Показано с 1 по 6 из 6.

Удаленный сервер, постоянно создается каталог WINDOWS, подозрительный процесс smss.exe (заявка № 13973)

  1. #1
    Junior Member Репутация
    Регистрация
    08.11.2007
    Сообщений
    8
    Вес репутации
    60

    Exclamation Удаленный сервер, постоянно создается каталог WINDOWS, подозрительный процесс smss.exe

    Здравствуйте.
    Есть удаленный сервер.
    На нем вчера была обнаружена постоянная загрузка одного из ядер процессора на 10-12%. После некоторых действий (не смогу вспомнить, каких именно) и перезагрузки, процессор нагружаться перестал, но остались эффекты.
    Постоянно создается C:\Documents and Settings\Administrator\WINDOWS , а также подкаталог WINDOWS в папках других пользователей.

    Теперь о грустном. Сервер физически от меня далеко и ехать к нему не хочется, хотя и возможно, если выхода не будет. Вблизи него только неквалифицированные пользователи, которые его могут только перегрузить под моим руководством. Если сервер в результате лечения перестанет работать (а сейчас он работает), будет плохо.

    Прилагаю логи, которые смог собрать. После AVZ пришлось перегружать.

    Вопрос, как вылечить наиболее безболезненно для меня и пользователей?
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Ехать наверно все-таки придется, т.к. во-первых логи AVZ надо делать не в терминальной сессии, а в консольной. Во вторых, судя по этому:
    Код:
    O4 - HKLM\..\Run: [RavTimeXP] ---C:\DOCUMENTS AND SETTINGS\AGEEV\WINDOWS\Mstray.exe
    на нем сидит известный червячок, который любит себя копировать куда ни попадя по всему диску, так что начать надо с полной проверки CureIt'ом...
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    08.11.2007
    Сообщений
    8
    Вес репутации
    60
    Понятно. Спасибо.
    Однако, эта конкретная строчка там со знаками минуса не случайно. Когда-то там была эта зараза, и я с ней врукопашную боролся.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Ну если побороли - просто пофиксите эту строчку. Хотя я бы все равно начал с проверки CureIt'ом. С другой стороны, возможно, тревога ваша напрасна, т.к. "странные" пути в логах вида C:\Documents and Settings\Administrator\WINDOWS - это особенность работы AVZ на серверной ОС. Но как известно, в нашем деле лучше перебдеть, чем недобдеть .
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    08.11.2007
    Сообщений
    8
    Вес репутации
    60
    Цитата Сообщение от Bratez Посмотреть сообщение
    Ну если побороли - просто пофиксите эту строчку. Хотя я бы все равно начал с проверки CureIt'ом. С другой стороны, возможно, тревога ваша напрасна, т.к. "странные" пути в логах вида C:\Documents and Settings\Administrator\WINDOWS - это особенность работы AVZ на серверной ОС. Но как известно, в нашем деле лучше перебдеть, чем недобдеть .
    Это не только пути в логах. После того как я этот WINDOWS удаляю, он появляется снова через какое-то время. Видно, придется ехать бдеть

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Он и будет появляться, если на сервере поднята роль сервера терминалов - появляться будет в профиле каждого пользователя. Это уже особенность работы серверной ос, как я понимаю, к наличию\отсутствию вирусов в системе отношения не имеет.
    А дальше начинается путаница с логами, потому как и AVZ, и Hijackthis в терминальной сессии могут путать %systemroot% и %userprofile%
    Последний раз редактировалось Numb; 08.11.2007 в 23:40.

  • Уважаемый(ая) Sk1, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Не возможно найти удаленный сервер
      От JustViktory в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 07.05.2012, 19:38
    2. Подозрительный процесс smss.exe
      От serg.g в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 29.07.2010, 01:43
    3. Ответов: 4
      Последнее сообщение: 14.05.2009, 20:11
    4. Подозрительный процесс C:\WINDOWS\svchost.exe
      От dangerx в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 07:02
    5. Подозрительный smss.exe. возможно lzx32
      От LostInSpace в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 07.02.2007, 21:08

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00257 seconds with 17 queries