-
Junior Member
- Вес репутации
- 59
Покажите пожалуйста, что есть в реестре в таких местах:
Тут содержится 2 каталога с таким содержимым:
Код:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001\
и
Код:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002\
Параметры для первого (параметр - значение):
Код:
DisplayString - TCP/IP
Enabled - 1
LibraryPath - %SystemRoot%\system32\rnr20.dll
ProviderID - 40 9D 05 22 9e 7e cf 11 ae 5a 00 aa 00 a7 11 2b
StoresServiceClassInfo - (0)
SupportedNameSpace - 12
Version - 0
Параметры для второго:
Код:
DisplayString - NTDS
Enabled - 1
LibraryPath - %SystemRoot%\system32\winrnr.dll
ProviderID - ee 37 26 3b 80 e5 cf 11 a5 55 00 c0 4f d8 d4 ac
StoresServiceClassInfo - (0)
SupportedNameSpace - 32
Version - 0
Да, прошу прощения, папка именно NetLogon была вновь создана вручную, я тут ошибся с именем.
Сейчас поискал эти папки, нашел sysvol (пошареный) по пути c:\winnt\sysvol\sysvol, вторую не нашел, но через сетевое окружение ее видно. Насколько я помню, они должны создаваться автоматически после перезагрузки контроллера домена, чего в моем случае не происходит.
P.s. Утром ребутнулся снова, 2 раза с интервалом в 5 минут. В журнале событий лишь сухая строка, что "Предыдущее завершение работы было неожиданным." И Ошибка "Служба "Сетевой вход в систему" завершена из-за внутренней ошибки 2114.". После ручного запуска службы снова заработал.
Добавлено через 2 минуты
Может быть и не связано с етим, но DrWeb CureIt! снова обнаружил в пошареной папке на другом диске Win32.Sector.4. Лечит успешно. Правда, есть у меня подозрение, что эта зараза где-то сидит в сети.
Добавлено через 33 минуты
К сожалению, Easy Recovery 6 PRO не умеет работать со СКАЗИ дисками, по-этому восстановить руткит на место пока не удалось... Если возможно, подскажите, как это можно исполнить.
Добавлено через 6 часов 34 минуты
Хм. А подскажите мне, какие параметры стоят на пути
Код:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcLocator]
на контроллере домена в w2k3 в пункте DependOnService?
Последний раз редактировалось Skye; 20.03.2008 в 17:01.
Причина: Добавлено
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
LanmanWorkstation
LanmanServer
Это ответ на последний вопрос.
Над остальным "помедитирую" после установки тестового W2k-server+DC
Добавлено через 1 минуту
А по поводу "DrWeb CureIt! снова обнаружил в пошареной папке на другом диске Win32.Sector.4" - вполне может быть.
Последний раз редактировалось Kuzz; 20.03.2008 в 19:41.
Причина: Добавлено
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 59
Kuzz
Вцелом результат положительный. Изменение параметров [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Netlogon] на данные выше помогло. Стал грузиться нормально. Теперь осталось выяснить 2 вещи:
1. Что это был за Руткит.
2. Найти источник Win32.Sector.4.
Буду благодарен за полное описание виря, что бы хотя бы знать, где его отлавливать в приоритете (то есть тип, исполняемые файлы, что генерит, что поражает, что исправляет и где добавляет). Заранее спасибо.
-
По указаному имени вируса нашел пока только
http://info.drweb.com/virus/?match=f...32.HLLP.Sector
http://www.viruslist.com/ru/viruses/...?virusid=21030
А вот что это был за руткит можно было узнать из лога DrWeb-а..
Ну и на всякий случай - указаные выше места реестра в аттаче (взяты с Win2k).
Последний раз редактировалось Kuzz; 05.07.2009 в 17:59.
The worst foe lies within the self...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
-