После перезагрузки сервера нет исходящего http + руткиты
Здравствуйте!
Была замечена странная активность на сервере. После
перезагрузки перестал работать исходящий http трафик. Хром выдает ошибку
DNS_PROBE_FINISHED_NXDOMAIN.<br>Антивирус стоит на сервере Nod32.
Чистился с помощью CureIt, Malwarebytes Anti-Malware, ADWCleaner, TDSSKiller, autoruns.
При попытке запуска AVZ на читску - программа сообщает
Функция ntdll.dll: _fltused (1750) перехвачена, метод Code Hijack (метод не определен).
и дальше зависает.
Получилось сделать только второй пункт скриптов(его прилагаю) потому как третий зависает с ошибкой Функция ntdll.dll: _fltused (1750) перехвачена, метод Code Hijack (метод не определен).
Видел схожую тему (ТУТ), но решение в ней не помогло.
Последний раз редактировалось ExLatus; 25.12.2015 в 13:17.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) ExLatus, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Скачайте утилиту MiniToolBox и сохраните на рабочем столе.
Запустите при подключённом интернете, отметьте следующие пункты:
Report IE Proxy Settings
Report FF Proxy Settings
List content of Hosts
List IP Configuration
List Winsock Entries
List last 10 Event Viewer Errors
List Installed Programs
List Devices Only Problems
List Users, Partitions and Memory size
List Minidump Files
List Restore Points
и нажмите Старт.
После завершения сбора информации откроется отчет MTB.txt, прикрепите его к своему сообщению. Если вы закрыли отчет утилиты, он будет находиться в той же папке, откуда была запущена утилита.
DNS сервер 8.8.8.8 и был раньше прописан? Он доступен?
Пробуйте CMD-файл из таких команд:
Код:
netsh winsock reset all
netsh int 6to4 reset all
netsh int ipv4 reset all
netsh int ipv6 reset all
netsh int httpstunnel reset all
netsh int isatap reset all
netsh int portproxy reset all
netsh int tcp reset all
netsh int teredo reset all
>netsh winsock reset all
Сброс каталога Winsock выполнен успешно.
Необходимо перезагрузить компьютер, чтобы завершить сброс.
>netsh int 6to4 reset all
Команда int 6to4 reset all не найдена.
>netsh int ipv4 reset all
Сброс Эхо-запрос - сбой.
Отказано в доступе.
Сброс Глобальный - OK!
Сброс Интерфейс - OK!
Сброс Адрес одноадресной рассылки - OK!
Сброс Маршрут - OK!
Для завершения этого действия требуется перезагрузка.
>netsh int ipv6 reset all
Сброс Эхо-запрос - сбой.
Отказано в доступе.
Заданные пользователем настройки для сброса отсутствуют.
>netsh int httpstunnel reset all
Команда int httpstunnel reset all не найдена.
>netsh int isatap reset all
Команда int isatap reset all не найдена.
>netsh int portproxy reset all
>netsh int tcp reset all
ОК.
>netsh int teredo reset all
Команда int teredo reset all не найдена.
Ситуация не изменилась.
- - - - -Добавлено - - - - -
Теперь НЕ админы не могут зайти на сервер по причине:
"Служба "Клиент групповой политики" препятствует входу в систему"
Отказано в доступе.
Последний раз редактировалось ExLatus; 25.12.2015 в 17:20.
Мне кажется, что уже надо просто переустанавливать.
Обнаружил, что при загрузке не стартует DHCP клиент с ошибкой 1083.
И при перезагрузке в событиях от TaskScheduler прилетает критическое сообщение
Код:
Служба планировщика заданий обнаружила ошибку инициализации RPC в "RpcServerUseProtseq:ncacn_ip_tcp". Дополнительные сведения: значение ошибки: 14.
Код события 404.
Конечно, если есть возможность откатить на какое-то время назад, то было бы замечательно. А то переустанавливать все это мне кажется надолго.
Это я уже делал. Не в этом проблема.
Почему при попытке удалить полностью сетевой протокол я вижу это: http://take.ms/PpgEV http://take.ms/eP1qJ
Почему есть Протокол Интернета версии 4 и есть Internet Protocol Version 4?
Пытаюсь полностью удалить Tcp/IP Например как написано ЗДЕСЬ, но вот вопрос почему у меня 2 сетевых протокола?