 |
|
|
10.06.2013, 13:25
|
#31 (ссылка) |
|
Новичок
Регистрация: 07.06.2013
Сообщений: 28
Репутация: 0
|
ну в AD их где то около 50, в принципе можно заморочиться и поменять.
да я заблокировал с пяток мне не понятных учетки в AD, которые я не заводил. ---------- Добавлено в 12:25 ---------- Предыдущее сообщение было написано в 11:58 ---------- Интересен смысл перезагрузки, если его использовали как "Дедик"? Если бы не это я бы и не догадался, что его ломанули. С перезагрузкой каждую ночь так ничего сделать нельзя? |
|
|
10.06.2013, 15:54
|
#33 (ссылка) |
|
Новичок
Регистрация: 07.06.2013
Сообщений: 28
Репутация: 0
|
2 канала, первый местный провайдер, провод с аплинком идет в сервер и второй канал через интернет-центр YOTA. В правилах KWR весь http трафик идет через YOTA. По местному работают только удаленно бухгалтера. Кстати периодически, но не всегда при перезагрузке, не поднимается служба KWR.
А если попробовать отключать сетевую карту с местным провом на ночь? Возможно сделать в заданиях подобное? |
|
|
|
10.06.2013, 17:58
|
#35 (ссылка) | |
|
Новичок
Регистрация: 07.06.2013
Сообщений: 28
Репутация: 0
|
Цитата:
Сделал выборку по отключениям и выяснил что началось это 06.05.2013 вот лог этого дня, может поможет http://rghost.ru/private/46651949/f7...fd6f3b79c21efb ---------- Добавлено в 16:58 ---------- Предыдущее сообщение было написано в 16:53 ---------- но все эти службы, что появились, я уже отключил вручную |
|
|
|
|
10.06.2013, 22:24
|
#37 (ссылка) |
|
Новичок
Регистрация: 07.06.2013
Сообщений: 28
Репутация: 0
|
http://rghost.ru/46659308
Да файрвол включен. А вот на счет брандмауэра, я уже не помню сам ли я отключал или нет... |
|
|
|
10.06.2013, 22:41
|
#38 (ссылка) |
|
Эксперт
Регистрация: 25.05.2011
Сообщений: 9,136
Репутация: 811
|
Включите и посмотрите, какие правила для входящих есть, надо ко всем сервисам ограничить доступ снаружи, если только это не необходимо. Долбят, например SQL Server:
Код:
=====Журнал событий "Приложения"===== Имя компьютера: SERVER Код события: 18456 Сообщение: Ошибка входа пользователя "sa". Reason: Password did not match that for the login provided. [CLIENT: 42.96.140.16] Номер записи: 868226 Источник: MSSQLSERVER Время записи: 20130606050357.000000+240 Тип события: Аудит - отказ Пользователь: Имя компьютера: SERVER Код события: 18456 Сообщение: Ошибка входа пользователя "sa". Reason: Password did not match that for the login provided. [CLIENT: 59.188.1.146] Номер записи: 868225 Источник: MSSQLSERVER Время записи: 20130606050356.000000+240 Тип события: Аудит - отказ Пользователь: Имя компьютера: SERVER Код события: 18456 Сообщение: Ошибка входа пользователя "sa". Reason: Password did not match that for the login provided. [CLIENT: 42.96.140.16] Номер записи: 868224 Источник: MSSQLSERVER Время записи: 20130606050356.000000+240 Тип события: Аудит - отказ Пользователь: Имя компьютера: SERVER Код события: 18456 Сообщение: Ошибка входа пользователя "sa". Reason: Password did not match that for the login provided. [CLIENT: 42.96.140.16] Номер записи: 868223 Источник: MSSQLSERVER Время записи: 20130606050355.000000+240 Тип события: Аудит - отказ |
|
|
|
29.07.2013, 13:07
|
#40 (ссылка) |
|
Новичок
Регистрация: 07.06.2013
Сообщений: 28
Репутация: 0
|
Еще раз здравствуйте, проблема так и осталась не решенной, в результате конфликта керио с касперским, я удалил касперского и вот что у меня повылазило. Не очень хотелось бы идти на крайние меры с переустановкой системы, т.к. это контроллер домена.
лог avz http://rghost.ru/47743981 лог rsit http://rghost.ru/47743994 лог uvs http://rghost.ru/47744006 |
|
|
| Ads | |
|
29.07.2013, 13:28
|
#43 (ссылка) | |
|
Новичок
Регистрация: 07.06.2013
Сообщений: 28
Репутация: 0
|
Цитата:
|
|
|
|
|
29.07.2013, 13:34
|
#44 (ссылка) | |
|
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
проверьте здесь
http://virustotal.com вот сюда стучится. https://www.nic.ru/whois/?query=98.126.8.162 Цитата:
|
|
|
|
|
29.07.2013, 13:36
|
#45 (ссылка) |
|
Эксперт
Регистрация: 06.11.2011
Сообщений: 8,232
Репутация: 864
|
выполните скрипт в uVS:
Код:
;uVS v3.80.13 [http://dsrt.dyndns.org] ;Target OS: NTv5.2 zoo %SystemRoot%\XXXXXXE335EEE9\SVCHSOT.EXE bl 914DF48A9595B06182300ED2FC8B6EC0 196608 addsgn A7679BF0AA028C124BD4C69159881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C7BE0C49F75C4C32EF4CAE88217DA3BE4AC965B2FC706AB7E 8 virus896789 zoo %SystemRoot%\FE8D84D7\SVCHSOT.EXE bl BD5C9A40363BCDF2A6B2D0371B7D880D 239104 addsgn A7679BF0AA020C6E4BD4C6BDC78A1261848AFCF689AA7BF1A0C3C5BC5055B5E8704194DE5BBD625CF7C1C79FE5026AB97D7EFC5116DA71C425525B2FC7068153 8 virus543543 bl EA0418C25DBCE2A16DF45B3CF4DA2EA8 150768 addsgn 71905392541F499AA780AEB19BBC3601AEC6D8E602AE3B746D2E3B43AF8FB34023DB0F3FFEBC9D594F7FB19F4616497139FBF8FB39FEA0A14153B40427557424 64 QIPbar zoo %Sys32%\134646\SVCHOST.EXE bl C62E29475A1CF3C5906A69E156D97711 196608 zoo %Sys32%\140751\SVCHOST.EXE bl E6FE9D86FCF0DAAB49A5C00FC0396688 196608 zoo %SystemRoot%\XXXXXX579E5A5B VVVVVVRR2UNW==\SVCHSOT.EXE chklst delvir delref HTTP://SEARCH.QIP.RU/SEARCH?FROM=FF&QUERY= deltmp delnfr czoo restart |
|
|
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы
|
||||
| Тема | Автор | Раздел | Ответов | Последнее сообщение |
| Вирус на сервере. Помогите. | sergeyms | Безопасность | 6 | 11.06.2012 20:28 |
| Кто на каком сервере Wow играет? | loneline | Игры | 0 | 26.07.2011 18:37 |
| Маскировка под процесс svchost.exe | neigrok | Windows XP | 22 | 27.05.2011 21:46 |
| На сервере вирусы. | mixa1ich | Безопасность | 5 | 01.03.2011 21:36 |
| Маскировка Windows 2000 под XP | Мартин | Windows XP | 0 | 07.12.2009 21:30 |
