"sysyem" usermode rootkit

**Driver** · 14.12.2007, 07:25

на сервере стоит Win2003 R2 SP1 enterprise (терминал под 1с)
AVZ ругается на System - rootkit usermode (маскировка: да)

размер процесса 72676F72 против нормальных 36312E32 (проверял еще на 3х серваках (система аналогичная))

размер постоянный, а вот функции руткита и маскировка не постоннянны
т.е. при заходе некоторых пользователей срабатывает (юзеры сидят по терминалу и линуксы и винды)
сканил свежим нодом - молчок

может кто сталкивался с подобным?

PS:попозже выложу логи avz и hijack

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Driver** · 14.12.2007, 09:17

3й лог или завтра, или вечером выложу (не перезагружать же 1с сервак посреди рабочего дня

)

**AndreyKa** · 14.12.2007, 10:09

Вы на сервере поосторожней с AVZ. Первым делом проверьте, что есть свежий Backup системы.
И в логах ничего нет такого, что следовало бы лечить.

**Driver** · 14.12.2007, 10:42

в том то все и дело, что я тоже не вижу что следовало бы лечить

но ведь оно явно не спроста вот так вот нехорошо матерится

сначала долго гуглил потом сюда написал

никак не могу найти решение проблемы

ЗЫ: бекапы ежедневно делаются

**AndreyKa** · 14.12.2007, 11:27

Если проблема только в логах AVZ, то не обращайте внимание. AVZ не достаточно приспособленна для анализа серверных версий Windows.

**Driver** · 14.12.2007, 11:34

хм, не знал такого аспекта
но ведь не спроста размер процесса больше
у меня стойкое ощущение что кто-то там живет

ЗЫ: на остальных серверах system нормальные

**AndreyKa** · 14.12.2007, 11:42

На этом сервере стоит 2 ГБт, а на остальных по 1 ГБт?

**Driver** · 14.12.2007, 11:48

оперативы?
на беспокойном 6ГБт (4ядра)
на 2м 4ГБт (2ядра)
на 3м 4ГБт (2ядра)
на 4м 1ГБт (1ядро)

"sysyem" usermode rootkit (заявка № 15266)

Опции темы