Собственно сабж. В наследство достался DC на Win2k, стоял с необновленным Симантеком. DrWeb нашел троянца и RK. Что за RK был - не скажу, ибо был убит неглядя, что является моей ошибкой.
Далее начались глюки следующего рода: DC не стартовал вообще. Выход был найден копированием веток реестра WinSock и WinSock32 с аналогичного сервера, после чего он стартовал, но не выполняет автозапуск службы NetLogon, завершая ее из-за ошибки. То есть после нажатия ctrl+alt+del, ввода логина/пароля, загрузки рабочего стола - мне требуется вручную запустить службу "Сетевой вход в систему", после чего DC приступает к своим обязанностям.
Теперь сервер перегружается раз в сутки (если не трогать) или "при обращении к модулю c:\winnt\system32\lsass.exe с кодом состояния -1073741819
Я знаю, что проблема связана с тем, что Руткит изменил пути к системным файлам (smss.exe, в частности), но как побороть - не знаю.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Если использовали Cureit! для проверки, он должен был сохранить лог в %userprofile%\DoctorWeb\cureit.log - там должна быть информация о том, что лечилось/удалялось.
Логи выглядят чистыми. На всякий случай, посмотрите эту статью - http://support.microsoft.com/kb/300038 - может быть, ваш случай.
К сожалению, по логам с серверной ос гадать сложно. Совсем на всякий случай, опять же, если есть возможность, загрузите файлы smss.exe и lsass.exe с проблемной машины по ссылке http://virusinfo.info/upload_virus.php?tid=20019 в архиве с паролем virus. И еще, вы сделали что-то похожее руками, но тем не менее: в утилите netsh для Win2003 есть контекст winsock, в котором есть команда reset - сброс каталога winsock в исходное состояние. Если аналогичный контекст есть и в netsh для win2k - попробуйте выполнить.
Последний раз редактировалось Numb; 18.03.2008 в 14:02.
Как я понимаю, лог Cureit! ограничен по умолчанию размером. К сожалению туда записи убийства RK не попали.
Статью читал. Репликация выставлена согласно статье. Так же пробовал накатить повторно SP4 для w2k. Эффекта не дало.
Маленький комментарий к логу: если повнимательнее посмотреть лог Менеджера WinSock SPI, то можно увидеть массу записей о том, что пути к файлам rnr20.dll, winrnr.dll, т.д., идут на с:\Documents&Settings\Администратор\WINDOWS\System 32\file_name.xxx , что не есть карашо, ибо такого пути нет. Он был, но был жестоко и неосмотрительно пристрелен мной.
На данный момент вижу только одно решение: воспользоваться Easy Recovery PRO, восстановить RK и того троянца для более точного исследования.
К сожалению, netsh то есть, но функции управления сокетами появились только в Win2k3. Именно по-етому пришлось копировать обе ветки реестра.
Файлы сейчас вышлю (как найду, как поставить пароль на Zip - архив, к сожалению, WinRaR не умеет).
Маленький комментарий к логу: если повнимательнее посмотреть лог Менеджера WinSock SPI, то можно увидеть массу записей о том, что пути к файлам rnr20.dll, winrnr.dll, т.д., идут на с:\Documents&Settings\Администратор\WINDOWS\System 32\file_name.xxx , что не есть карашо, ибо такого пути нет. Он был, но был жестоко и неосмотрительно пристрелен мной.
Это видно, но это, с большой долей вероятности, не проблема вашей ОС, а особенность формирования логов программами AVZ и HJT при работе с серверной ОС (там, если вы посмотрите, практически все системные службы по такому пути расположены). Что касается пути %userprofile%\windows\system32 - он может быть связан с доступом к серверу через терминальную сессию. Если я прав, то при повторном подключении через RDP под администратором, думаю, папки будут созданы снова.
Еще, как вариант: попробуйте netdiag - если он найдет проблемы, там есть ключ fix - возможно, с его помощью удасться восстановить работоспособность системы.
Полученые от кого бы то ни было в наследство ПК подлежат переустановке системы с удалением всех разделов диска. Лучше - еще до подключения к сети.
К сожалению это рабочий Даймлер Крайслер () в сети. Как то мне в голову не приходит ничего больше, нежели понизить роль сервера до рядового, перенести AD, отформатить и снова развернуть домен. Но это слишком большие временные затраты. По-этому, собственно, и обратился к Вам.
Добавлено через 17 минут
Сообщение от Numb
Это видно, но это, с большой долей вероятности, не проблема вашей ОС, а особенность формирования логов программами AVZ и HJT при работе с серверной ОС (там, если вы посмотрите, практически все системные службы по такому пути расположены). Что касается пути %userprofile%\windows\system32 - он может быть связан с доступом к серверу через терминальную сессию. Если я прав, то при повторном подключении через RDP под администратором, думаю, папки будут созданы снова.
Еще, как вариант: попробуйте netdiag - если он найдет проблемы, там есть ключ fix - возможно, с его помощью удасться восстановить работоспособность системы.
Хм. Странно, но папки при повторном подключении по RDP не создаются. После убийства вышеописанного RK исчезали папки netshare и sysvol. После копирования веток Winsock'a и создания данных папок пользователям удалось подключаться к DC, началась раздача адресов.
Netdiag проблем не видит.
Может имеет смысл в ручную создать тот путь, который указан в АVZ и поместить туда эти файлы?..
Последний раз редактировалось Skye; 18.03.2008 в 15:38.
Причина: Добавлено
По сравнению с затратами времени на попытки очистить ПК от мусора - это ништяк .
Уважаемый, я, конечно, понимаю, что "поставить все с чистого листа" есть True для любой системы, но поскольку этот компьютер является мало того, что сервером, так еще и контроллером домена на (120 рабочих мест), то этот вариант должен быть самым последним.
Наврал Создается путь %userprofile%\windows\system . Но про логи, остаюсь при своем мнении - это, скорее всего, особенность работы AVZ
Да, создается именно этот путь . Хм. Давайте выступлю в качесте "вега" тестера и просканирую соседний аналогичный сервер (ну кроме того, что он рядовой в моем лесу), на предмет вероятности некорректности логов.
Можно проверить на всякий случай несколько файлов.
Выполните скрипт в AVZ:
Код:
begin
QuarantineFile('C:\Documents and Settings\Администратор\WINDOWS\system32\drivers\netdtect.sys','');
QuarantineFile ('%WinDir%\system32\drivers\netdtect.sys','');
QuarantineFile('C:\Documents and Settings\Администратор\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile ('%WinDir%\System32\Drivers\Beep.SYS','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин, как написано в правилах (загружать здесь: http://virusinfo.info/upload_virus.php?tid=20019 ).
Вам знакомы эти программы:
D:\WorkTimer\PROMAG.exe
C:\Program Files\3Com\Network Director\bin\NM_Launcher.exe
Если незнакомы, то тоже пришлите.
И еще MSIE: Internet Explorer v5.00 SP4 пора обновить
kps, программы знакомы. Первая - считыватель карт "приход-уход" на работу, вторая - софтинка для управления сетью на базе управляемых свичей 3com, как видно. Поскольку DC не имеет выхода в интернет - не вижу смысла обновлять IE. Лучше уж обновить весь сервер до 2к3 r2, и сделать его WSUS. По поводу скрипта: по пути
'C:\Documents and Settings\Администратор\WINDOWS\system32\drivers\ne tdtect.sys'
'C:\Documents and Settings\Администратор\WINDOWS\System32\Drivers\Be ep.SYS'
Указанных файлов нет, они были убиты мной (как я говорил выше), а в рабочее время перегрузить DC не имею возможности. Можно просто залить архив фалов drivers\netdtect.sys и drivers\beep.sys?..
После убийства вышеописанного RK исчезали папки netshare и sysvol. После копирования веток Winsock'a и создания данных папок пользователям удалось подключаться к DC, началась раздача адресов.
На DC (но это W2k3) папки Sysvol и NetLogon помечены комментарием "Общий сервер входа" и они действительно нужны для работы домена.
Добавлено через 25 минут
Покажите пожалуйста, что есть в реестре в таких местах:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: