Показано с 1 по 6 из 6.

Win 2000 Serever - подозрение на шпиона, как выявить?

  1. #1
    Junior Member Репутация
    Регистрация
    16.03.2008
    Адрес
    Мелитополь, Украина
    Сообщений
    3
    Вес репутации
    36

    Win 2000 Serever - подозрение на шпиона, как выявить?

    Просьба помочь советами.
    Имеется у меня сервер, на Win 2000 Serever, собранный ещё в 2003 году, переживший кучу админов и сильно потрёпанный админами-стажёрами (всех подробностей не знаю, ибо с бывшими админами не знаком). Всё эт овремя на нём стоял только dr.Web и программа, используемая на фирме (по типу 1С предприятие, но разработанная умельцами из обл. центра). Сервер имеет постоянный доступ к инету через FreeBSD роутер. Пароль для удалённого доступа не менялся с момента установки серва.

    Приверная конфигурация:
    2 двухъядерных Intel Xeon 2,4
    2Gb Ram
    4x36Gb винты, объединённые в RAID, 2 по 2(номер RAID не помню), объединены через контроллер, дров на который ессно нету.

    Недавно зайдя на серв, обнаружил в диспетчере задач некие странности:
    1. 3 процесса CSRSS.EXE под учёткой SYSTEM
    2. процесс CMD.EXE снова под системной учёткой
    3. Вместо Explorer.exe загружен explorer1.exe
    4. вместо wuauclt.exe загружен wuauclt1.exe
    5. загружено 3 Winlogon.exe от системного имени.

    Проверка DrWeb ничего не дала. Провёл скан программами AVZ и hijackthis. Нашёл их в книге по защите от Spy-софта. Привожу логи:

    AVZ_log

    Протокол антивирусной утилиты AVZ версии 4.29
    Сканирование запущено в 16.03.2008 15:37:45
    Загружена база: сигнатуры - 153404, нейропрофили - 2, микропрограммы лечения - 55, база от 13.03.2008 00:09
    Загружены микропрограммы эвристики: 370
    Загружены микропрограммы ИПУ: 9
    Загружены цифровые подписи системных файлов: 69898
    Режим эвристического анализатора: Максимальный уровень эвристики
    Режим лечения: выключено
    Версия Windows: 5.0.2195, Service Pack 4 ; AVZ работает с правами администратора
    Восстановление системы: включено
    1. Поиск RootKit и программ, перехватывающих функции API
    >>>> Возможно маскировка имени исполняемого файла 2564 diskimageservice.exe, реальное имя - DiskImageServic
    >>>> Подозрение на маскировку файла процесса: C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\smss. exe
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    SDT найдена (RVA=084E80)
    Ядро ntoskrnl.exe обнаружено в памяти по адресу 80400000
    SDT = 80484E80
    KiST = 804767B0 (24
    Проверено функций: 248, перехвачено: 0, восстановлено: 0
    1.3 Проверка IDT и SYSENTER
    Анализ для процессора 1
    Анализ для процессора 2
    Анализ для процессора 3
    Анализ для процессора 4
    Проверка IDT и SYSENTER завершена
    1.4 Поиск маскировки процессов и драйверов
    Проверка не производится, так как не установлен драйвер мониторинга AVZPM
    2. Проверка памяти
    Количество найденных процессов: 59
    Анализатор - изучается процесс 208 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\System32\smss. exe
    [ES]:Приложение не имеет видимых окон
    [ES]:Размещается в системной папке
    Анализатор - изучается процесс 956 C:\WINNT\system32\rcssrv.exe
    [ES]:Может работать с сетью
    [ES]:Прослушивает порты TCP !
    [ES]:Приложение не имеет видимых окон
    Анализатор - изучается процесс 2564 C:\Program Files\iolo\Search and Recover 2\DiskImageService.exe
    [ES]:Приложение не имеет видимых окон
    [ES]:EXE упаковщик ?
    [ES]:Записан в автозапуск !!
    Анализатор - изучается процесс 2572 C:\CacheSys\Bin\csystray.exe
    [ES]:Может работать с сетью
    [ES]:Приложение не имеет видимых окон
    [ES]:Записан в автозапуск !!
    Анализатор - изучается процесс 2596 C:\Program Files\DrWeb\DRWU.EXE
    [ES]:Может работать с сетью
    [ES]:Приложение не имеет видимых окон
    [ES]:EXE упаковщик ?
    [ES]:Записан в автозапуск !!
    [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
    Анализатор - изучается процесс 2740 c:\cachesys\bin\cservice.exe
    [ES]:Может работать с сетью
    [ES]:Приложение не имеет видимых окон
    Анализатор - изучается процесс 1704 c:\cachesys\BIN\ctelnetd.exe
    [ES]:Может работать с сетью
    [ES]:Прослушивает порты TCP !
    [ES]:Приложение не имеет видимых окон
    Количество загруженных модулей: 306
    Проверка памяти завершена
    3. Сканирование дисков
    4. Проверка Winsock Layered Service Provider (SPI/LSP)
    $AVZ0637: "TCP/IP" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\System32\rnr20 .dll
    $AVZ0637: "NTDS" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\System32\winrn r.dll
    $AVZ0640 = "MSAFD Tcpip [TCP/IP]" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\msafd .dll
    $AVZ0640 = "MSAFD Tcpip [UDP/IP]" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\msafd .dll
    $AVZ0640 = "MSAFD Tcpip [RAW/IP]" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\msafd .dll
    $AVZ0640 = "RSVP UDP Service Provider" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\rsvps p.dll
    $AVZ0640 = "RSVP TCP Service Provider" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\rsvps p.dll
    $AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{F9092428-105F-46D8-8BD8-0DE9FDC59151}] SEQPACKET 3" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\msafd .dll
    $AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{F9092428-105F-46D8-8BD8-0DE9FDC59151}] DATAGRAM 3" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\msafd .dll
    $AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{CF29AC45-FB17-44E3-9E67-BA2D3CFEBDAB}] SEQPACKET 4" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\msafd .dll
    $AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{CF29AC45-FB17-44E3-9E67-BA2D3CFEBDAB}] DATAGRAM 4" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\msafd .dll
    $AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{1087E44C-9873-4B1D-8114-61D5EF643D89}] SEQPACKET 0" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\msafd .dll
    $AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{1087E44C-9873-4B1D-8114-61D5EF643D89}] DATAGRAM 0" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\msafd .dll
    $AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{96F7F1D6-CD22-4BFB-B045-FED34278A343}] SEQPACKET 1" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\msafd .dll
    $AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{96F7F1D6-CD22-4BFB-B045-FED34278A343}] DATAGRAM 1" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\msafd .dll
    $AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{813DE959-B45B-457D-81C3-974906D5209E}] SEQPACKET 2" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\msafd .dll
    $AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{813DE959-B45B-457D-81C3-974906D5209E}] DATAGRAM 2" --> $AVZ0623 C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\system32\msafd .dll
    Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 17
    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
    В базе 317 описаний портов
    На данном ПК открыто 70 TCP портов и 41 UDP портов
    >>> Обратите внимание: Порт 4899 TCP - Remote Admin (c:\winnt\system32\r_server.exe - опознан как безопасный процесс)
    На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ и справке)
    7. Эвристичеcкая проверка системы
    Нестандартный ключ Winlogon\Shell: "explorer1.exe"
    Проверка завершена
    8. Поиск потенциальных уязвимостей
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Служба удаленного управления реестром)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
    >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
    >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
    >> Безопасность: Разрешены терминальные подключения к данному ПК
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Проверка завершена
    9. Мастер поиска и устранения проблем
    >> Модифицирован ключ запуска проводника
    >> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
    >> Разрешен автозапуск с HDD
    >> Разрешен автозапуск с сетевых дисков
    >> Разрешен автозапуск со сменных носителей
    Проверка завершена
    Просканировано файлов: 365, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
    Сканирование завершено в 16.03.2008 15:38:22
    Сканирование длилось 00:00:38
    -------------------------------
    hijackthis

    Logfile of HijackThis v1.99.1
    Scan saved at 16:13:50, on 16.03.2008
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\System32\termsrv.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\WINNT\system32\Dfssvc.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\System32\llssrv.exe
    C:\WINNT\system32\ntfrs.exe
    C:\WINNT\system32\rcssrv.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\System32\locator.exe
    C:\WINNT\system32\r_server.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\System32\snmp.exe
    C:\WINNT\System32\lserver.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\System32\wins.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\System32\tcpsvcs.exe
    C:\WINNT\System32\dns.exe
    C:\WINNT\System32\ismserv.exe
    C:\WINNT\System32\msdtc.exe
    C:\WINNT\System32\svchost.exe
    C:\PROGRA~1\DrWeb\spiderui.exe
    C:\Program Files\iolo\Search and Recover 2\DiskImageService.exe
    C:\CacheSys\Bin\csystray.exe
    C:\Program Files\DrWeb\DRWU.EXE
    C:\WINNT\system32\wuauclt1.exe
    C:\WINNT\system32\taskmgr.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\explorer1.exe
    C:\Program Files\Far\Far.exe
    C:\WINNT\explorer.exe
    C:\Program Files\Far\Far.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\cmd.exe
    c:\cachesys\bin\cservice.exe
    c:\cachesys\bin\cache.exe
    c:\cachesys\bin\cache.exe
    c:\cachesys\bin\cache.exe
    c:\cachesys\bin\cache.exe
    c:\cachesys\bin\cache.exe
    c:\cachesys\bin\cache.exe
    c:\cachesys\bin\cache.exe
    C:\WINNT\system32\cmd.exe
    c:\cachesys\BIN\ctelnetd.exe
    c:\cachesys\bin\cache.exe
    c:\cachesys\bin\cache.exe
    C:\CacheSys\Mgr\user\sklad.exe
    c:\cachesys\bin\cache.exe
    C:\Obmen\нетестенное\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
    F2 - REG:system.ini: Shell=explorer1.exe
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
    O4 - HKLM\..\Run: [PRONoMgrWired] C:\Program Files\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
    O4 - HKLM\..\Run: [SpIDerNT] C:\PROGRA~1\DrWeb\spiderui.exe /agent
    O4 - HKCU\..\Run: [Search and Recover Disk Image Service] "C:\Program Files\iolo\Search and Recover 2\DiskImageService.exe"
    O4 - Startup: DrWU.lnk = DrWeb\DRWU.EXE
    O4 - Global Startup: CACHE.lnk = C:\CacheSys\Bin\csystray.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: Start Remote Administrator server.lnk = C:\WINNT\system32\r_server.exe
    O4 - Global Startup: SUBV.pif = c:\cachesys\mgr\user\SUBV.BAT
    O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1168325102250
    O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) -
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = farmex.priv
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1087E44C-9873-4B1D-8114-61D5EF643D89}: NameServer = 192.168.0.1,192.168.0.255,81.90.227.65,81.90.224.1
    O17 - HKLM\System\CCS\Services\Tcpip\..\{CF29AC45-FB17-44E3-9E67-BA2D3CFEBDAB}: NameServer = 127.0.0.1
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = farmex.priv
    O17 - HKLM\System\CS1\Services\Tcpip\..\{1087E44C-9873-4B1D-8114-61D5EF643D89}: NameServer = 192.168.0.1,192.168.0.255,81.90.227.65,81.90.224.1
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = farmex.priv
    O17 - HKLM\System\CS2\Services\Tcpip\..\{1087E44C-9873-4B1D-8114-61D5EF643D89}: NameServer = 192.168.0.1,192.168.0.255,81.90.227.65,81.90.224.1
    O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = farmex.priv
    O17 - HKLM\System\CS3\Services\Tcpip\..\{1087E44C-9873-4B1D-8114-61D5EF643D89}: NameServer = 192.168.0.1,192.168.0.255,81.90.227.65,81.90.224.1
    O23 - Service: Оповещатель (Alerter) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
    O23 - Service: Управление приложениями (AppMgmt) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
    O23 - Service: Обозреватель компьютеров (Browser) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
    O23 - Service: Контроллер Cache' для CACHE (Cache_c-_cachesys) - Unknown owner - c:\cachesys\bin\cservice.exe
    O23 - Service: DHCP-клиент (Dhcp) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
    O23 - Service: Служба администрирования диспетчера логических дисков (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: Диспетчер логических дисков (dmserver) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
    O23 - Service: DNS-сервер (DNS) - Корпорация Майкрософт - C:\WINNT\System32\dns.exe
    O23 - Service: DNS-клиент (Dnscache) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
    O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
    O23 - Service: Служба факсов (Fax) - Корпорация Майкрософт - C:\WINNT\system32\faxsvc.exe
    O23 - Service: Центр распространения ключей Kerberos (kdc) - Корпорация Майкрософт - C:\WINNT\System32\lsass.exe
    O23 - Service: Сервер (lanmanserver) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
    O23 - Service: Рабочая станция (lanmanworkstation) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
    O23 - Service: Служба поддержки TCP/IP NetBIOS (LmHosts) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
    O23 - Service: Служба сообщений (Messenger) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
    O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINNT\System32\mnmsrvc.exe
    O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINNT\system32\netdde.exe
    O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINNT\system32\netdde.exe
    O23 - Service: Сетевой вход в систему (Netlogon) - Корпорация Майкрософт - C:\WINNT\System32\lsass.exe
    O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe
    O23 - Service: Служба репликации файлов (NtFrs) - Корпорация Майкрософт - C:\WINNT\system32\ntfrs.exe
    O23 - Service: Поставщик поддержки безопасности NT LM (NtLmSsp) - Корпорация Майкрософт - C:\WINNT\System32\lsass.exe
    O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
    O23 - Service: Агент политики IPSEC (PolicyAgent) - Корпорация Майкрософт - C:\WINNT\System32\lsass.exe
    O23 - Service: Защищенное хранилище (ProtectedStorage) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
    O23 - Service: RAID Configuration Service (RAIDService) - Unknown owner - C:\WINNT\system32\rcssrv.exe
    O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINNT\system32\r_server.exe" /service (file missing)
    O23 - Service: Диспетчер учетных записей безопасности (SamSs) - Корпорация Майкрософт - C:\WINNT\system32\lsass.exe
    O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINNT\System32\SCardSvr.exe
    O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINNT\System32\SCardSvr.exe
    O23 - Service: Планировщик заданий (Schedule) - Корпорация Майкрософт - C:\WINNT\system32\MSTask.exe
    O23 - Service: Служба RunAs (seclogon) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
    O23 - Service: Служба SNMP (SNMP) - Корпорация Майкрософт - C:\WINNT\System32\snmp.exe
    O23 - Service: SpIDer Guard for Windows (SPIDERNT) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\spidernt.exe
    O23 - Service: Оповещения и журналы производительности (SysmonLog) - Корпорация Майкрософт - C:\WINNT\system32\smlogsvc.exe
    O23 - Service: Службы терминалов (TermService) - Корпорация Майкрософт - C:\WINNT\System32\termsrv.exe
    O23 - Service: Лицензирование служб терминалов (TermServLicensing) - Корпорация Майкрософт - C:\WINNT\System32\lserver.exe
    O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINNT\system32\tlntsvr.exe
    O23 - Service: Сервер отслеживания изменившихся связей (TrkSvr) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
    O23 - Service: Клиент отслеживания изменившихся связей (TrkWks) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
    O23 - Service: Служба времени Windows (W32Time) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
    O23 - Service: Инструментарий управления Windows (WinMgmt) - Корпорация Майкрософт - C:\WINNT\System32\WBEM\WinMgmt.exe
    O23 - Service: Расширения драйвера оснастки управления Windows (Wmi) - Корпорация Майкрософт - C:\WINNT\system32\Services.exe

    --------

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    Если сделать все по правилам, то помощь обязательно будет.

    Только если Вы показаные логи делали с помощью какой либо терминальной программы (напр. radmin или через удаленный рабочий стол), то надо их делать непосредственно на компьютере.
    The worst foe lies within the self...

  4. #3
    Junior Member Репутация
    Регистрация
    16.03.2008
    Адрес
    Мелитополь, Украина
    Сообщений
    3
    Вес репутации
    36
    Да читал я правила, но сейчас доступ у меня к нему только по радмину.

    Перезагрузить среди недели я его не могу, только в самых экстренных случаях, так как практически постоянно на нём идут специальзированные расчёты от работников.

    В общем, получить его в своё распоряжение сложно, так что приходится пока делать так.

  5. #4
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    796
    Цитата Сообщение от dfuec Посмотреть сообщение
    В общем, получить его в своё распоряжение сложно, так что приходится пока делать так.
    Найдите файлы C:\WINNT\explorer1.exe, C:\WINNT\system32\wuauclt1.exe, C:\Documents and Settings\AdminFarmex.FARMEX\WINDOWS\System32\smss. exe и все файлы из п.4. (Winsock Layered Service Provider), проверьте их в Онлайне. Если не детектятся - отправьте их в Вирлаб со своими комментариями.
    Доктор Веб в принципе работает или нет? Почему не запущена служба SPIDERNT - в процессах нет spidernt.exe?
    ---
    С уважением,
    Borka.

  6. #5
    Junior Member Репутация
    Регистрация
    16.03.2008
    Адрес
    Мелитополь, Украина
    Сообщений
    3
    Вес репутации
    36
    Доктор веб не работает.
    Даже не знаю когда он перестал работать. я когда серв принял, мне сказали не лазить и ничего не трогать, я тогда серверов никогда даже не видел)

    Ну а потом попытался восстановить, но из-за проблем с доступом так и не получилось. Пришлось ограничиться проверкой Cureit раз в неделю.

    А вот он-лайн проверку обязательно попробую, сасибо за совет.
    Кста в местах где лежат версии с индексом *1 есть и оригинальные версии, с полностью идентичным размером.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Цитата Сообщение от dfuec Посмотреть сообщение
    Да читал я правила, но сейчас доступ у меня к нему только по радмину.
    IMHO, радмин от локальной сессии крайне мало отличается. По крайней мере, он имитирует работу локальной клавиатуры и мыши, что даёт именно локальную сессию, а не терминальную. В принципе, сойдёт.

    Hint: AVZ после обновления баз (особенно первого, самого обширного) надо перезапускать, чтобы подхватилось обновление словаря локализации. Тогда не будет этих загадочных цифр ($AVZ0640) в логе.

Похожие темы

  1. Ответов: 8
    Последнее сообщение: 28.03.2012, 13:44
  2. Ответов: 7
    Последнее сообщение: 15.03.2012, 16:35
  3. Ответов: 1
    Последнее сообщение: 21.06.2010, 14:21
  4. Не могу выявить вирус
    От Fluncky в разделе Помогите!
    Ответов: 10
    Последнее сообщение: 22.02.2009, 09:09

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01160 seconds with 16 queries