никакого зверинца нет, есть известные глюки AVZ с определением системных путей под серверной ОС.
Советую проверится улилитой CureIT (если еще не делали), но только ради профилактики.
Добавлено через 46 секунд
Сообщение от Arhimed
команды
netsh int ip reset
netsh winsock reset
восстановят сеть?
Скорее всего нет.
Последний раз редактировалось AndreyKa; 17.07.2007 в 15:09.
Причина: Добавлено сообщение
По-моему никакого зверинца нет, есть известные глюки AVZ с определением системных путей под серверной ОС.
Советую проверится улилитой CureIT (если еще не делали), но только ради профилактики.
А куча перехватов системных функций?
И каталог D:\Documents and Settings\Администратор.SERVEROLD\WINDOWS\
которого быть не должно... Причем я его удалял, но он пересоздался, возможно что после перезагрузки.
Добавлено через 3 минуты
А HijackThis тоже глючит с серверными ОС?
У енго тоже куча строк со ссылками на D:\Documents and Settings\Администратор.SERVEROLD\WINDOWS\
в том числе и на smss.exe ...
Добавлено через 6 минут
Удалил папку D:\Documents and Settings\Администратор.SERVEROLD\WINDOWS\ через несколько минут она опять создалась...
CureIt ниче не нашел...
Последний раз редактировалось Arhimed; 17.07.2007 в 15:25.
Причина: Добавлено сообщение
А HijackThis тоже глючит с серверными ОС?
У енго тоже куча строк со ссылками на D:\Documents and Settings\Администратор.SERVEROLD\WINDOWS\
в том числе и на smss.exe ...
А куча перехватов системных функций?
И каталог D:\Documents and Settings\Администратор.SERVEROLD\WINDOWS\
которого быть не должно... Причем я его удалял, но он пересоздался, возможно что после перезагрузки.
Добавлено через 6 минут
Удалил папку D:\Documents and Settings\Администратор.SERVEROLD\WINDOWS\ через несколько минут она опять создалась...
CureIt ниче не нашел...
Папка %userprofile%\windows\ должна быть, если сервер используется, как терминальный сервер. Пока темно и неясно, но это корректная папка, создающаяся для каждого пользователя. Похоже, что связано это именно с ролью терминального сервера, более подробной информации, увы, не нашел. Присоединяюсь к AndreyKa - похоже на проблемы при работе AVZ с серверными OC, а не на реальное заражение.
Запустил FileMon с фильтром на эту папку, идет постоянное обращение к этой папке со стороны процесса explorer.exe:3540 обращение идет к файлу netshellicon
Arhimed, AVZ запускался локально или через терминал?
Можно было бы посоветовать сделать лог со включенным AVZPM, но я на серверных ОС такое не проделывал, советовать опасаюсь.
Вообще, компьютер используется как сервер или как рабочая станция?
Arhimed, AVZ запускался локально или через терминал?
Можно было бы посоветовать сделать лог со включенным AVZPM, но я на серверных ОС такое не проделывал, советовать опасаюсь.
Вообще, компьютер используется как сервер или как рабочая станция?
Локально, но через терминал... был выполнен локальный вход под пользователем, а я из под него запустил терминал на адрес 127.0.0.1 под администратором
avz запускался с всключенным AVZPM...
Компьютер используется как роутер для выхода в инет из локалки по ADSL. На компе две сетевухи и стоит Kerio WinRout 6. Ну и еще как раб. станция.
А вот это зря. Если запустить AVZ с консоли, то глюков с путями было бы гораздо меньше.
Давайте подождем релиза новой версии AVZ (4.26), cделаете логи заново, может чтото и прояснится.
Уважаемый(ая) Arhimed, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: