Показано с 1 по 12 из 12.

Неизвесный вирус на серевере 2003! Помогите! (заявка № 10078)

  1. #1
    Junior Member Репутация
    Регистрация
    30.05.2007
    Сообщений
    5
    Вес репутации
    62

    Question Неизвесный вирус на серевере 2003! Помогите!

    Здравствуйте Все!
    Замучал меня вирус на сервере, никак не справлюсь. Высылаю логи от AVZ и Hijackthis.
    Сервер имеет 2 сетевухи, одна локальная сеть, другая - Интернет.
    Проявления:
    1. Блокирует некоторые сервисы, в результате не работает сеть. В конце письма привожу события по этим сервисам.
    2. Команда ping дает вместо IP адреса:
    Pinging with... на локальные IP адреса пакеты проходят, на интернет 100% потерь

    AVZ указывает на перехваченный процесс smss.exe, указывает на несуществующую папку C:\Documents and Settings\Administrator\WINDOWS\system32
    Стоял NOD 32, ничего не видел, сканер его не пускался. DRWEB для сервера не устнавливался, ругался на kernel. Переустановил сервер поверх - не помогло, восстановил backup - не помогло
    Поставил сервер заново, установил DRWEB для сервера с демо ключем, драйвера, Office, 1С, настроил доступ к необходимым папкам, подключил сеть запустил AVZ, смотрю опять перехваченый процесс. Проверил все дистрибутивы ничего нет.
    Помогите !



    Event Type: Error
    Event Source: WLBS
    Event Category: None
    Event ID: 35
    Date: 29.05.2007
    Time: 15:04:13
    User: N/A
    Computer: SERVRYAZAN
    Description:
    NLB Cluster 0.0.0.0 : Cluster mode cannot be enabled due to parameter errors. All traffic will be passed through to TCP/IP. Restart cluster operations after fixing the problem by running 'wlbs reload' followed by 'wlbs start'.
    For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
    Data:
    0000: 00 00 0c 00 04 00 5a 00 ......Z.
    0008: 00 00 00 00 23 00 07 c0 ....#..A
    0010: 00 00 00 00 00 00 00 00 ........
    0018: 00 00 00 00 00 00 00 00 ........
    0020: 00 00 00 00 00 00 00 00 ........
    0028: 12 02 04 00 00 00 00 00 ........
    0030: 00 00 00 00 ....

    Event Type: Error
    Event Source: IPSec
    Event Category: None
    Event ID: 4292
    Date: 29.05.2007
    Time: 15:04:26
    User: N/A
    Computer: SERVRYAZAN
    Description:
    The IPSec driver has entered Block mode. IPSec will discard all inbound and outbound TCP/IP network traffic that is not permitted by boot-time IPSec Policy exemptions. User Action: To restore full unsecured TCP/IP connectivity, disable the IPSec services, and then restart the computer. For detailed troubleshooting information, review the events in the Security event log.
    For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
    Data:
    0000: 00 00 00 00 01 00 54 00 ......T.
    0008: 00 00 00 00 c4 10 00 c0 ....A..A
    0010: 01 00 00 00 00 00 00 00 ........
    0018: 00 00 00 00 00 00 00 00 ........
    0020: 00 00 00 00 00 00 00 00 ........

    Event Type: Error
    Event Source: Service Control Manager
    Event Category: None
    Event ID: 7023
    Date: 29.05.2007
    Time: 15:06:04
    User: N/A
    Computer: SERVRYAZAN
    Description:
    The IPSEC Services service terminated with the following error:
    The support for the specified socket type does not exist in this address family.
    For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

    Event Type: Information
    Event Source: Service Control Manager
    Event Category: None
    Event ID: 7036
    Date: 29.05.2007
    Time: 15:06:04
    User: N/A
    Computer: SERVRYAZAN
    Description:
    The Windows Firewall/Internet Connection Sharing (ICS) service entered the stopped state.
    For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
    Event Type: Error
    Event Source: Service Control Manager
    Event Category: None
    Event ID: 7023
    Date: 29.05.2007
    Time: 15:06:04
    User: N/A
    Computer: SERVRYAZAN
    Description:
    The Windows Firewall/Internet Connection Sharing (ICS) service terminated with the following error:
    An address incompatible with the requested protocol was used.
    For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\system32\mshtml.dll','');
     QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\system32\ie4uinit.exe','');
     QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\System32\rundll32.exe','');
     QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\system32\regsvr32.exe','');
     QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\system32\tscupgrd.exe','');
     QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\system32\smss.exe','');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    Пришлите файлы карантина по правилам раздела "Помогите".

  4. #3
    Junior Member Репутация
    Регистрация
    30.05.2007
    Сообщений
    5
    Вес репутации
    62
    Цитата Сообщение от MaXim Посмотреть сообщение
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\system32\mshtml.dll','');
     QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\system32\ie4uinit.exe','');
     QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\System32\rundll32.exe','');
     QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\system32\regsvr32.exe','');
     QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\system32\tscupgrd.exe','');
     QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\system32\smss.exe','');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    Пришлите файлы карантина по правилам раздела "Помогите".
    Во время выполнения скрипта AVZ выдает "Карантин с использованием прямого чтения - ошибка"

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    AVZ глючит на 2003 сервере, подставляет C:\Documents and Settings\Administrator.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от mglazkov Посмотреть сообщение
    Во время выполнения скрипта AVZ выдает "Карантин с использованием прямого чтения - ошибка"
    Давайте так попробуем:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\mshtml.dll','');
     QuarantineFile('C:\WINDOWS\system32\ie4uinit.exe','');
     QuarantineFile('C:\WINDOWS\System32\rundll32.exe','');
     QuarantineFile('C:\WINDOWS\system32\regsvr32.exe','');
     QuarantineFile('C:\WINDOWS\system32\tscupgrd.exe','');
     QuarantineFile('C:\WINDOWS\system32\smss.exe','');
     BC_ImportQuarantineList;
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     RebootWindows(true);
    end.
    Карантин закачайте по правилам, к сообщению прикрепите boot_clr.log
    EDIT: прочитал сообщение PavelA и теперь тоже не уверен - получится ли загрузка карантина на ребуте. Попробуйте.
    Последний раз редактировалось drongo; 30.05.2007 в 16:11.

  7. #6
    Junior Member Репутация
    Регистрация
    30.05.2007
    Сообщений
    5
    Вес репутации
    62
    Цитата Сообщение от MaXim Посмотреть сообщение
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ...
     QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\system32\smss.exe','');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    Пришлите файлы карантина по правилам раздела "Помогите".
    Скорре всего это маскировка. Если войти в систему под другим именем, например "mg", то он будет ссылаться на
    C:\Documents and Settings\mg\WINDOWS\system32\smss.exe.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    @mglazkov, а вы случайно не в терминальной сессии работаете?

  9. #8
    Junior Member Репутация
    Регистрация
    30.05.2007
    Сообщений
    5
    Вес репутации
    62
    Цитата Сообщение от Bratez Посмотреть сообщение
    @mglazkov, а вы случайно не в терминальной сессии работаете?
    нет

  10. #9
    Junior Member Репутация
    Регистрация
    30.05.2007
    Сообщений
    5
    Вес репутации
    62
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Давайте так попробуем:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\mshtml.dll','');
     QuarantineFile('C:\WINDOWS\system32\ie4uinit.exe','');
     QuarantineFile('C:\WINDOWS\System32\rundll32.exe','');
     QuarantineFile('C:\WINDOWS\system32\regsvr32.exe','');
     QuarantineFile('C:\WINDOWS\system32\tscupgrd.exe','');
     QuarantineFile('C:\WINDOWS\system32\smss.exe','');
     BC_ImportQuarantineList;
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     RebootWindows(true);
    end.
    Карантин закачайте по правилам, к сообщению прикрепите boot_clr.log
    EDIT: прочитал сообщение PavelA и теперь тоже не уверен - получится ли загрузка карантина на ребуте. Попробуйте.
    сделал
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от mglazkov Посмотреть сообщение
    сделал
    по virustotal не содержат эти файлы ничего вредного. Может попробуете все-таки установить СП2 для сервера: http://www.microsoft.com/downloads/d...8-c55eec605d55 ?

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Цитата Сообщение от mglazkov Посмотреть сообщение
    Скорре всего это маскировка. Если войти в систему под другим именем, например "mg", то он будет ссылаться на
    C:\Documents and Settings\mg\WINDOWS\system32\smss.exe.
    Это не маскировка, а особенности...хм-м-м...скорее всего, особенности сообщения переменных окружения серверной ОС. Вместо %systemroot% указывается путь к профилю текущего пользователя. Наблюдается не только у AVZ, HJT отработает тоже некорректно. По ошибкам из вашего первого сообщения, если вы не испытываете проблем с английским, попробуйте поискать описания на www.eventid.net . Ресурс, правда, позволяет не подписчикам только читать краткие комментарии, но даже по ним получается, что проблемы у вас, возможно, и не с вирусом, а с политиками безопасности. То, что я нашел по вашим описаниям:
    http://technet2.microsoft.com/Window...35f2f1033.mspx
    http://support.microsoft.com/kb/912023
    http://support.microsoft.com/kb/870910
    http://support.microsoft.com/kb/930220
    Я бы начал с Майкрософтовских рекомендаций по восстановлению политик, но решать вам - на сервере, конечно, экспериментировать не очень хочется.

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 24
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) mglazkov, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 1
      Последнее сообщение: 22.04.2010, 15:18
    2. неизвесный перехватчик
      От Виктория_Р в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 22.01.2010, 02:27
    3. Помогите, неизвесный троян!
      От ivanbigua в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 24.12.2009, 10:34
    4. неизвесный вирус
      От rewq111 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 10.09.2009, 12:06
    5. Вирус неизвесный
      От ndrii1 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 10.09.2009, 12:03

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00625 seconds with 20 queries