Здравствуйте Все!
Замучал меня вирус на сервере, никак не справлюсь. Высылаю логи от AVZ и Hijackthis.
Сервер имеет 2 сетевухи, одна локальная сеть, другая - Интернет.
Проявления:
1. Блокирует некоторые сервисы, в результате не работает сеть. В конце письма привожу события по этим сервисам.
2. Команда ping дает вместо IP адреса:
Pinging $я with... на локальные IP адреса пакеты проходят, на интернет 100% потерь
AVZ указывает на перехваченный процесс smss.exe, указывает на несуществующую папку C:\Documents and Settings\Administrator\WINDOWS\system32
Стоял NOD 32, ничего не видел, сканер его не пускался. DRWEB для сервера не устнавливался, ругался на kernel. Переустановил сервер поверх - не помогло, восстановил backup - не помогло
Поставил сервер заново, установил DRWEB для сервера с демо ключем, драйвера, Office, 1С, настроил доступ к необходимым папкам, подключил сеть запустил AVZ, смотрю опять перехваченый процесс. Проверил все дистрибутивы ничего нет.
Помогите !
Event Type: Error
Event Source: WLBS
Event Category: None
Event ID: 35
Date: 29.05.2007
Time: 15:04:13
User: N/A
Computer: SERVRYAZAN
Description:
NLB Cluster 0.0.0.0 : Cluster mode cannot be enabled due to parameter errors. All traffic will be passed through to TCP/IP. Restart cluster operations after fixing the problem by running 'wlbs reload' followed by 'wlbs start'.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 00 00 0c 00 04 00 5a 00 ......Z.
0008: 00 00 00 00 23 00 07 c0 ....#..A
0010: 00 00 00 00 00 00 00 00 ........
0018: 00 00 00 00 00 00 00 00 ........
0020: 00 00 00 00 00 00 00 00 ........
0028: 12 02 04 00 00 00 00 00 ........
0030: 00 00 00 00 ....
Event Type: Error
Event Source: IPSec
Event Category: None
Event ID: 4292
Date: 29.05.2007
Time: 15:04:26
User: N/A
Computer: SERVRYAZAN
Description:
The IPSec driver has entered Block mode. IPSec will discard all inbound and outbound TCP/IP network traffic that is not permitted by boot-time IPSec Policy exemptions. User Action: To restore full unsecured TCP/IP connectivity, disable the IPSec services, and then restart the computer. For detailed troubleshooting information, review the events in the Security event log.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 00 00 00 00 01 00 54 00 ......T.
0008: 00 00 00 00 c4 10 00 c0 ....A..A
0010: 01 00 00 00 00 00 00 00 ........
0018: 00 00 00 00 00 00 00 00 ........
0020: 00 00 00 00 00 00 00 00 ........
Event Type: Error
Event Source: Service Control Manager
Event Category: None
Event ID: 7023
Date: 29.05.2007
Time: 15:06:04
User: N/A
Computer: SERVRYAZAN
Description:
The IPSEC Services service terminated with the following error:
The support for the specified socket type does not exist in this address family.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Event Type: Information
Event Source: Service Control Manager
Event Category: None
Event ID: 7036
Date: 29.05.2007
Time: 15:06:04
User: N/A
Computer: SERVRYAZAN
Description:
The Windows Firewall/Internet Connection Sharing (ICS) service entered the stopped state.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Event Type: Error
Event Source: Service Control Manager
Event Category: None
Event ID: 7023
Date: 29.05.2007
Time: 15:06:04
User: N/A
Computer: SERVRYAZAN
Description:
The Windows Firewall/Internet Connection Sharing (ICS) service terminated with the following error:
An address incompatible with the requested protocol was used.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\system32\mshtml.dll','');
QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\system32\ie4uinit.exe','');
QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\System32\rundll32.exe','');
QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\system32\regsvr32.exe','');
QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\system32\tscupgrd.exe','');
QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\system32\smss.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
Пришлите файлы карантина по правилам раздела "Помогите".
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\system32\mshtml.dll','');
QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\system32\ie4uinit.exe','');
QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\System32\rundll32.exe','');
QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\system32\regsvr32.exe','');
QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\system32\tscupgrd.exe','');
QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\system32\smss.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
Пришлите файлы карантина по правилам раздела "Помогите".
Во время выполнения скрипта AVZ выдает "Карантин с использованием прямого чтения - ошибка"
Карантин закачайте по правилам, к сообщению прикрепите boot_clr.log
EDIT: прочитал сообщение PavelA и теперь тоже не уверен - получится ли загрузка карантина на ребуте. Попробуйте.
Последний раз редактировалось drongo; 30.05.2007 в 16:11.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
...
QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\system32\smss.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
Пришлите файлы карантина по правилам раздела "Помогите".
Скорре всего это маскировка. Если войти в систему под другим именем, например "mg", то он будет ссылаться на
C:\Documents and Settings\mg\WINDOWS\system32\smss.exe.
Карантин закачайте по правилам, к сообщению прикрепите boot_clr.log
EDIT: прочитал сообщение PavelA и теперь тоже не уверен - получится ли загрузка карантина на ребуте. Попробуйте.
Скорре всего это маскировка. Если войти в систему под другим именем, например "mg", то он будет ссылаться на
C:\Documents and Settings\mg\WINDOWS\system32\smss.exe.
Это не маскировка, а особенности...хм-м-м...скорее всего, особенности сообщения переменных окружения серверной ОС. Вместо %systemroot% указывается путь к профилю текущего пользователя. Наблюдается не только у AVZ, HJT отработает тоже некорректно. По ошибкам из вашего первого сообщения, если вы не испытываете проблем с английским, попробуйте поискать описания на www.eventid.net . Ресурс, правда, позволяет не подписчикам только читать краткие комментарии, но даже по ним получается, что проблемы у вас, возможно, и не с вирусом, а с политиками безопасности. То, что я нашел по вашим описаниям: http://technet2.microsoft.com/Window...35f2f1033.mspx http://support.microsoft.com/kb/912023 http://support.microsoft.com/kb/870910 http://support.microsoft.com/kb/930220
Я бы начал с Майкрософтовских рекомендаций по восстановлению политик, но решать вам - на сервере, конечно, экспериментировать не очень хочется.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: