Windows 2008 server
Стоит Symantec Endpoint Protection 11
Все легальное.
После пререзагрузки сервер не видится в локалке, горит иконка в трее с красным крестом (как бы отключен сетевой кабель)
хотя реально сетка есть и интернет работает.
В центр управления сети войти не мог - висяк.
Тотал коммандер не запускался - висяк.
Установка и удаление программ не работает - выдает сообщение, что какой-то uninstall уже работает - типа ждите...
Комп дико тормозит.
Прогнал AVZ, Cureit, SpywareTerminator - никакого эффекта.
Проверил что в автозагрузке - Сидит родимый...
Причем в c:\users\администратор\appdata\local\
Заловил троян руками, антивирусы молчат.
В искомой папке подозрительных файлов было несколько
но реально работал umksk.exe (см. вложение)
К сему еще имелся батник... (см.вложение)
Почистил папку руками - безобразия прекратились.
Отсюда вопрос:
Я что, какой-то свежак придушил? И что это за пакость?
Последний раз редактировалось AlrxSan; 14.07.2009 в 13:07.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Как я уже написал выше у меня 2008 Sever ...
В нем НЕТ системного восстановления
А темпы я естественно почистил...
Кстати сегодня он показывает 12 часов до окончания работы...
На настоящий момент проверяется папка ...
ps
Кажется понял что происходит. Привет Билли... блин.
Дело в том что в 2008 Server НЕТ папки Documents and Settings вместо нее папка USERS
Для совместимости есть линк Documents and Settings который ведет на папку USERS
Так-же нет папки All Users внутри папки USERS, а вместо нее линк с этим именем на папку ProgramData
Ну и так далее...
Причем внутри Program Data нет папки Application Data, а есть линк с этим именем, который ведет ОБРАТНО на ProgamData ...
В результате AVZ посто ЗАЦИКЛИВАЕТСЯ на проверке этой папки и ПАДАЕТ по переполнению.
Похоже, что для 2008 Server нужен другой скрипт
Последний раз редактировалось AlrxSan; 15.07.2009 в 10:55.
Внимание !!! База поcледний раз обновлялась 08.02.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Это я полиморфный AVZ 4.32 пытался использовать...
Вроде версия посвежее.
В нем база не обновляется...
Но больному это не помогло...
Я уже сам запутался...
Короче выложил сегодняшний...
Хотя меня больше интересует, что за exe-шник я заловил...
В дизасемблировании я слаб...
Еще под ДОСом что-то понимал, а сейчас - увы...
еще в реестре таинственная неудаляемые записи с именем
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\o vfsthcepvoxrwqrdsjxjbryvfbaibekimotup
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\o vfsthcepvoxrwqrdsjxjbryvfbaibekimotup
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\ovfsthcepvoxrwqrdsjxjbryvfbaibekimotup
Внутри - пусто
Последний раз редактировалось AlrxSan; 15.07.2009 в 11:56.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: