Удаленный сервер, постоянно создается каталог WINDOWS, подозрительный процесс smss.exe
Здравствуйте.
Есть удаленный сервер.
На нем вчера была обнаружена постоянная загрузка одного из ядер процессора на 10-12%. После некоторых действий (не смогу вспомнить, каких именно) и перезагрузки, процессор нагружаться перестал, но остались эффекты.
Постоянно создается C:\Documents and Settings\Administrator\WINDOWS , а также подкаталог WINDOWS в папках других пользователей.
Теперь о грустном. Сервер физически от меня далеко и ехать к нему не хочется, хотя и возможно, если выхода не будет. Вблизи него только неквалифицированные пользователи, которые его могут только перегрузить под моим руководством. Если сервер в результате лечения перестанет работать (а сейчас он работает), будет плохо.
Прилагаю логи, которые смог собрать. После AVZ пришлось перегружать.
Вопрос, как вылечить наиболее безболезненно для меня и пользователей?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Ну если побороли - просто пофиксите эту строчку. Хотя я бы все равно начал с проверки CureIt'ом. С другой стороны, возможно, тревога ваша напрасна, т.к. "странные" пути в логах вида C:\Documents and Settings\Administrator\WINDOWS - это особенность работы AVZ на серверной ОС. Но как известно, в нашем деле лучше перебдеть, чем недобдеть .
Ну если побороли - просто пофиксите эту строчку. Хотя я бы все равно начал с проверки CureIt'ом. С другой стороны, возможно, тревога ваша напрасна, т.к. "странные" пути в логах вида C:\Documents and Settings\Administrator\WINDOWS - это особенность работы AVZ на серверной ОС. Но как известно, в нашем деле лучше перебдеть, чем недобдеть .
Это не только пути в логах. После того как я этот WINDOWS удаляю, он появляется снова через какое-то время. Видно, придется ехать бдеть
Он и будет появляться, если на сервере поднята роль сервера терминалов - появляться будет в профиле каждого пользователя. Это уже особенность работы серверной ос, как я понимаю, к наличию\отсутствию вирусов в системе отношения не имеет.
А дальше начинается путаница с логами, потому как и AVZ, и Hijackthis в терминальной сессии могут путать %systemroot% и %userprofile%
Последний раз редактировалось Numb; 08.11.2007 в 23:40.
Уважаемый(ая) Sk1, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: