Win 2000 Serever - подозрение на шпиона, как выявить?

[dfuec]

Просьба помочь советами.
Имеется у меня сервер, на Win 2000 Serever, собранный ещё в 2003 году, переживший кучу админов и сильно потрёпанный админами-стажёрами (всех подробностей не знаю, ибо с бывшими админами не знаком). Всё эт овремя на нём стоял только dr.Web и программа, используемая на фирме (по типу 1С предприятие, но разработанная умельцами из обл. центра). Сервер имеет постоянный доступ к инету через FreeBSD роутер. Пароль для удалённого доступа не менялся с момента установки серва.

Приверная конфигурация:
2 двухъядерных Intel Xeon 2,4
2Gb Ram
4x36Gb винты, объединённые в RAID, 2 по 2(номер RAID не помню), объединены через контроллер, дров на который ессно нету.

Недавно зайдя на серв, обнаружил в диспетчере задач некие странности:
1. 3 процесса CSRSS.EXE под учёткой SYSTEM
2. процесс CMD.EXE снова под системной учёткой
3. Вместо Explorer.exe загружен explorer1.exe
4. вместо wuauclt.exe загружен wuauclt1.exe
5. загружено 3 Winlogon.exe от системного имени.

Проверка DrWeb ничего не дала. Провёл скан программами AVZ и hijackthis. Нашёл их в книге по защите от Spy-софта. Привожу логи:

AVZ_log

Протокол антивирусной утилиты AVZ версии 4.29
Сканирование запущено в 16.03.2008 15:37:45
Загружена база: сигнатуры - 153404, нейропрофили - 2, микропрограммы лечения - 55, база от 13.03.2008 00:09
Загружены микропрограммы эвристики: 370
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 69898
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 5.0.2195, Service Pack 4 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
>>>> Возможно маскировка имени исполняемого файла 2564 diskimageservice.exe, реальное имя - DiskImageServic
>>>> Подозрение на маскировку файла процесса: C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\smss. exe
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=084E80)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 80400000
SDT = 80484E80
KiST = 804767B0 (24
Проверено функций: 248, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Анализ для процессора 3
Анализ для процессора 4
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
Количество найденных процессов: 59
Анализатор - изучается процесс 208 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\System32\smss. exe
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
Анализатор - изучается процесс 956 C:\WINNT\system32\rcssrv.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 2564 C:\Program Files\iolo\Search and Recover 2\DiskImageService.exe
[ES]:Приложение не имеет видимых окон
[ES]:EXE упаковщик ?
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 2572 C:\CacheSys\Bin\csystray.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 2596 C:\Program Files\DrWeb\DRWU.EXE
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:EXE упаковщик ?
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 2740 c:\cachesys\bin\cservice.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 1704 c:\cachesys\BIN\ctelnetd.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
Количество загруженных модулей: 306
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
$AVZ0637: "TCP/IP" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\System32\rnr20 .dll
$AVZ0637: "NTDS" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\System32\winrn r.dll
$AVZ0640 = "MSAFD Tcpip [TCP/IP]" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\msafd .dll
$AVZ0640 = "MSAFD Tcpip [UDP/IP]" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\msafd .dll
$AVZ0640 = "MSAFD Tcpip [RAW/IP]" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\msafd .dll
$AVZ0640 = "RSVP UDP Service Provider" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\rsvps p.dll
$AVZ0640 = "RSVP TCP Service Provider" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\rsvps p.dll
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{F9092428-105F-46D8-8BD8-0DE9FDC59151}] SEQPACKET 3" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\msafd .dll
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{F9092428-105F-46D8-8BD8-0DE9FDC59151}] DATAGRAM 3" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\msafd .dll
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{CF29AC45-FB17-44E3-9E67-BA2D3CFEBDAB}] SEQPACKET 4" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\msafd .dll
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{CF29AC45-FB17-44E3-9E67-BA2D3CFEBDAB}] DATAGRAM 4" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\msafd .dll
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{1087E44C-9873-4B1D-8114-61D5EF643D89}] SEQPACKET 0" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\msafd .dll
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{1087E44C-9873-4B1D-8114-61D5EF643D89}] DATAGRAM 0" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\msafd .dll
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{96F7F1D6-CD22-4BFB-B045-FED34278A343}] SEQPACKET 1" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\msafd .dll
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{96F7F1D6-CD22-4BFB-B045-FED34278A343}] DATAGRAM 1" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\msafd .dll
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{813DE959-B45B-457D-81C3-974906D5209E}] SEQPACKET 2" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\msafd .dll
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{813DE959-B45B-457D-81C3-974906D5209E}] DATAGRAM 2" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\msafd .dll
Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 17
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 70 TCP портов и 41 UDP портов
>>> Обратите внимание: Порт 4899 TCP - Remote Admin (c:\winnt\system32\r_server.exe - опознан как безопасный процесс)
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ и справке)
7. Эвристичеcкая проверка системы
Нестандартный ключ Winlogon\Shell: "explorer1.exe"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Служба удаленного управления реестром)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Модифицирован ключ запуска проводника
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 365, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 16.03.2008 15:38:22
Сканирование длилось 00:00:38
-------------------------------

hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 16:13:50, on 16.03.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\termsrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\system32\ntfrs.exe
C:\WINNT\system32\rcssrv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\locator.exe
C:\WINNT\system32\r_server.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\System32\lserver.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\wins.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\dns.exe
C:\WINNT\System32\ismserv.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\DrWeb\spiderui.exe
C:\Program Files\iolo\Search and Recover 2\DiskImageService.exe
C:\CacheSys\Bin\csystray.exe
C:\Program Files\DrWeb\DRWU.EXE
C:\WINNT\system32\wuauclt1.exe
C:\WINNT\system32\taskmgr.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\explorer1.exe
C:\Program Files\Far\Far.exe
C:\WINNT\explorer.exe
C:\Program Files\Far\Far.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\cmd.exe
c:\cachesys\bin\cservice.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
C:\WINNT\system32\cmd.exe
c:\cachesys\BIN\ctelnetd.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
C:\CacheSys\Mgr\user\sklad.exe
c:\cachesys\bin\cache.exe
C:\Obmen\нетестенное\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
F2 - REG:system.ini: Shell=explorer1.exe
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [PRONoMgrWired] C:\Program Files\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SpIDerNT] C:\PROGRA~1\DrWeb\spiderui.exe /agent
O4 - HKCU\..\Run: [Search and Recover Disk Image Service] "C:\Program Files\iolo\Search and Recover 2\DiskImageService.exe"
O4 - Startup: DrWU.lnk = DrWeb\DRWU.EXE
O4 - Global Startup: CACHE.lnk = C:\CacheSys\Bin\csystray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Start Remote Administrator server.lnk = C:\WINNT\system32\r_server.exe
O4 - Global Startup: SUBV.pif = c:\cachesys\mgr\user\SUBV.BAT
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1168325102250
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) -
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = farmex.priv
O17 - HKLM\System\CCS\Services\Tcpip\..\{1087E44C-9873-4B1D-8114-61D5EF643D89}: NameServer = 192.168.0.1,192.168.0.255,81.90.227.65,81.90.224.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF29AC45-FB17-44E3-9E67-BA2D3CFEBDAB}: NameServer = 127.0.0.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = farmex.priv
O17 - HKLM\System\CS1\Services\Tcpip\..\{1087E44C-9873-4B1D-8114-61D5EF643D89}: NameServer = 192.168.0.1,192.168.0.255,81.90.227.65,81.90.224.1
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = farmex.priv
O17 - HKLM\System\CS2\Services\Tcpip\..\{1087E44C-9873-4B1D-8114-61D5EF643D89}: NameServer = 192.168.0.1,192.168.0.255,81.90.227.65,81.90.224.1
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = farmex.priv
O17 - HKLM\System\CS3\Services\Tcpip\..\{1087E44C-9873-4B1D-8114-61D5EF643D89}: NameServer = 192.168.0.1,192.168.0.255,81.90.227.65,81.90.224.1
O23 - Service: Оповещатель (Alerter) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: Управление приложениями (AppMgmt) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Обозреватель компьютеров (Browser) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: Контроллер Cache' для CACHE (Cache_c-_cachesys) - Unknown owner - c:\cachesys\bin\cservice.exe
O23 - Service: DHCP-клиент (Dhcp) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: Служба администрирования диспетчера логических дисков (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Диспетчер логических дисков (dmserver) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: DNS-сервер (DNS) - Корпорация Майкрософт - C:\WINNT\System32\dns.exe
O23 - Service: DNS-клиент (Dnscache) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Служба факсов (Fax) - Корпорация Майкрософт - C:\WINNT\system32\faxsvc.exe
O23 - Service: Центр распространения ключей Kerberos (kdc) - Корпорация Майкрософт - C:\WINNT\System32\lsass.exe
O23 - Service: Сервер (lanmanserver) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: Рабочая станция (lanmanworkstation) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: Служба поддержки TCP/IP NetBIOS (LmHosts) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: Служба сообщений (Messenger) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINNT\System32\mnmsrvc.exe
O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINNT\system32\netdde.exe
O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINNT\system32\netdde.exe
O23 - Service: Сетевой вход в систему (Netlogon) - Корпорация Майкрософт - C:\WINNT\System32\lsass.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: Служба репликации файлов (NtFrs) - Корпорация Майкрософт - C:\WINNT\system32\ntfrs.exe
O23 - Service: Поставщик поддержки безопасности NT LM (NtLmSsp) - Корпорация Майкрософт - C:\WINNT\System32\lsass.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Агент политики IPSEC (PolicyAgent) - Корпорация Майкрософт - C:\WINNT\System32\lsass.exe
O23 - Service: Защищенное хранилище (ProtectedStorage) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: RAID Configuration Service (RAIDService) - Unknown owner - C:\WINNT\system32\rcssrv.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINNT\system32\r_server.exe" /service (file missing)
O23 - Service: Диспетчер учетных записей безопасности (SamSs) - Корпорация Майкрософт - C:\WINNT\system32\lsass.exe
O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Планировщик заданий (Schedule) - Корпорация Майкрософт - C:\WINNT\system32\MSTask.exe
O23 - Service: Служба RunAs (seclogon) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Служба SNMP (SNMP) - Корпорация Майкрософт - C:\WINNT\System32\snmp.exe
O23 - Service: SpIDer Guard for Windows (SPIDERNT) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\spidernt.exe
O23 - Service: Оповещения и журналы производительности (SysmonLog) - Корпорация Майкрософт - C:\WINNT\system32\smlogsvc.exe
O23 - Service: Службы терминалов (TermService) - Корпорация Майкрософт - C:\WINNT\System32\termsrv.exe
O23 - Service: Лицензирование служб терминалов (TermServLicensing) - Корпорация Майкрософт - C:\WINNT\System32\lserver.exe
O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINNT\system32\tlntsvr.exe
O23 - Service: Сервер отслеживания изменившихся связей (TrkSvr) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Клиент отслеживания изменившихся связей (TrkWks) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Служба времени Windows (W32Time) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: Инструментарий управления Windows (WinMgmt) - Корпорация Майкрософт - C:\WINNT\System32\WBEM\WinMgmt.exe
O23 - Service: Расширения драйвера оснастки управления Windows (Wmi) - Корпорация Майкрософт - C:\WINNT\system32\Services.exe

--------

[Kuzz]

Если сделать все по правилам, то помощь обязательно будет.

Только если Вы показаные логи делали с помощью какой либо терминальной программы (напр. radmin или через удаленный рабочий стол), то надо их делать непосредственно на компьютере.

[dfuec]

Да читал я правила, но сейчас доступ у меня к нему только по радмину.

Перезагрузить среди недели я его не могу, только в самых экстренных случаях, так как практически постоянно на нём идут специальзированные расчёты от работников.

В общем, получить его в своё распоряжение сложно, так что приходится пока делать так.

[borka]

В общем, получить его в своё распоряжение сложно, так что приходится пока делать так.

Найдите файлы C:\WINNT\explorer1.exe, C:\WINNT\system32\wuauclt1.exe, C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\System32\smss. exe и все файлы из п.4. (Winsock Layered Service Provider), проверьте их в Онлайне. Если не детектятся - отправьте их в Вирлаб со своими комментариями.
Доктор Веб в принципе работает или нет? Почему не запущена служба SPIDERNT - в процессах нет spidernt.exe?

[dfuec]

Доктор веб не работает.
Даже не знаю когда он перестал работать. я когда серв принял, мне сказали не лазить и ничего не трогать, я тогда серверов никогда даже не видел)

Ну а потом попытался восстановить, но из-за проблем с доступом так и не получилось. Пришлось ограничиться проверкой Cureit раз в неделю.

А вот он-лайн проверку обязательно попробую, сасибо за совет.
Кста в местах где лежат версии с индексом *1 есть и оригинальные версии, с полностью идентичным размером.

[pig]

Да читал я правила, но сейчас доступ у меня к нему только по радмину.

IMHO, радмин от локальной сессии крайне мало отличается. По крайней мере, он имитирует работу локальной клавиатуры и мыши, что даёт именно локальную сессию, а не терминальную. В принципе, сойдёт.

Hint: AVZ после обновления баз (особенно первого, самого обширного) надо перезапускать, чтобы подхватилось обновление словаря локализации. Тогда не будет этих загадочных цифр ($AVZ0640) в логе.