маскировка процессов на сервере

silverking · 07.06.2013, 13:38

Здравствуйте, уважаемые форумчане.

Проблема такая, сервер под управлением win 2003 r2 стал с некоторого времени перегружаться ночью в 0.13, каждый день. Проверил вебером, нашел трояны, удалил. Проблема не исчезла. Начал проверять avz и увидел в диспетчере задач AVZ скрытые процессы, которые даже в безопасном режиме присутствовали.

это лог AVZ
http://zalil.ru/34563710

Angel-iz-Ada · 07.06.2013, 13:40

Сделайте лог uVS

silverking · 07.06.2013, 14:03

http://rghost.ru/46573908

Vvvyg · 07.06.2013, 14:23

Не надо включать AVZPM, может и не то привидеться...

Angel-iz-Ada · 07.06.2013, 14:24

D:\GLOBUSRTA\GLOBUS.EXE
ваша программа?

Цитата:

(!) Отсутствует известный файл, рекомендуется восстановить файл: C:\WINDOWS\SYSTEM32\WINHTTP.DLL

Vvvyg · 07.06.2013, 14:27

Хотя, Gmer стоит прогнать.
Сделайте лог Gmer.

silverking · 07.06.2013, 14:30

да, это наша программа.

Привидится не привидится, но сервер четко в одно и тоже время ребутит, кстати когда проверял малваре она ругалась на вот такой IP 222.186.12.112, пробил китайский оказался.

Vvvyg · 07.06.2013, 14:31

Похоже, действительно руткиты, Gmer делайте.

Angel-iz-Ada · 07.06.2013, 14:32

в событиях не смотрели кто систему ребутит?

silverking · 07.06.2013, 14:56

Процесс winlogon.exe инициировал действие "Перезапустить" для компьютера SERVER от имени пользователя NT AUTHORITY\SYSTEM по причине: Причина на перечислена
Код причины: 0x840000ff
Тип выключения: Перезапустить

Angel-iz-Ada · 07.06.2013, 15:00

Посмотрите свойства этой задачи в планировщике -
C:\WINDOWS\TASKS\USER_FEED_SYNCHRONIZATION-{C039C093-8EA7-49D4-84B4-5BC5F428BDF5}.JOB
C:\WINDOWS\SYSTEM32\MSFEEDSSYNC.EXE

silverking · 07.06.2013, 15:52

под пользователем из бухгалтерии в ie стояли галочки об обновлении новостных лент. Все убрал, пропал файлик этот.

Angel-iz-Ada · 07.06.2013, 15:53

никаких других задач в планировщике нет?

---------- Добавлено в 14:53 ---------- Предыдущее сообщение было написано в 14:53 ----------

и сделайте лог Gmer как выше Vvvyg написал

silverking · 07.06.2013, 16:13

в логах посмотрел, только обновление флеш плеера и все. Были новостные ленты, но я их отключил.

Angel-iz-Ada · 07.06.2013, 16:53

лог Gmer делайте

07.06.2013, 13:38	#1 (ссылка)
silverking Новичок Регистрация: 07.06.2013 Сообщений: 28 Репутация: 0	маскировка процессов на сервере Здравствуйте, уважаемые форумчане. Проблема такая, сервер под управлением win 2003 r2 стал с некоторого времени перегружаться ночью в 0.13, каждый день. Проверил вебером, нашел трояны, удалил. Проблема не исчезла. Начал проверять avz и увидел в диспетчере задач AVZ скрытые процессы, которые даже в безопасном режиме присутствовали. это лог AVZ http://zalil.ru/34563710

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Вирус на сервере. Помогите.	sergeyms	Безопасность	6	11.06.2012 20:28
Кто на каком сервере Wow играет?	loneline	Игры	0	26.07.2011 18:37
Маскировка под процесс svchost.exe	neigrok	Windows XP	22	27.05.2011 21:46
На сервере вирусы.	mixa1ich	Безопасность	5	01.03.2011 21:36
Маскировка Windows 2000 под XP	Мартин	Windows XP	0	07.12.2009 21:30

07.06.2013, 13:40	#2 (ссылка)
Angel-iz-Ada Эксперт Регистрация: 06.11.2011 Сообщений: 8,232 Репутация: 864	Сделайте лог uVS

07.06.2013, 14:03	#3 (ссылка)
silverking Новичок Регистрация: 07.06.2013 Сообщений: 28 Репутация: 0	http://rghost.ru/46573908

07.06.2013, 14:23	#4 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	Не надо включать AVZPM, может и не то привидеться...

07.06.2013, 14:27	#6 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	Хотя, Gmer стоит прогнать. Сделайте лог Gmer.

07.06.2013, 14:30	#7 (ссылка)
silverking Новичок Регистрация: 07.06.2013 Сообщений: 28 Репутация: 0	да, это наша программа. Привидится не привидится, но сервер четко в одно и тоже время ребутит, кстати когда проверял малваре она ругалась на вот такой IP 222.186.12.112, пробил китайский оказался.

07.06.2013, 14:31	#8 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	Похоже, действительно руткиты, Gmer делайте.

07.06.2013, 14:32	#9 (ссылка)
Angel-iz-Ada Эксперт Регистрация: 06.11.2011 Сообщений: 8,232 Репутация: 864	в событиях не смотрели кто систему ребутит?

07.06.2013, 14:56	#10 (ссылка)
silverking Новичок Регистрация: 07.06.2013 Сообщений: 28 Репутация: 0	Процесс winlogon.exe инициировал действие "Перезапустить" для компьютера SERVER от имени пользователя NT AUTHORITY\SYSTEM по причине: Причина на перечислена Код причины: 0x840000ff Тип выключения: Перезапустить

07.06.2013, 15:00	#11 (ссылка)
Angel-iz-Ada Эксперт Регистрация: 06.11.2011 Сообщений: 8,232 Репутация: 864	Посмотрите свойства этой задачи в планировщике - C:\WINDOWS\TASKS\USER_FEED_SYNCHRONIZATION-{C039C093-8EA7-49D4-84B4-5BC5F428BDF5}.JOB C:\WINDOWS\SYSTEM32\MSFEEDSSYNC.EXE

07.06.2013, 15:52	#12 (ссылка)
silverking Новичок Регистрация: 07.06.2013 Сообщений: 28 Репутация: 0	под пользователем из бухгалтерии в ie стояли галочки об обновлении новостных лент. Все убрал, пропал файлик этот.

Ads

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

07.06.2013, 15:53	#13 (ссылка)
Angel-iz-Ada Эксперт Регистрация: 06.11.2011 Сообщений: 8,232 Репутация: 864	никаких других задач в планировщике нет? ---------- Добавлено в 14:53 ---------- Предыдущее сообщение было написано в 14:53 ---------- и сделайте лог Gmer как выше Vvvyg написал

07.06.2013, 16:13	#14 (ссылка)
silverking Новичок Регистрация: 07.06.2013 Сообщений: 28 Репутация: 0	в логах посмотрел, только обновление флеш плеера и все. Были новостные ленты, но я их отключил.

07.06.2013, 16:53	#15 (ссылка)
Angel-iz-Ada Эксперт Регистрация: 06.11.2011 Сообщений: 8,232 Репутация: 864	лог Gmer делайте