-
Junior Member
- Вес репутации
- 53
Непонятное поведение Windows Server 2003
Серьезные подозрения на вирус. Все началось с того, что сервер пропал из сети. При попытке зайти в свойства сетевого адаптера, подвисло все окно "Сетевые подключения", при этом ОС работает нормально. Дальше больше, при попытке остановки служб, так же подвисает окно со службами, при попытке установки программ - то же самое. Программы запускаются выборочно, AVZ - запустился, а вот Cure It - нет. Nod с актуальными базами ничего не нашел, AVZ тоже, но по всем признакам какая то зараза сидит.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\documents and settings\cto\local settings\temporary internet files\content.ie5\b4m95hn0\469c7vgb[1].exe');
QuarantineFile('C:\WINDOWS\TEMP\MBX@728@11E33A0.###','');
QuarantineFile('c:\documents and settings\cto\local settings\temporary internet files\content.ie5\b4m95hn0\469c7vgb[1].exe','');
DeleteFile('c:\documents and settings\cto\local settings\temporary internet files\content.ie5\b4m95hn0\469c7vgb[1].exe');
DeleteFileMask('c:\documents and settings\cto\local settings\temporary internet files\content.ie5','*.*',true);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам
Выполните: http://support.kaspersky.ru/kis2009/error?qid=208636215
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 53
Выполнил скрипт, сходил по ссылке, поставил 3 заплатки, прошелся утилитой kk.exe. После этого сделал новые логи. Видимых изменений - нет.
-
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
Venus Doom
Сделал.
-
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
Код:
gmer.exe -del service yltfl
gmer.exe -del file "C:\WINDOWS\system32\czukmdv.dll"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\yltfl"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\yltfl"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\yltfl"
gmer.exe -reboot
И запустите cleanup.bat.
Компьютер перезагрузится
Сделайте новый лог gmer.
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
Venus Doom
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
Сделайте новый лог gmer.
Батник сделал и выполнил.
Лог записал.
Изменений нет.
-
Сделайте новый комплект логов
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
Venus Doom
Сделайте новый комплект логов
Эти нужны логи?
-
Junior Member
- Вес репутации
- 53
Вы не забыли про меня? Проблема все еще актуальна.
-
Sp2 для Win Server 2003 установите
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
Venus Doom
Sp2 для Win Server 2003 установите
Установил. Не помогло. Прогнал систему быстрой проверкой MBAM - ничего не нашел.
-
Сообщение от
MegaTech
Установил. Не помогло. Прогнал систему быстрой проверкой MBAM - ничего не нашел.
Не нужно на сервере запускать кучу всего по принципу "не понятно что,а вдруг поможет" - не поможет, точнее поможет - добить сервер... Давайте разбираться по порядку:
1. Что происходило перед появлением проблемы (что-то устанавливалось, удалялось, переустанавливалось, обновлялось, были перезагрузки и т.п.) ? - это важно
2. В логах видны "хвосты" от NOD, но с пометкой "файл не найден". NOD утановлен или нет ? Если нет, то удален он был некорректно и это могло вызвать проблемы. на этот случай есть утилита ESET Uninstaller - http://kb.eset.com/esetkb/index?page...nt&id=SOLN2289. Я бы в любом случае советовал прогнать этот унинсталлер для профилактики
3. что показывает диспетчер устройств, есть ли там среди оборудования сетевая карта, не показывает ли по ней диспетчер проблем ?
4. что видно в журналах сервера ? Для начала стоит посмотреть журналы "Система" и "Приложения", любые аварийные события за ближайшее время прольют свет на проблему
5. Что расскажет ipconfig /all > ip_log.txt ? (лог следует приатачить сюда)
6. Еще вопрос - есть ли в сети домен ? Active Directory ?
7. Не производились ли перед появлением глюка манипуляции со службами (отключени, включение - как вручную, так и разными твикерами). Если производились - то мы проведем процедуру сравнения состояни служб с эталонным сервером, может что-то важное отключено или не может загрузиться
Последний раз редактировалось Зайцев Олег; 11.08.2010 в 16:50.
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
Зайцев Олег
1. Что происходило перед появлением проблемы (что-то устанавливалось, удалялось, переустанавливалось, обновлялось, были перезагрузки и т.п.) ? - это важно
Ничего не ставилось и не обновлялось. Как мне сообщили, выключали свет надолго, упс комп вырубил, после включения он перестал быть виден в сети. С этого момента я им и занялся.
2. В логах видны "хвосты" от NOD, но с пометкой "файл не найден". NOD утановлен или нет ? Если нет, то удален он был некорректно и это могло вызвать проблемы. на этот случай есть утилита ESET Uninstaller -
http://kb.eset.com/esetkb/index?page...nt&id=SOLN2289. Я бы в любом случае советовал прогнать этот унинсталлер для профилактики
Нод стоял, но на момент возникновения проблем, у него почему то была отключена "защита файлов в реальном времени", были мысли что возможно он блокирует сетевой трафик. Удалил его ручками из безопасного режима.
ESET Uninstaller'ом удалил то что он нашел.
3. что показывает диспетчер устройств, есть ли там среди оборудования сетевая карта, не показывает ли по ней диспетчер проблем ?
Сетевая карта есть. Диспетчер проблем не показывает. Пробовал отключать\включать, переустанавливать драйвера. Я думаю, проблема не в сетевой карте, это лишь один из симптомов.
4. что видно в журналах сервера ? Для начала стоит посмотреть журналы "Система" и "Приложения", любые аварийные события за ближайшее время прольют свет на проблему
Сейчас проанализирую.
5. Что расскажет ipconfig /all > ip_log.txt ? (лог следует приатачить сюда)
Ничего особенного не рассказал. Сетевуху видит, настройки тоже. Лог приложил.
6. Еще вопрос - есть ли в сети домен ? Active Directory ?
Нет.
7. Не производились ли перед появлением глюка манипуляции со службами (отключени, включение - как вручную, так и разными твикерами). Если производились - то мы проведем процедуру сравнения состояни служб с эталонным сервером, может что-то важное отключено или не может загрузиться
Нет не производились. Сейчас любые попытки манипулировать со службами, заканчиваются зависанием этого окна.
-
Junior Member
- Вес репутации
- 53
Сидел изучал запущенные процессы. Привлек внимание процесс msmdsrv.exe, который грузил процессор примерно на 50%. После завершения его, работа системы нормализовалась! Ушли зависания и сервер стал виден в сети.
-
Сообщение от
MegaTech
Сидел изучал запущенные процессы. Привлек внимание процесс msmdsrv.exe, который грузил процессор примерно на 50%. После завершения его, работа системы нормализовалась! Ушли зависания и сервер стал виден в сети.
Я так и предополагал ... эта гипотеза у меня была на очереди, но требовалось подтверждение. Вот оно:
Как мне сообщили, выключали свет надолго, упс комп вырубил, после включения он перестал быть виден в сети. С этого момента я им и занялся.
Другим кандидатом был RAID контроллер - если он устроит себе проверку и пересоздание массива после краха системы, то это может занять до суток и система будет еле шевелиться.
Процесс вы зря прибили. Дело в том, что после внезапного "падения" сервера в базе SQL Server что-то портится, и он начинает некое самовосстановление + возможно перестроение выборок Analysis Service (данный процесс от него). Пока оно идет, в системе (если это небольшой сервер, на не 64 процессорный с мега-стораджем) наблюдаются тормоза вплоть до полного ступора (если софтверный RAID5 - то ступор с грантией). Если в диспетчере задач вывести столбцы, показывающие дисковый обмен - будет видно, что он и другие процессы MS SQL вовсю шуруют диском, идет поток операций чтения и записи, и длиться это может часами.
Убивать процесс некорретно - если есть подозрение, то лучше зайти в SQL Server Management Studio и корректно погасить базу целиком, если все пропадет - то виновник найден и нужно разбираться, что творится в недрах MS SQL ...
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
Зайцев Олег
Если в диспетчере задач вывести столбцы, показывающие дисковый обмен - будет видно, что он и другие процессы MS SQL вовсю шуруют диском, идет поток операций чтения и записи, и длиться это может часами.
Убивать процесс некорретно - если есть подозрение, то лучше зайти в SQL Server Management Studio и корректно погасить базу целиком, если все пропадет - то виновник найден и нужно разбираться, что творится в недрах MS SQL ...
Спасибо, за подробное разжевывание проблемы. Займусь изучением данного вопроса.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-