Проверьте логи

MasterLin · 11.02.2010, 15:54

Антивирус не смог ни чего найти, а AVZ отыскал рут-кит вот логи:
http://exfile.ru/84268
http://exfile.ru/84269

01pump · 11.02.2010, 15:56

MasterLin,
Ничего ужасного в логах нет.

MasterLin · 11.02.2010, 16:48

А подозрение на рут-кит? или AVZ ошибся по отношению к этой проге?

01pump · 11.02.2010, 16:55

MasterLin,
Нет там ошибки. Это анализ поведения. В нем бывают записи подозрений на руткит у любой программы эмулятора.

MasterLin · 11.02.2010, 16:55

еще не могли бы проверить логи с сервера. переодически падает сеть, не могу найти причину, лечится только перезагруской сервака. уже все компы переличил, вот теперь с AVZ хочу пройтись по всем еще разок
логи:
http://exfile.ru/84285
http://exfile.ru/84286

01pump · 11.02.2010, 17:06

MasterLin,
В логе сервака есть запись
O23 - Service: DNS Serial Number Service - Unknown owner - C:\WINDOWS\system32\moviemk.exe (file missing)

Я сомневаюсь что Windows Movie Maker причастен к DNS

Есть черви, которые под этот файл маскируются.
Возможно так оно и было. У вас в логах антивируса нет записей об удалении этого файла? (в логе hijack он числится удаленным)

Давайте подумаем что с ней делать.

MasterLin · 11.02.2010, 17:12

Цитата:

Сообщение от 01pump

Я сомневаюсь что Windows Movie Maker причастен к DNS

Это уж точно

на сервере антивирус вообще ничего не находил, когда я его проверял.

01pump · 11.02.2010, 17:19

MasterLin,

В на серваке в Службах найдите эту DNS Serial Number Service и посмотрите какой у неё режим запуска и текущий статус.

MasterLin · 11.02.2010, 17:42

В статусе пусто, а режим запуска - Авто

01pump · 11.02.2010, 17:48

MasterLin,
Переводим в "Остановлено"

ЗЫ А проблему видимо можно решить обновлением системы

Windows 2003 SP1 на SP2

MasterLin · 11.02.2010, 17:53

Вы имеете ввиду проблему с падением сети? так все работало нормально до недавнего времени, а тут на тебе косяки пошли

01pump · 11.02.2010, 17:56

MasterLin,

А с чего началось то?

Может и не сервак виноват?

MasterLin · 11.02.2010, 18:05

Может и не он конечно, но в один прекрасный день перестало открываться Рабочая группа на всех компах - пишет что у вас нет прав для доступа к этой группе. Начал личить все компы поочереди и на всех оказался один и тот же вирус - msr и че-то там дальше точно не помню. Ну в опщем если с заражонного компа заходиш в сетевое окружение, то после выхода сеть падает

вот ни как я этого гада не выловлю, прячется где-то и сеть все равно переодически проподает

01pump · 11.02.2010, 18:08

MasterLin,

Эти http://pchelpforum.ru/f26/t21563/#post171414 логи были с машины зараженной этим червем?

Еще логи сделайте на любой машине где точно был червь

MasterLin · 11.02.2010, 18:11

Да на этой мошине он тоже был. Хорошо зделаю, но теперь только завтра - конец рабочего дня, у нас офис закрывают

11.02.2010, 15:54	#1
MasterLin Новичок Регистрация: 08.01.2010 Сообщений: 49 Репутация: 0	Проверьте логи Антивирус не смог ни чего найти, а AVZ отыскал рут-кит вот логи: http://exfile.ru/84268 http://exfile.ru/84269

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Проверьте логи	Слепой Пью	Безопасность	10	12.01.2011 23:33
проверьте пож-та логи	tajson	Безопасность	4	11.01.2011 20:35
Проверьте логи...	DarkKiber	Безопасность	30	04.01.2011 13:17
проверьте логи	lega	Безопасность	1	31.12.2010 15:56
Проверьте логи	DarkKiber	Безопасность	1	06.12.2010 20:24
Проверьте мои логи	DarkKiber	Безопасность	12	17.11.2010 21:45
Проверьте логи AVZ	Евгений Петрович	Безопасность	3	05.11.2010 06:00
проверьте логи	владислав69	Безопасность	1	23.09.2010 22:30
Проверьте логи	Шелкопряд	Безопасность	0	09.08.2010 12:04
Проверьте логи	бург	Безопасность	9	31.03.2010 22:18
Проверьте логи AVZ	marishinka	Безопасность	1	08.01.2010 16:19
Проверьте логи!!!	Vike	Безопасность	1	06.01.2010 09:47

11.02.2010, 15:56	#2
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	MasterLin, Ничего ужасного в логах нет.

11.02.2010, 16:48	#3
MasterLin Новичок Регистрация: 08.01.2010 Сообщений: 49 Репутация: 0	А подозрение на рут-кит? или AVZ ошибся по отношению к этой проге?

11.02.2010, 16:55	#4
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	MasterLin, Нет там ошибки. Это анализ поведения. В нем бывают записи подозрений на руткит у любой программы эмулятора.

11.02.2010, 17:06	#6
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	MasterLin, В логе сервака есть запись O23 - Service: DNS Serial Number Service - Unknown owner - C:\WINDOWS\system32\moviemk.exe (file missing) Я сомневаюсь что Windows Movie Maker причастен к DNS Есть черви, которые под этот файл маскируются. Возможно так оно и было. У вас в логах антивируса нет записей об удалении этого файла? (в логе hijack он числится удаленным) Давайте подумаем что с ней делать.

11.02.2010, 17:19	#8
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	MasterLin, В на серваке в Службах найдите эту DNS Serial Number Service и посмотрите какой у неё режим запуска и текущий статус.

11.02.2010, 17:42	#9
MasterLin Новичок Регистрация: 08.01.2010 Сообщений: 49 Репутация: 0	В статусе пусто, а режим запуска - Авто

11.02.2010, 17:48	#10
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	MasterLin, Переводим в "Остановлено" ЗЫ А проблему видимо можно решить обновлением системы Windows 2003 SP1 на SP2

11.02.2010, 17:53	#11
MasterLin Новичок Регистрация: 08.01.2010 Сообщений: 49 Репутация: 0	Вы имеете ввиду проблему с падением сети? так все работало нормально до недавнего времени, а тут на тебе косяки пошли

11.02.2010, 17:56	#12
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	MasterLin, А с чего началось то? Может и не сервак виноват?

11.02.2010, 18:05	#13
MasterLin Новичок Регистрация: 08.01.2010 Сообщений: 49 Репутация: 0	Может и не он конечно, но в один прекрасный день перестало открываться Рабочая группа на всех компах - пишет что у вас нет прав для доступа к этой группе. Начал личить все компы поочереди и на всех оказался один и тот же вирус - msr и че-то там дальше точно не помню. Ну в опщем если с заражонного компа заходиш в сетевое окружение, то после выхода сеть падает вот ни как я этого гада не выловлю, прячется где-то и сеть все равно переодически проподает

Ads

11.02.2010, 18:08	#14
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	MasterLin, Эти http://pchelpforum.ru/f26/t21563/#post171414 логи были с машины зараженной этим червем? Еще логи сделайте на любой машине где точно был червь

11.02.2010, 18:11	#15
MasterLin Новичок Регистрация: 08.01.2010 Сообщений: 49 Репутация: 0	Да на этой мошине он тоже был. Хорошо зделаю, но теперь только завтра - конец рабочего дня, у нас офис закрывают

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)