Технический форум
Вернуться   Технический форум > Компьютерный форум > Софт и программы


Ответ
 
Опции темы Опции просмотра
Старый 19.03.2008, 11:48   #1 (permalink)
NOX-spb
Новичок
 
Регистрация: 19.03.2008
Сообщений: 4
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
По умолчанию Упали три сервера

ребята выручайте накрылось 3 сервака одновременно - 13 марта в полноч потерлись все логи а 15 с 19 оо начались ребуты - уже третий день не могу вылечить - почти живу на работе
ОС 2000 2003 сервер
логи снятые hijeck

11111111111111111111111
Logfile of HijackThis v1.99.1
Scan saved at 9:25:47, on 19.03.2008
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 SP2 (6.00.3790.3959)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\CA\SharedComponents\Alert\ALERT.EXE
C:\PROGRA~1\APC\POWERC~1\agent\pbeagent.exe
C:\PROGRA~1\APC\POWERC~1\server\PBESER~1.EXE
C:\Program Files\CA\BrightStor ARCserve Backup\DBENG.exe
C:\Program Files\CA\SharedComponents\BrightStor\CADS\casdscsv c.exe
C:\Program Files\CA\BrightStor ARCserve Backup\jobeng.exe
C:\Program Files\CA\BrightStor ARCserve Backup\msgeng.exe
C:\Program Files\CA\BrightStor ARCserve Backup\caserved.exe
C:\Program Files\CA\BrightStor ARCserve Backup\casmrtbk.exe
C:\Program Files\CA\BrightStor ARCserve Backup\tapeeng.exe
C:\Program Files\CA\BrightStor ARCserve Backup\RDS.EXE
C:\Program Files\CA\BrightStor ARCserve Backup\cadiscovd.exe
C:\Program Files\CA\BrightStor ARCserve Backup\Catirpc.exe
C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe
C:\WINDOWS\system32\certsrv.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\Program Files\CA\BrightStor ARCserve Backup\caloggerd.exe
C:\WINDOWS\System32\dns.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\CA\iGateway\igateway.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\CA\BrightStor ARCserve Backup\caauthd.exe
C:\WINDOWS\System32\ismserv.exe
C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Program Files\CA\BrightStor ARCserve Backup\LQServer.exe
C:\WINDOWS\system32\ntfrs.exe
C:\Program Files\CA\BrightStor Backup Agent for Open Files\Ofant.exe
C:\WINDOWS\system32\lserver.exe
C:\WINDOWS\system32\tftpd.exe
C:\WINDOWS\System32\wins.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\CA\BrightStor ARCserve Backup\asalert.exe
C:\Program Files\CA\BrightStor ARCserve Backup\LDBServer.exe
C:\Program Files\CA\BrightStor ARCserve Backup\Mediasvr.exe
c:\windows\system32\inetsrv\w3wp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\oobechk.exe
C:\WINDOWS\system32\mshta.exe
C:\WINDOWS\System32\svchost.exe
G:\Exchange\serverium\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Закачать все при помощи FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Закачать при помощи FlashGet - C:\Program Files\FlashGet\jc_link.htm
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/russian...an_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1187193395734
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = prosvnw.spb.ru
O17 - HKLM\Software\..\Telephony: DomainName = prosvnw.spb.ru
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA966192-2FDD-4CCC-BB47-CF967BD72405}: NameServer = 127.0.0.1,192.168.1.254
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = prosvnw.spb.ru
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = prosvnw.spb.ru
O20 - Winlogon Notify: dimsntfy - C:\WINDOWS\SYSTEM32\dimsntfy.dll
O23 - Service: ADInsightSvc - Unknown owner - C:\WINDOWS\System32\ADInsightSvc.exe
O23 - Service: Alert Notification Server - Computer Associates International, Inc. - C:\Program Files\CA\SharedComponents\Alert\ALERT.EXE
O23 - Service: APC PBE Agent (APCPBEAgent) - APC - C:\PROGRA~1\APC\POWERC~1\agent\pbeagent.exe
O23 - Service: APC PBE Server (APCPBEServer) - APC - C:\PROGRA~1\APC\POWERC~1\server\PBESER~1.EXE
O23 - Service: CA BrightStor Database Engine (CASDBEngine) - Computer Associates - C:\Program Files\CA\BrightStor ARCserve Backup\DBENG.exe
O23 - Service: CA BrightStor Discovery Service (CASDiscoverySvc) - Computer Associates - C:\Program Files\CA\SharedComponents\BrightStor\CADS\casdscsv c.exe
O23 - Service: CA BrightStor Job Engine (CASJobEngine) - Computer Associates - C:\Program Files\CA\BrightStor ARCserve Backup\jobeng.exe
O23 - Service: CA BrightStor Message Engine (CASMsgEngine) - Computer Associates - C:\Program Files\CA\BrightStor ARCserve Backup\msgeng.exe
O23 - Service: CA BrightStor Service Controller (CASSvcControlSvr) - Computer Associates - C:\Program Files\CA\BrightStor ARCserve Backup\caserved.exe
O23 - Service: CA BrightStor Tape Engine (CASTapeEngine) - Computer Associates - C:\Program Files\CA\BrightStor ARCserve Backup\tapeeng.exe
O23 - Service: CA BrightStor Domain Server (CASUnivDomainSvr) - Computer Associates - C:\Program Files\CA\BrightStor ARCserve Backup\cadiscovd.exe
O23 - Service: CA Remote Procedure Call Server (CATIRPC) - Computer Associates - C:\Program Files\CA\BrightStor ARCserve Backup\Catirpc.exe
O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates International Inc. - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA License Server (CA_LIC_SRVR) - Computer Associates International Inc. - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: iTechnology iGateway 3.0 (iGateway) - Computer Associates - C:\Program Files\CA\iGateway\igateway.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: CA Backup Agent for Open Files (OpenFileAgent) - Computer Associates - C:\Program Files\CA\BrightStor Backup Agent for Open Files\Ofant.exe


2222222222222222222222222222222222222222222222222

Logfile of HijackThis v1.99.1
Scan saved at 9:28:04, on 19.03.2008
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:\Documents and Settings\administrator\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\APC\POWERC~1\agent\pbeagent.exe
C:\Program Files\Citrix\Licensing\LS\lmgrd.exe
C:\Program Files\Citrix\Licensing\LicWMI\Citrix_GTLicensingPr ov.exe
C:\Program Files\Citrix\Licensing\LMC\Tomcat\bin\tomcat.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nhsrvice.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\Citrix\Licensing\LS\CITRIX.exe
C:\Program Files\Citrix\Installer\AgentSVC.exe
C:\Program Files\Citrix\Installer\saginst.exe
C:\Program Files\Citrix\system32\cdmsvc.exe
C:\Program Files\Citrix\system32\encsvc.exe
C:\Program Files\Citrix\System32\mfcom.exe
C:\Program Files\Citrix\System32\Citrix\Ima\ImaSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Citrix\ICA Client\ssonsvr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Citrix\System32\icabar.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPBPRO. EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPBOID. EXE
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\winlogon.exe
C:\Program Files\Citrix\ICA Client\ssonsvr.exe
C:\Program Files\Citrix\System32\wfshell.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\1Cv77\BIN\1cv7s.exe
\Calcium\exchange\serverium\HijackThis\HijackThis. exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdoclc.dll/hardAdmin.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O4 - HKLM\..\Run: [IcaBar] C:\Program Files\Citrix\System32\icabar.exe /adminonly
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O10 - Broken Internet access because of LSP provider 'c:\documents and settings\administrator\windows\system32\mswsock.dl l' missing
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1122288941205
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = prosvnw.spb.ru
O17 - HKLM\Software\..\Telephony: DomainName = prosvnw.spb.ru
O17 - HKLM\System\CCS\Services\Tcpip\..\{66D9AC65-3E72-478B-B94D-433A1C3C39EE}: NameServer = 192.168.1.80,192.168.1.254
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = prosvnw.spb.ru
O17 - HKLM\System\CS1\Services\Tcpip\..\{66D9AC65-3E72-478B-B94D-433A1C3C39EE}: NameServer = 192.168.1.80,192.168.1.254
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = prosvnw.spb.ru
O17 - HKLM\System\CS2\Services\Tcpip\..\{66D9AC65-3E72-478B-B94D-433A1C3C39EE}: NameServer = 192.168.1.80,192.168.1.254
O20 - AppInit_DLLs: RMProcessLink.dll,mfaphook.dll
O20 - Winlogon Notify: dimsntfy - dimsntfy.dll (file missing)
O20 - Winlogon Notify: MetaFrame - ctxnotif.dll (file missing)
O23 - Service: ADF Installer Service (ADF Installer) - Citrix Systems, Inc. - C:\Program Files\Citrix\Installer\AgentSVC.exe
O23 - Service: Служба проверки совместимости приложений (AeLookupSvc) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Служба шлюза уровня приложения (ALG) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\System32\alg.exe (file missing)
O23 - Service: APC PBE Agent (APCPBEAgent) - APC - C:\PROGRA~1\APC\POWERC~1\agent\pbeagent.exe
O23 - Service: Управление приложениями (AppMgmt) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Служба состояний ASP.NET (aspnet_state) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\Microsoft.NET\Frame work\v1.1.4322\aspnet_state.exe (file missing)
O23 - Service: Windows Audio (AudioSrv) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: BITS - фоновая интеллектуальная служба передачи (BITS) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Обозреватель компьютеров (Browser) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Diagnostic Facility COM Server (CdfSvc) - Citrix Systems, Inc. - C:\Program Files\Common Files\Citrix\System32\CdfSvc.exe
O23 - Service: Client Network (CdmService) - Citrix Systems, Inc. - C:\Program Files\Citrix\system32\cdmsvc.exe
O23 - Service: CitrixLicensing - Macrovision Corporation - C:\Program Files\Citrix\Licensing\LS\lmgrd.exe
O23 - Service: Citrix WMI Service (CitrixWMIService) - Citrix Systems, Inc. - C:\Program Files\Citrix\system32\citrix\WMI\ctxwmisvc.exe
O23 - Service: Citrix XTE Server (CitrixXTEServer) - Unknown owner - C:\Program Files\Citrix\XTE\bin\XTE.exe" -k runservice -n "CitrixXTEServer" -f "conf/httpd.conf (file missing)
O23 - Service: Citrix Licensing WMI (Citrix_GTLicensingProv) - Unknown owner - C:\Program Files\Citrix\Licensing\LicWMI\Citrix_GTLicensingPr ov.exe
O23 - Service: Службы криптографии (CryptSvc) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: License Management Console for Citrix Licensing (CTXLMC) - Alexandria Software Consulting - C:\Program Files\Citrix\Licensing\LMC\Tomcat\bin\tomcat.exe
O23 - Service: Запуск серверных процессов DCOM (DcomLaunch) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Распределенная файловая система DFS (Dfs) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\system32\Dfssvc.exe (file missing)
O23 - Service: DHCP-клиент (Dhcp) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Служба администрирования диспетчера логических дисков (dmadmin) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\System32\dmadmin.ex e (file missing)
O23 - Service: Диспетчер логических дисков (dmserver) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: DNS-клиент (Dnscache) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Encryption Service - Citrix Systems, Inc. - C:\Program Files\Citrix\system32\encsvc.exe
O23 - Service: Служба регистрации ошибок (ERSvc) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Журнал событий (Eventlog) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\system32\services.e xe (file missing)
O23 - Service: HASP Loader - Aladdin Knowledge Systems Ltd. - C:\WINDOWS\system32\nhsrvice.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPBPRO. EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPBOID. EXE
O23 - Service: Independent Management Architecture (IMAService) - Citrix Systems, Inc. - C:\Program Files\Citrix\System32\Citrix\Ima\ImaSrv.exe
O23 - Service: Сервер (lanmanserver) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Рабочая станция (lanmanworkstation) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Модуль поддержки NetBIOS через TCP/IP (LmHosts) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: MetaFrame COM Server (MFCom) - Citrix Systems, Inc. - C:\Program Files\Citrix\System32\mfcom.exe
O23 - Service: Сетевой вход в систему (Netlogon) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Сетевые подключения (Netman) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Служба сетевого расположения (NLA) (Nla) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Репликация файлов (NtFrs) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\system32\ntfrs.exe (file missing)
O23 - Service: Поставщик поддержки безопасности NT LM (NtLmSsp) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Съемные ЗУ (NtmsSvc) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\system32\services.e xe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm1 2.exe
O23 - Service: Службы IPSEC (PolicyAgent) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Защищенное хранилище (ProtectedStorage) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Диспетчер автоматических подключений удаленного доступа (RasAuto) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Диспетчер подключений удаленного доступа (RasMan) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Маршрутизация и удаленный доступ (RemoteAccess) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Удаленный реестр (RemoteRegistry) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Resource Manager Mail (ResourceManagerMail) - Citrix Systems, Inc. - C:\Program Files\Citrix\System32\Citrix\IMA\MailService.exe
O23 - Service: Локатор удаленного вызова процедур (RPC) (RpcLocator) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\system32\locator.ex e (file missing)
O23 - Service: Удаленный вызов процедур (RPC) (RpcSs) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Поставщик результирующей политики (RSoP) (RSoPProv) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\system32\RSoPProv.e xe (file missing)
O23 - Service: Модуль поддержки специальной консоли администрирования (sacsvr) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Диспетчер учетных записей безопасности (SamSs) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Смарт-карты (SCardSvr) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\System32\SCardSvr.e xe (file missing)
O23 - Service: Планировщик заданий (Schedule) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Вторичный вход в систему (seclogon) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Уведомление о системных событиях (SENS) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Определение оборудования оболочки (ShellHWDetection) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Диспетчер очереди печати (Spooler) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\system32\spoolsv.ex e (file missing)
O23 - Service: Microsoft Software Shadow Copy Provider (swprv) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\system32\smlogsvc.e xe (file missing)
O23 - Service: Телефония (TapiSrv) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Службы терминалов (TermService) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Клиент отслеживания изменившихся связей (TrkWks) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Диспетчер отгрузки (uploadmgr) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Служба виртуальных дисков (vds) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\System32\vds.exe (file missing)
O23 - Service: Теневое копирование тома (VSS) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\System32\vssvc.exe (file missing)
O23 - Service: Служба времени Windows (W32Time) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Служба веб-публикации (W3SVC) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Служба авто-обнаружения веб-прокси WinHTTP (WinHttpAutoProxySvc) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Инструментарий управления Windows (winmgmt) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Служба серийных номеров переносных устройств мультимедиа (WmdmPmSN) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Расширения драйверов WMI (Windows Management Instrumentation) (Wmi) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Автоматическое обновление (wuauserv) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Беспроводная настройка (WZCSVC) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Служба обеспечения сети (xmlprov) - Unknown owner - C:\Documents and Settings\administrator\WINDOWS\System32\svchost.ex e (file missing)

33333333333333333333333333333333333333333333333333 333333333333333

Logfile of HijackThis v1.99.1
Scan saved at 9:30:02, on 19.03.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\termsrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\APC\POWERC~1\agent\pbeagent.exe
C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe
C:\Program Files\CA\SharedComponents\BrightStor\DBAcommon\DBA SVR.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\llssrv.exe
C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\MSSQL7\binn\sqlservr.exe
C:\Program Files\CA\BrightStor ARCserve Backup Agent for Microsoft SQL Server\dbasqlr.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Dfssvc.exe
C:\MSSQL7\binn\sqlagent.exe
C:\WINNT\System32\SCardSvr.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\Atiptaxx.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINNT\system32\internat.exe
C:\MSSQL7\Binn\sqlmangr.exe
C:\Program Files\Java\jre1.5.0_10\bin\jucheck.exe
C:\WINNT\system32\svchost.exe
\Calcium\Exchange\serverium\HijackThis\HijackThis. exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [Soltek] C:\WINNT\system32\autorun.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Service Manager.lnk = C:\MSSQL7\Binn\sqlmangr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0843A48A-ADF3-4CF4-B66C-EFDE26E35926} (CWCLogoff.logoff) - http://192.168.1.70:81/citrix/webcon.../CWClogoff.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/russian...an_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1123674810343
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = prosvnw.spb.ru
O17 - HKLM\System\CCS\Services\Tcpip\..\{071693ED-1353-490B-84F9-DAC90964459C}: NameServer = 192.168.1.80,192.168.1.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{89D9DB3B-E473-4894-A54F-16DFE084A1E6}: NameServer = 192.168.1.80
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = prosvnw.spb.ru
O17 - HKLM\System\CS1\Services\Tcpip\..\{071693ED-1353-490B-84F9-DAC90964459C}: NameServer = 192.168.1.80,192.168.1.254
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = prosvnw.spb.ru
O17 - HKLM\System\CS2\Services\Tcpip\..\{071693ED-1353-490B-84F9-DAC90964459C}: NameServer = 192.168.1.80,192.168.1.254
O20 - AppInit_DLLs: ,mfaphook.dll
O23 - Service: Alerter - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: APC PBE Agent (APCPBEAgent) - APC - C:\PROGRA~1\APC\POWERC~1\agent\pbeagent.exe
O23 - Service: Application Management (AppMgmt) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Computer Browser (Browser) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates International Inc. - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA License Server (CA_LIC_SRVR) - Computer Associates International Inc. - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: CA BrightStor Backup Agent RPC Server (DbaRpcService) - Computer Associates - C:\Program Files\CA\SharedComponents\BrightStor\DBAcommon\DBA SVR.exe
O23 - Service: DHCP Client (Dhcp) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Logical Disk Manager (dmserver) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: DNS Client (Dnscache) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Event Log (Eventlog) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Fax Service (Fax) - Корпорация Майкрософт - C:\WINNT\system32\faxsvc.exe
O23 - Service: Server (lanmanserver) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Workstation (lanmanworkstation) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: TCP/IP NetBIOS Helper Service (LmHosts) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Messenger - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINNT\system32\mnmsrvc.exe
O23 - Service: Network DDE (NetDDE) - Корпорация Майкрософт - C:\WINNT\system32\netdde.exe
O23 - Service: Network DDE DSDM (NetDDEdsdm) - Корпорация Майкрософт - C:\WINNT\system32\netdde.exe
O23 - Service: Net Logon (Netlogon) - Корпорация Майкрософт - C:\WINNT\system32\lsass.exe
O23 - Service: File Replication (NtFrs) - Корпорация Майкрософт - C:\WINNT\system32\ntfrs.exe
O23 - Service: NT LM Security Support Provider (NtLmSsp) - Корпорация Майкрософт - C:\WINNT\system32\lsass.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Pml Driver HPZ12 - Unknown owner - C:\WINNT\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12. exe (file missing)
O23 - Service: IPSEC Policy Agent (PolicyAgent) - Корпорация Майкрософт - C:\WINNT\system32\lsass.exe
O23 - Service: Protected Storage (ProtectedStorage) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: CA BrightStor Backup Agent Remote Service (RemoteDbagent) - Computer Associates - C:\Program Files\CA\BrightStor ARCserve Backup Agent for Microsoft SQL Server\dbasqlr.exe
O23 - Service: Security Accounts Manager (SamSs) - Корпорация Майкрософт - C:\WINNT\system32\lsass.exe
O23 - Service: Smart Card Helper (SCardDrv) - Корпорация Майкрософт - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Smart Card (SCardSvr) - Корпорация Майкрософт - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Task Scheduler (Schedule) - Корпорация Майкрософт - C:\WINNT\system32\MSTask.exe
O23 - Service: RunAs Service (seclogon) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Performance Logs and Alerts (SysmonLog) - Корпорация Майкрософт - C:\WINNT\system32\smlogsvc.exe
O23 - Service: Terminal Services (TermService) - Корпорация Майкрософт - C:\WINNT\System32\termsrv.exe
O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINNT\system32\tlntsvr.exe
O23 - Service: Distributed Link Tracking Server (TrkSvr) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Distributed Link Tracking Client (TrkWks) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Windows Time (W32Time) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: Windows Management Instrumentation (WinMgmt) - Корпорация Майкрософт - C:\WINNT\System32\WBEM\WinMgmt.exe
O23 - Service: Windows Management Instrumentation Driver Extensions (Wmi) - Корпорация Майкрософт - C:\WINNT\system32\Services.exe

ЛОГИ AVZ!!!!!
11111111111111111111111111111111111111111111111111 1
Протокол антивирусной утилиты AVZ версии 4.29
Сканирование запущено в 19.03.2008 10:10:12
Загружена база: сигнатуры - 154062, нейропрофили - 2, микропрограммы лечения - 55, база от 18.03.2008 09:53
Загружены микропрограммы эвристики: 370
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 70246
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.2.3790, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=0AEF20)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 80800000
SDT = 808AEF20
KiST = 8083E5C8 (296)
Функция NtCreateSymbolicLinkObject (36) перехвачена (808FEEEE->F77880DC), перехватчик C:\WINDOWS\system32\DRIVERS\vdiskbus.sys, драйвер опознан как безопасный
Проверено функций: 296, перехвачено: 1, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
Количество найденных процессов: 61
Количество загруженных модулей: 425
Проверка памяти завершена
3. Сканирование дисков
C:\Program Files\CA\BrightStor ARCserve Backup\jobwizardRES.dll >>> подозрение на Worm.Win32.Downloader.bq ( 00508117 00000000 00000000 00000000 77824)
C:\WINDOWS\$NtServicePackUninstall$\fxsclnt.msi/{MS-OLE}/\67 >>> подозрение на AdvWare.Win32.Vapsup.vq ( 005412A4 08CD5FC5 001C13F0 001FD6D9 151552)
C:\WINDOWS\ServicePackFiles\i386\fxsclnt.msi/{MS-OLE}/\67 >>> подозрение на AdvWare.Win32.Vapsup.vq ( 005412A4 08CD5FC5 001C13F0 001FD6D9 151552)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
Проверка завершена
9. Мастер поиска и устранения проблем
>> [?1626?]
>> [?1627?]
>> [?1629?]
Проверка завершена
Просканировано файлов: 70085, извлечено из архивов: 53005, найдено вредоносных программ 0, подозрений - 3
Сканирование завершено в 19.03.2008 10:33:03
Сканирование длилось 00:22:56
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info

2222222222222222222222222222222222222222222222222
Протокол антивирусной утилиты AVZ версии 4.29
Сканирование запущено в 19.03.2008 10:29:54
Загружена база: сигнатуры - 154062, нейропрофили - 2, микропрограммы лечения - 55, база от 18.03.2008 09:53
Загружены микропрограммы эвристики: 370
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 70246
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.2.3790, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
>> Опасно ! Обнаружена маскировка процессов
>>>> Обнаружена маскировка процесса 4 System.exe
>>>> Обнаружена маскировка процесса 428 C:\WINDOWS\system32\smss.exe
>>>> Обнаружена маскировка процесса 476 C:\WINDOWS\system32\csrss.exe
>>>> Обнаружена маскировка процесса 500 C:\WINDOWS\system32\winlogon.exe
>>>> Обнаружена маскировка процесса 548 C:\WINDOWS\system32\services.exe
>>>> Обнаружена маскировка процесса 560 C:\WINDOWS\system32\lsass.exe
>>>> Обнаружена маскировка процесса 732 C:\WINDOWS\system32\svchost.exe
>>>> Обнаружена маскировка процесса 792 C:\WINDOWS\system32\svchost.exe
>>>> Обнаружена маскировка процесса 864 C:\WINDOWS\system32\svchost.exe
>>>> Обнаружена маскировка процесса 904 C:\WINDOWS\system32\svchost.exe
>>>> Обнаружена маскировка процесса 920 C:\WINDOWS\system32\svchost.exe
>>>> Обнаружена маскировка процесса 1080 C:\WINDOWS\system32\spoolsv.exe
>>>> Обнаружена маскировка процесса 1112 C:\WINDOWS\system32\msdtc.exe
>>>> Обнаружена маскировка процесса 1272 pbeagent.exe
>>>> Обнаружена маскировка процесса 1296 lmgrd.exe
>>>> Обнаружена маскировка процесса 1320 Citrix_GTLicensingProv.exe
>>>> Обнаружена маскировка процесса 1356 tomcat.exe
>>>> Обнаружена маскировка процесса 1400 C:\WINDOWS\system32\svchost.exe
>>>> Обнаружена маскировка процесса 1504 C:\WINDOWS\system32\nhsrvice.exe
>>>> Обнаружена маскировка процесса 1592 inetinfo.exe
>>>> Обнаружена маскировка процесса 1700 C:\WINDOWS\system32\svchost.exe
>>>> Обнаружена маскировка процесса 1808 CITRIX.exe
>>>> Обнаружена маскировка процесса 1888 AgentSVC.exe
>>>> Обнаружена маскировка процесса 1920 sAginst.exe
>>>> Обнаружена маскировка процесса 1940 CdfSvc.exe
>>>> Обнаружена маскировка процесса 1976 C:\Program Files\Citrix\system32\cdmsvc.exe
>>>> Обнаружена маскировка процесса 2044 C:\Program Files\Citrix\system32\encsvc.exe
>>>> Обнаружена маскировка процесса 2080 C:\Program Files\Citrix\system32\mfcom.exe
>>>> Обнаружена маскировка процесса 2368 C:\Program Files\Citrix\System32\Citrix\IMA\ImaSrv.exe
>>>> Обнаружена маскировка процесса 2384 C:\WINDOWS\system32\svchost.exe
>>>> Обнаружена маскировка процесса 2772 C:\WINDOWS\system32\svchost.exe
>>>> Обнаружена маскировка процесса 2796 C:\WINDOWS\system32\svchost.exe
>>>> Обнаружена маскировка процесса 3392 C:\WINDOWS\System32\Wbem\wmiprvse.exe
>>>> Обнаружена маскировка процесса 3552 C:\WINDOWS\system32\csrss.exe
>>>> Обнаружена маскировка процесса 3580 C:\WINDOWS\system32\winlogon.exe
>>>> Обнаружена маскировка процесса 3916 ssonsvr.exe
>>>> Обнаружена маскировка процесса 3964 C:\Program Files\Citrix\system32\wfshell.exe
>>>> Обнаружена маскировка процесса 448 C:\WINDOWS\system32\ctfmon.exe
>>>> Обнаружена маскировка процесса 480 1cv7s.exe
>>>> Обнаружена маскировка процесса 1100 C:\WINDOWS\system32\csrss.exe
>>>> Обнаружена маскировка процесса 2112 C:\WINDOWS\system32\winlogon.exe
>>>> Обнаружена маскировка процесса 3120 C:\WINDOWS\system32\rdpclip.exe
>>>> Обнаружена маскировка процесса 3148 ssonsvr.exe
>>>> Обнаружена маскировка процесса 2208 C:\Program Files\Citrix\system32\ctxrdpshell.exe
>>>> Обнаружена маскировка процесса 1408 C:\WINDOWS\explorer.exe
>>>> Обнаружена маскировка процесса 3476 C:\Program Files\Citrix\system32\icabar.exe
>>>> Обнаружена маскировка процесса 3708 C:\WINDOWS\system32\ctfmon.exe
>>>> Обнаружена маскировка процесса 3732 C:\WINDOWS\system32\oobechk.exe
>>>> Обнаружена маскировка процесса 3728 C:\WINDOWS\system32\mshta.exe
>>>> Обнаружена маскировка процесса 3860 C:\WINDOWS\system32\tsadmin.exe
>>>> Обнаружена маскировка процесса 3876 HPBPRO.EXE
>>>> Обнаружена маскировка процесса 3872 HPBOID.EXE
>>>> Обнаружена маскировка процесса 768 C:\WINDOWS\system32\csrss.exe
>>>> Обнаружена маскировка процесса 1016 C:\WINDOWS\system32\winlogon.exe
>>>> Обнаружена маскировка процесса 1984 ssonsvr.exe
>>>> Обнаружена маскировка процесса 876 C:\Program Files\Citrix\system32\wfshell.exe
>>>> Обнаружена маскировка процесса 4184 C:\WINDOWS\system32\ctfmon.exe
>>>> Обнаружена маскировка процесса 4212 1cv7s.exe
>>>> Обнаружена маскировка процесса 4284 C:\WINDOWS\system32\csrss.exe
>>>> Обнаружена маскировка процесса 4308 C:\WINDOWS\system32\winlogon.exe
>>>> Обнаружена маскировка процесса 4636 ssonsvr.exe
>>>> Обнаружена маскировка процесса 4684 C:\Program Files\Citrix\system32\wfshell.exe
>>>> Обнаружена маскировка процесса 4836 C:\WINDOWS\system32\ctfmon.exe
>>>> Обнаружена маскировка процесса 4868 1cv7s.exe
>>>> Обнаружена маскировка процесса 5028 C:\WINDOWS\system32\csrss.exe
>>>> Обнаружена маскировка процесса 5052 C:\WINDOWS\system32\winlogon.exe
>>>> Обнаружена маскировка процесса 5404 ssonsvr.exe
>>>> Обнаружена маскировка процесса 5448 C:\Program Files\Citrix\system32\wfshell.exe
>>>> Обнаружена маскировка процесса 5612 C:\WINDOWS\system32\ctfmon.exe
>>>> Обнаружена маскировка процесса 5660 1cv7s.exe
>>>> Обнаружена маскировка процесса 5724 C:\WINDOWS\system32\csrss.exe
>>>> Обнаружена маскировка процесса 5748 C:\WINDOWS\system32\winlogon.exe
>>>> Обнаружена маскировка процесса 6104 ssonsvr.exe
>>>> Обнаружена маскировка процесса 2612 C:\Program Files\Citrix\system32\wfshell.exe
>>>> Обнаружена маскировка процесса 1488 C:\WINDOWS\system32\ctfmon.exe
>>>> Обнаружена маскировка процесса 1968 1cv7s.exe
>>>> Обнаружена маскировка процесса 2780 C:\WINDOWS\system32\csrss.exe
>>>> Обнаружена маскировка процесса 2448 C:\WINDOWS\system32\winlogon.exe
>>>> Обнаружена маскировка процесса 3856 ssonsvr.exe
>>>> Обнаружена маскировка процесса 4448 C:\Program Files\Citrix\system32\wfshell.exe
>>>> Обнаружена маскировка процесса 5148 C:\WINDOWS\system32\ctfmon.exe
>>>> Обнаружена маскировка процесса 5192 1cv8.exe
>>>> Обнаружена маскировка процесса 5580 C:\WINDOWS\system32\csrss.exe
>>>> Обнаружена маскировка процесса 5588 C:\WINDOWS\system32\winlogon.exe
>>>> Обнаружена маскировка процесса 6048 ssonsvr.exe
>>>> Обнаружена маскировка процесса 2340 C:\Program Files\Citrix\system32\wfshell.exe
>>>> Обнаружена маскировка процесса 4492 C:\WINDOWS\system32\ctfmon.exe
>>>> Обнаружена маскировка процесса 4496 1cv7s.exe
>>>> Обнаружена маскировка процесса 4568 w3wp.exe
>>>> Обнаружена маскировка процесса 4644 C:\WINDOWS\system32\csrss.exe
>>>> Обнаружена маскировка процесса 4552 C:\WINDOWS\system32\winlogon.exe
>>>> Обнаружена маскировка процесса 5252 ssonsvr.exe
>>>> Обнаружена маскировка процесса 1840 C:\Program Files\Citrix\system32\wfshell.exe
>>>> Обнаружена маскировка процесса 3200 C:\WINDOWS\system32\ctfmon.exe
>>>> Обнаружена маскировка процесса 2804 1cv7s.exe
>>>> Обнаружена маскировка процесса 6276 C:\WINDOWS\system32\csrss.exe
>>>> Обнаружена маскировка процесса 6300 C:\WINDOWS\system32\winlogon.exe
>>>> Обнаружена маскировка процесса 6656 ssonsvr.exe
>>>> Обнаружена маскировка процесса 6700 C:\Program Files\Citrix\system32\wfshell.exe
>>>> Обнаружена маскировка процесса 6856 C:\WINDOWS\system32\ctfmon.exe
>>>> Обнаружена маскировка процесса 6920 1cv7s.exe
>>>> Обнаружена маскировка процесса 7084 C:\WINDOWS\system32\csrss.exe
>>>> Обнаружена маскировка процесса 7108 C:\WINDOWS\system32\winlogon.exe
>>>> Обнаружена маскировка процесса 7488 ssonsvr.exe
>>>> Обнаружена маскировка процесса 7532 C:\Program Files\Citrix\system32\wfshell.exe
>>>> Обнаружена маскировка процесса 7700 C:\WINDOWS\system32\ctfmon.exe
>>>> Обнаружена маскировка процесса 7736 1cv7s.exe
>>>> Обнаружена маскировка процесса 7936 ssonsvr.exe
>>>> Обнаружена маскировка процесса 8132 C:\WINDOWS\explorer.exe
>>>> Обнаружена маскировка процесса 524 C:\Program Files\Citrix\system32\icabar.exe
>>>> Обнаружена маскировка процесса 6068 C:\WINDOWS\system32\ctfmon.exe
>>>> Обнаружена маскировка процесса 6028 avz.exe
>>>> Обнаружена маскировка процесса 4440 C:\WINDOWS\system32\csrss.exe
>>>> Обнаружена маскировка процесса 3784 C:\WINDOWS\system32\winlogon.exe
>>>> Обнаружена маскировка процесса 5784 C:\WINDOWS\system32\userinit.exe
>>>> Обнаружена маскировка процесса 6472 ssonsvr.exe
>>>> Обнаружена маскировка процесса 6612 C:\Program Files\Citrix\system32\wfshell.exe
>>>> Обнаружена маскировка процесса 6956 C:\WINDOWS\system32\ctfmon.exe
>>>> Обнаружена маскировка процесса 6212 1cv7s.exe
>>>> Подозрение на маскировку файла процесса: C:\Documents and Settings\administrator\WINDOWS\system32\smss.exe
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrQueryImageFileExecutionOptions (112) перехвачена, метод APICodeHijack.JmpTo[003869E6]
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=0AEF20)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 80800000
SDT = 808AEF20
KiST = 8083E5C8 (296)
Проверено функций: 296, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [F356816D] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [F3567FC2] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
Анализ для процессора 2
>>> Опасно - подозрение на подмену адреса ЦП[2].IDT[06] = [F356816D] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
>>> Опасно - подозрение на подмену адреса ЦП[2].IDT[0E] = [F3567FC2] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
Анализ для процессора 3
>>> Опасно - подозрение на подмену адреса ЦП[3].IDT[06] = [F356816D] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
>>> Опасно - подозрение на подмену адреса ЦП[3].IDT[0E] = [F3567FC2] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
Анализ для процессора 4
>>> Опасно - подозрение на подмену адреса ЦП[4].IDT[06] = [F356816D] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
>>> Опасно - подозрение на подмену адреса ЦП[4].IDT[0E] = [F3567FC2] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
Количество найденных процессов: 118
Количество загруженных модулей: 611
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Bases\Base\SYSLOG\links.tmp
Прямое чтение C:\Documents and Settings\revenko\Local Settings\Temp\7\v8_1_11.tmp
Прямое чтение C:\Documents and Settings\revenko\Local Settings\Temp\7\v8_1_12.tmp
Прямое чтение C:\Documents and Settings\revenko\Local Settings\Temp\7\v8_1_14.tmp
Прямое чтение C:\Documents and Settings\revenko\Local Settings\Temp\7\v8_1_6.tmp
C:\Program Files\Citrix\IM\Packager\RemoteAccessProxy.dll >>> подозрение на Trojan-Downloader.Win32.Small.dgc ( 0CE0CA32 01C0DDB1 003DF1D0 003DF1D0 31232)
C:\setup\citrix\CitrixPS30\MetaFrame Presentation Server\Program Files\Citrix\Application\IM\Packager\RemoteAccessP roxy.dll >>> подозрение на Trojan-Downloader.Win32.Small.dgc ( 0CE0CA32 01C0DDB1 003DF1D0 003DF1D0 31232)
C:\WINDOWS\$NtServicePackUninstall$\fxsclnt.msi/{MS-OLE}/\67 >>> подозрение на AdvWare.Win32.Vapsup.vq ( 005412A4 08CD5FC5 001C13F0 001FD6D9 151552)
C:\WINDOWS\ServicePackFiles\i386\fxsclnt.msi/{MS-OLE}/\67 >>> подозрение на AdvWare.Win32.Vapsup.vq ( 005412A4 08CD5FC5 001C13F0 001FD6D9 151552)
Прямое чтение C:\WINDOWS\Temp\JET35C0.tmp
Прямое чтение C:\WINDOWS\Temp\JETE455.tmp
Прямое чтение C:\WINDOWS\Temp\JETE474.tmp
4. Проверка Winsock Layered Service Provider (SPI/LSP)
$AVZ0637: "TCP/IP" --> $AVZ0623 C:\Documents and Settings\administrator\WINDOWS\System32\mswsock.dl l
$AVZ0637: "NTDS" --> $AVZ0623 C:\Documents and Settings\administrator\WINDOWS\System32\winrnr.dll
$AVZ0637: "Пространство имен службы сетевого расположения (NLA)" --> $AVZ0623 C:\Documents and Settings\administrator\WINDOWS\System32\mswsock.dl l
$AVZ0640 = "MSAFD Tcpip [TCP/IP]" --> $AVZ0623 C:\Documents and Settings\administrator\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD Tcpip [UDP/IP]" --> $AVZ0623 C:\Documents and Settings\administrator\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD Tcpip [RAW/IP]" --> $AVZ0623 C:\Documents and Settings\administrator\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "RSVP UDP Service Provider" --> $AVZ0623 C:\Documents and Settings\administrator\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "RSVP TCP Service Provider" --> $AVZ0623 C:\Documents and Settings\administrator\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{D773C664-BFD5-42F7-B7C9-3A1124892A39}] SEQPACKET 4" --> $AVZ0623 C:\Documents and Settings\administrator\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{D773C664-BFD5-42F7-B7C9-3A1124892A39}] DATAGRAM 4" --> $AVZ0623 C:\Documents and Settings\administrator\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{EA63107D-A100-4BA1-B10F-795D59296637}] SEQPACKET 3" --> $AVZ0623 C:\Documents and Settings\administrator\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{EA63107D-A100-4BA1-B10F-795D59296637}] DATAGRAM 3" --> $AVZ0623 C:\Documents and Settings\administrator\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{66D9AC65-3E72-478B-B94D-433A1C3C39EE}] SEQPACKET 0" --> $AVZ0623 C:\Documents and Settings\administrator\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{66D9AC65-3E72-478B-B94D-433A1C3C39EE}] DATAGRAM 0" --> $AVZ0623 C:\Documents and Settings\administrator\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{FCF6C962-67DA-42F1-B454-1F7998E82E3D}] SEQPACKET 1" --> $AVZ0623 C:\Documents and Settings\administrator\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{FCF6C962-67DA-42F1-B454-1F7998E82E3D}] DATAGRAM 1" --> $AVZ0623 C:\Documents and Settings\administrator\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{766AB59A-CC1B-4C0F-ADC6-7385DDF770F7}] SEQPACKET 2" --> $AVZ0623 C:\Documents and Settings\administrator\WINDOWS\system32\mswsock.dl l
$AVZ0640 = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{766AB59A-CC1B-4C0F-ADC6-7385DDF770F7}] DATAGRAM 2" --> $AVZ0623 C:\Documents and Settings\administrator\WINDOWS\system32\mswsock.dl l
Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 18
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\Citrix\system32\RMProcessLink.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Citrix\system32\RMProcessLink.dll>>> Поведенческий анализ:
Типичное для кейлоггеров поведение не зарегистрировано
C:\Program Files\Citrix\system32\mfaphook.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Citrix\system32\mfaphook.dll>>> Поведенческий анализ:
Типичное для кейлоггеров поведение не зарегистрировано
C:\Program Files\Citrix\system32\scardhook.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Citrix\system32\scardhook.dll>>> Поведенческий анализ:
Типичное для кейлоггеров поведение не зарегистрировано
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "RMProcessLink.dll,mfaphook.dll"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: Разрешены терминальные подключения к данному ПК
Проверка завершена
9. Мастер поиска и устранения проблем
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>> [?1626?]
>> [?1627?]
>> [?1629?]
Проверка завершена
Просканировано файлов: 80292, извлечено из архивов: 52408, найдено вредоносных программ 0, подозрений - 4
Сканирование завершено в 19.03.2008 10:43:53
Сканирование длилось 00:13:57
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info


33333333333333333333333333333333333333333333333333 33333
Протокол антивирусной утилиты AVZ версии 4.29
Сканирование запущено в 19.03.2008 10:31:09
Загружена база: сигнатуры - 154062, нейропрофили - 2, микропрограммы лечения - 55, база от 18.03.2008 09:53
Загружены микропрограммы эвристики: 370
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 70246
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.0.2195, Service Pack 4 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=084E00)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 80400000
SDT = 80484E00
KiST = 80476730 (248)
Проверено функций: 248, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [BF25814D] C:\WINNT\system32\drivers\Haspnt.sys
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [BF257FA2] C:\WINNT\system32\drivers\Haspnt.sys
Анализ для процессора 2
>>> Опасно - подозрение на подмену адреса ЦП[2].IDT[06] = [BF25814D] C:\WINNT\system32\drivers\Haspnt.sys
>>> Опасно - подозрение на подмену адреса ЦП[2].IDT[0E] = [BF257FA2] C:\WINNT\system32\drivers\Haspnt.sys
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
Количество найденных процессов: 32
Количество загруженных модулей: 282
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: ",mfaphook.dll"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry Service)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Messenger (Messenger)
>> Службы: разрешена потенциально опасная служба Alerter (Alerter)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>> [?1626?]
>> [?1627?]
>> [?1629?]
Проверка завершена
Просканировано файлов: 58925, извлечено из архивов: 45502, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 19.03.2008 10:44:55
Сканирование длилось 00:13:47
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info



гляньте ктонить в логи может вам бутетя яснее чем мне что чтото нетак и где не так
NOX-spb вне форума   Ответить с цитированием

Старый 19.03.2008, 11:48
Helpmaster
Member
 
Аватар для Helpmaster
 
Регистрация: 08.03.2016
Сообщений: 0

Может быть проблема давно решена, посмотрите в похожих обсуждениях

Неверное имя сервера
Два сервера и два провайдера...

Старый 19.03.2008, 20:54   #2 (permalink)
AlexZir
support
 
Аватар для AlexZir
 
Регистрация: 19.08.2007
Адрес: Зея
Сообщений: 15,794
Записей в дневнике: 71
Сказал(а) спасибо: 166
Поблагодарили 203 раз(а) в 86 сообщениях
Репутация: 75760
По умолчанию

Попробуйте очистить временные папки.
__________________
Убить всех человеков!
AlexZir вне форума   Ответить с цитированием
Старый 19.03.2008, 20:57   #3 (permalink)
AlexZir
support
 
Аватар для AlexZir
 
Регистрация: 19.08.2007
Адрес: Зея
Сообщений: 15,794
Записей в дневнике: 71
Сказал(а) спасибо: 166
Поблагодарили 203 раз(а) в 86 сообщениях
Репутация: 75760
По умолчанию

Проверьтесь еще раз AVZ, только с высоким уровнем эвристики и настройками по максимуму.
__________________
Убить всех человеков!
AlexZir вне форума   Ответить с цитированием
Старый 09.11.2009, 13:08   #4 (permalink)
HedgehogNSK
Member
 
Регистрация: 09.11.2009
Сообщений: 15
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
По умолчанию В сети офиса в интернет не выходит только сервер

Ситуация следущая, сеть создана по типу компьютер-сервер, который подключен к интернету, через него подключаются компьютеры-клиенты. Проблема в следущем: клиенты свободно заходят в интернет без проблем, а компьютер-сервер только пингует и трасирует сайты, однако заходить на них отказывается, аська так же не работает на сервере. Как мне решить данную проблему?
HedgehogNSK вне форума   Ответить с цитированием
Старый 09.11.2009, 13:13   #5 (permalink)
01pump
Member
 
Регистрация: 01.01.2009
Сообщений: 13,189
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 415
По умолчанию

HedgehogNSK,
А какие нибудь программы имеют доступ в инет?
01pump вне форума   Ответить с цитированием
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
Старый 09.11.2009, 13:34   #6 (permalink)
HedgehogNSK
Member
 
Регистрация: 09.11.2009
Сообщений: 15
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
По умолчанию

Нет. По крайней мере я таких не вижу. Антивирус стоит НОД32, обновится не может. Из вирусов был обнаружен троян, тщательно почищен, но к результату какому-то не привело.
HedgehogNSK вне форума   Ответить с цитированием
Старый 09.11.2009, 13:41   #7 (permalink)
01pump
Member
 
Регистрация: 01.01.2009
Сообщений: 13,189
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 415
По умолчанию

HedgehogNSK, А ОС на нем какая? Win2003 или XP ?

Вот это выполните http://pchelpforum.ru/f26/t6442/#post37758 и пришлите архив virusinfo_syscure.zip и лог hijakcthis.log
01pump вне форума   Ответить с цитированием
Старый 09.11.2009, 14:10   #8 (permalink)
HedgehogNSK
Member
 
Регистрация: 09.11.2009
Сообщений: 15
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
По умолчанию

Ось ХР и на клиентах и на серверах
http://exfile.ru/65198 - syscure
http://exfile.ru/65199 - Hijakcthis
HedgehogNSK вне форума   Ответить с цитированием
Старый 09.11.2009, 14:38   #9 (permalink)
01pump
Member
 
Регистрация: 01.01.2009
Сообщений: 13,189
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 415
По умолчанию

Цитата:
Сообщение от HedgehogNSK Посмотреть сообщение
Ось ХР и на клиентах и на серверах
http://exfile.ru/65198 - syscure
http://exfile.ru/65199 - Hijakcthis
Чем у вас NOD32 занимается? В ходе проверки avz найдено вредоносных программ 14

В настоящий момент доступ в инет отстутствует?
01pump вне форума   Ответить с цитированием
Старый 09.11.2009, 14:45   #10 (permalink)
HedgehogNSK
Member
 
Регистрация: 09.11.2009
Сообщений: 15
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
По умолчанию

NOD не обновлялся ещё ниразу, был поставлен в связи с тем что отсутстовал антивирус как таковой. На сервере интернета всё также нет, клиенты всё также успешно заходят в инет.
HedgehogNSK вне форума   Ответить с цитированием
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
Ответ

Метки
сервер

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Выкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Выкл.




Часовой пояс GMT +4, время: 20:57.

Powered by vBulletin® Version 6.2.5.
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.