Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

После перезагрузки сервера нет исходящего http + руткиты (заявка № 195014)

  1. #1
    Junior Member Репутация
    Регистрация
    25.12.2015
    Сообщений
    11
    Вес репутации
    31

    После перезагрузки сервера нет исходящего http + руткиты

    Здравствуйте!
    Была замечена странная активность на сервере. После
    перезагрузки перестал работать исходящий http трафик. Хром выдает ошибку
    DNS_PROBE_FINISHED_NXDOMAIN.<br>Антивирус стоит на сервере Nod32.
    Чистился с помощью CureIt, Malwarebytes Anti-Malware, ADWCleaner, TDSSKiller, autoruns.
    При попытке запуска AVZ на читску - программа сообщает
    Функция ntdll.dll: _fltused (1750) перехвачена, метод Code Hijack (метод не определен).
    и дальше зависает.
    Получилось сделать только второй пункт скриптов(его прилагаю) потому как третий зависает с ошибкой Функция ntdll.dll: _fltused (1750) перехвачена, метод Code Hijack (метод не определен).

    Видел схожую тему (ТУТ), но решение в ней не помогло.
    Вложения Вложения
    Последний раз редактировалось ExLatus; 25.12.2015 в 13:17.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) ExLatus, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    В MBAM Вы успешно удалили свой же, видимо, AmmyyAdmin и активатор MS Office

    После удаления в MBAM этого:
    Код:
    Trojan.Proxy, HKLM\SOFTWARE\CLASSES\RemoveWat.DynamicNS, Помещено в карантин, [75787db5404bb0863584812ad52d0bf5], 
    Trojan.Proxy, HKLM\SOFTWARE\WOW6432NODE\CLASSES\RemoveWat.DynamicNS, Помещено в карантин, [d815e15117749c9aa8118d1e40c2ea16], 
    Trojan.Proxy, HKLM\SOFTWARE\CLASSES\WOW6432NODE\RemoveWat.DynamicNS, Помещено в карантин, [d815e15117749c9aa8118d1e40c2ea16],
    перезагружали сервер? Если нет - сделайте это и сообщите ситуацию.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    25.12.2015
    Сообщений
    11
    Вес репутации
    31
    Да снес офис и не страшно.
    Основная проблема осталась после перезагрузки. Я пока не понимаю как вырезать руткит, если это действительно руткит.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Нет, скорее всего, руткита.

    Скачайте утилиту MiniToolBox и сохраните на рабочем столе.

    Запустите при подключённом интернете, отметьте следующие пункты:

    • Report IE Proxy Settings
    • Report FF Proxy Settings
    • List content of Hosts
    • List IP Configuration
    • List Winsock Entries
    • List last 10 Event Viewer Errors
    • List Installed Programs
    • List Devices Only Problems
    • List Users, Partitions and Memory size
    • List Minidump Files
    • List Restore Points


    и нажмите Старт.

    После завершения сбора информации откроется отчет MTB.txt, прикрепите его к своему сообщению. Если вы закрыли отчет утилиты, он будет находиться в той же папке, откуда была запущена утилита.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    25.12.2015
    Сообщений
    11
    Вес репутации
    31
    Лог программы MTB
    Вложения Вложения
    • Тип файла: txt MTB.txt (23.6 Кб, 1 просмотров)

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    DNS сервер 8.8.8.8 и был раньше прописан? Он доступен?

    Пробуйте CMD-файл из таких команд:
    Код:
    netsh winsock reset all
    netsh int 6to4 reset all
    netsh int ipv4 reset all
    netsh int ipv6 reset all
    netsh int httpstunnel reset all
    netsh int isatap reset all
    netsh int portproxy reset all
    netsh int tcp reset all
    netsh int teredo reset all
    Перезагрузка, проверяйте ситуацию.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    25.12.2015
    Сообщений
    11
    Вес репутации
    31
    Да, гуглднс самописный. Пинг до него идет.
    Код:
    >netsh winsock reset all
    
    Сброс каталога Winsock выполнен успешно.
    Необходимо перезагрузить компьютер, чтобы завершить сброс.
    
    >netsh int 6to4 reset all
    Команда int 6to4 reset all не найдена.
    
    >netsh int ipv4 reset all
    Сброс Эхо-запрос - сбой.
    Отказано в доступе.
    
    Сброс Глобальный - OK!
    Сброс Интерфейс - OK!
    Сброс Адрес одноадресной рассылки - OK!
    Сброс Маршрут - OK!
    Для завершения этого действия требуется перезагрузка.
    
    >netsh int ipv6 reset all
    Сброс Эхо-запрос - сбой.
    Отказано в доступе.
    
    Заданные пользователем настройки для сброса отсутствуют.
    
    >netsh int httpstunnel reset all
    Команда int httpstunnel reset all не найдена.
    
    >netsh int isatap reset all
    Команда int isatap reset all не найдена.
    
    >netsh int portproxy reset all
    
    >netsh int tcp reset all
    ОК.
    
    >netsh int teredo reset all
    Команда int teredo reset all не найдена.
    Ситуация не изменилась.

    - - - - -Добавлено - - - - -

    Теперь НЕ админы не могут зайти на сервер по причине:
    "Служба "Клиент групповой политики" препятствует входу в систему"
    Отказано в доступе.
    Последний раз редактировалось ExLatus; 25.12.2015 в 17:20.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Цитата Сообщение от ExLatus Посмотреть сообщение
    Теперь НЕ админы не могут зайти на сервер по причине:
    "Служба "Клиент групповой политики" препятствует входу в систему"
    Отказано в доступе.
    Это в политиках безопасности надо смотреть, кому разрешён локальный вход, сброс винсокс никак на это не должен был влиять.

    Откат системы как вариант рассматриваете?
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    25.12.2015
    Сообщений
    11
    Вес репутации
    31
    Мне кажется, что уже надо просто переустанавливать.
    Обнаружил, что при загрузке не стартует DHCP клиент с ошибкой 1083.
    И при перезагрузке в событиях от TaskScheduler прилетает критическое сообщение
    Код:
    Служба планировщика заданий обнаружила ошибку инициализации RPC в "RpcServerUseProtseq:ncacn_ip_tcp". Дополнительные сведения: значение ошибки: 14.
    Код события 404.

    Конечно, если есть возможность откатить на какое-то время назад, то было бы замечательно. А то переустанавливать все это мне кажется надолго.

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Попробуйте последнюю удачную конфигурацию по F8 в начале загрузки.
    WBR,
    Vadim

  13. #12
    Junior Member Репутация
    Регистрация
    25.12.2015
    Сообщений
    11
    Вес репутации
    31
    Пробовал. Не помогло.

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Тогда - переустановка, видимо. "Чем убитую чинить, лучше новую купить" - была в своё время такая реклама одного автосалона...
    WBR,
    Vadim

  15. #14
    Junior Member Репутация
    Регистрация
    25.12.2015
    Сообщений
    11
    Вес репутации
    31
    Еще ковыряю сервер.
    Оказалось, что nslookup нормально видит сервера и что сайты открываются по IP но не открываются по имени.

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Терять уже нечего... Попробуйте выполнить скрипт в AVZ:
    Код:
    begin
    ExecuteRepair(15);
    end.
    с последующей перезагрузкой.

    Если не поможет - такой:
    Код:
    begin
    ExecuteRepair(15);
    end.
    Базы AVZ только с другого компьютера обновите предварительно.
    WBR,
    Vadim

  17. #16
    Junior Member Репутация
    Регистрация
    25.12.2015
    Сообщений
    11
    Вес репутации
    31
    Это я уже делал. Не в этом проблема.
    Почему при попытке удалить полностью сетевой протокол я вижу это:
    http://take.ms/PpgEV
    http://take.ms/eP1qJ
    Почему есть Протокол Интернета версии 4 и есть Internet Protocol Version 4?

    Пытаюсь полностью удалить Tcp/IP Например как написано ЗДЕСЬ, но вот вопрос почему у меня 2 сетевых протокола?

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Видимо, в процессе восстановления сдублировались.
    Удаляйте сетевые адаптеры, устанавливайте снова, это, пожалуй, последнее, что можно попытаться.
    WBR,
    Vadim

  19. #18
    Junior Member Репутация
    Регистрация
    25.12.2015
    Сообщений
    11
    Вес репутации
    31
    Удалить из списка устройств? Таким образом?

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Да, и установить снова.
    WBR,
    Vadim

  21. #20
    Junior Member Репутация
    Регистрация
    25.12.2015
    Сообщений
    11
    Вес репутации
    31
    Не помогло. Так на английском и осталось написано.

    - - - - -Добавлено - - - - -

    И проблема осталась.
    Нету доступа к сайтам по имени.

Страница 1 из 2 12 Последняя

Похожие темы

  1. Ответов: 3
    Последнее сообщение: 23.07.2014, 14:45
  2. Ответов: 2
    Последнее сообщение: 01.09.2010, 23:23
  3. Возможные руткиты после AVPTool
    От Tovarisch в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 16.11.2009, 12:17
  4. Ответов: 14
    Последнее сообщение: 27.04.2009, 15:13
  5. Ответов: 2
    Последнее сообщение: 10.11.2008, 15:54

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00501 seconds with 20 queries