» Флейм для сисадминов (часть III)

может кто помочь с проблемой .Имеется Windows 2003 server. Завелась какая та дрянь, которую ни один антивирус не может обнаружить. При запуске файла с расширением exe и последующим выходом из нее создается его копия, а старый файл становится скрытым и чтоб он мог сохранится с тем же именем добавляется пробел перед расширением. Пробывал dr.web ,avz, каспер, nod никто ничего не находит. Ничего вредоносного от него не было замечено , кроме такого переименования. Но вредит запуску служб при загрузки системы, т.к обращение идет уже к "новому" файлу, в котором неизвестно , что еще прописано , скорее всего удаленный доступ к компу . В автозагрузке и в службах левых программ не обнаружено, откуда он еще может управлять?

aidar
В безопасном режиме та же фигня происходит?
а вообще на форуме есть филиал вирусинфо
попробуй туда написать

aidar
А эвристика AVZ ничего не говорит?
CureIt свежий пробовал?
Еще можно смотреть с помощью
Autoruns от Руссиновича.
Не лишним будет на всякий случай запустить Gmer

Приветствую коллеги!
Может кто-нибудь поможет?
Не кисковед, только учусь быть им
Есть CISCO 2621 [more=Конфиг]Current configuration : 1595 bytes
!
! Last configuration change at 08:35:27 Moscow Wed May 5 2010
! NVRAM config last updated at 08:36:14 Moscow Wed May 5 2010
!
version 12.3
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname routertnk
!
boot-start-marker
boot-end-marker
!
enable password 7 0871451E5B49554E
!
clock timezone Moscow 3
clock summer-time Moscow recurring last Sun Mar 2:00 last Sun Oct 2:00
no aaa new-model
ip subnet-zero
ip cef
!
!
no ip domain lookup
ip name-server 10.78.0.2
!
ip audit po max-events 100
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface FastEthernet0/0
description connected to EthernetLAN
ip address 10.78.1.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
description connected to Internet
ip address 10.78.0.10 255.255.255.0
duplex auto
speed auto
!
router rip
version 2
passive-interface FastEthernet0/1
network 10.0.0.0
no auto-summary
!
no ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 10.78.0.1
!
!
!
snmp-server location SR-TNK FL3 R3 FU31
snmp-server enable traps tty
!
!
!
!
banner motd ^C
##########################################################
Hello!
My location SR-TNK FL3 R1 FU31
INV: -----
Enter correct password for config me
##########################################################^C
!
line con 0
exec-timeout 0 0
password 7 02560D0B59565F78
login
line aux 0
line vty 0 4
password 7 02560D0B59565F78
login
!
ntp clock-period 17180287
ntp server 10.78.0.100
ntp server 10.78.1.13
!
!
end
[/more]
Соединяем ей 2 сети 10.78.0.0 и 10.78.1.0

Машины из сетки 10.78.1.0 не видны в сетевом окружении... не могу понять это из-за киски или из-за настройки DC
Одна DC 10.78.1.1 вторая 10.78.0.10
Может WINS надо настроить ? Или WINS тут не поможет?

DiZka
маску обеих подсетей - 255.255.254.0.. как минимум..

aidar
давно перестал доверять антивирям, поэтому утилиты руссиновича в руки и пошёл...
если комп ребутится при их запуске, то вясни имена файлов и попробуй taskkill

TheBarmaley
ну маска сузит же подсеть как я понимаю...
это хорошо но от этого же не изменится видимость сети

DiZka
дык, в твоём исходном конфиге она ещё Уже.. :)
у тебя же прописано маской 255.255.255.0, сталыть, 10.78.0.х и 10.78.1.х по жизни друг дружку не увидят..

Цитата:

В безопасном режиме та же фигня происходит?

не могу я работаю через удаленный доступ

Цитата:

А эвристика AVZ ничего не говорит?

кстати в последний момент AVZ обнаружил трояна, был грохнут , но злодеяние продолжается видимо осталось тело, которые все антивирусы считают безобидным

Цитата:

CureIt свежий пробовал?

да и каспера и нод с симантеком сидели в мониторе все напрасно.Видимо надо сносить систему а пока пытаюсь обмануть, подсовываю в службы вручную правильные имена.

TheBarmaley
Поменял маску на DC-шках все друг друга увидели ) Благодарен..

aidar
Цитата:

Видимо надо сносить систему

Не торопитесь. Пойти по этому пути — просто и неправильно. Если система снова заразится, Вы её снова переустановите?
К слову, физический доступ к ПК/серверу или использование IPKVM (или их аналога) значительно упрощают использование всяко-разных сэйф-модов и загрузочных флешек/дисков. Разумеется, для замены дисков по ту сторону провода нужен Человек Разумный.

aidar
Ещё раз настаиваю, проходи по ссылке, выполни выполни все пункты для сохранения логов в шапке топика. вполне возможно, что какойто процесс/служба/драйвер перехватывает вызов exe -файлов. там в топике помогут.
Чем скорее ты это сделаешь, тем больше шансов что не будет "мучительно больно за бесцельно прожитые годы" (с)

reff
теперь пущай уж лучче переставит и сделает полный бэкап заведомо чистой системы..
щас хрен знает, где/чё криво/косо поправлено.. и поправлено ли - тоже вопрос..

---

aidar
имхо, переставляй, не парься.. дольше потом на своём серваке искать косяки будешь..
ну и, ессно, фулл-бэкап + регулярный скан на вшивость - в обязательные регламентные работы.. :)

aidar
Нужен бэкап и заражённой системы. Хотя бы для изысканий.

aidar
чё ещё подумалось.. не настаиваю, но как вариант..
Цитата:

я работаю через удаленный доступ

отсюда вопрос - а "хрень", которую ты безуспешно ищешь, часом, не с твоего "удалённого" компа пакостит?
я так мыслю, ты туда под админом заходишь.. наверное.. не может такого быть, а?

коллеги, кто не будь знает как снять информацию или лечить, когда ставишь USB флешку -выдает такое:


раньше форматировал и не заморачивался. а щас там важная информация. И не катит метод "форматировать а потом восстановить". т.к. опыт показывает, что не всегда все нормально восстанавливается.

contrafack
тыц

contrafack
http://flashboot.ru/index.php?name=News&op=article&sid=30

Mushroomer

не очень понял - все же надо форматировать, а потом восстановить?
форматировать не хочу, т.к. после этого 80% снимается целым и невредим. А по закону подлости та инфа, которая мне нужна, окажется в этом 20%. По этому хочется без форматирования снимать инфа а потом хоть сжечь

Добавлено:
Ну вот ! сссс...
как и ожидал... все программы (даже 300 мб) восстановились, а вот мой дипломный проект (в word формате, весом 1 мб) не восстановлен и даже не обнаружен

contrafack

законы Мерфи в своем красе

ruslrusl, диплом на флешке, да ещё и в единственном экземпляре... Мерфи тут точно не при чём

Перефразировав известную фразу, получим: "Писатели дипломов делятся на тех, кто делает бэкап и тех, кто их пока не делает".

ruslrusl

ага

sarti

Не на одном копии, просто вторая копия долеко находиться ! надо с работы отпрасится и ехать опять взять.

reff
да есть бекап ))). просто надо ехать другой край города.
это не готовый диплом, на выходные хотел доделать, но как понял - нихрена не буду делать.

contrafack
Цитата:

это не готовый диплом

Частота изготовления резервных копий не зависит от степени готовности диплома. У Вас возникнут очень ощущения в случае потери диплома, выполненного хотя бы на половину.

Звонит мне сегодня неизвестная мадам:
М: Здравствуйте.
Я: Слушаю Вас.
М: Это компьютерный отдел?
Я: Да.
М: <тяжело так вздохнула и положила трубку >

Что это было ?

reff
Цитата:

ощущения в случае потери диплома

зато потом будет "большой рывок" и контрафак, как золушка, напишет диплом за одну ночь.. ;))

---

contrafack
Цитата:

надо ехать другой край города

отсюда мораль - если уж юзаются компы при написании диплома - кто мешает сделать он-лайн бэкапы?. :)

Добавлено:
konungster
Цитата:

Что это было ?

ну, может, жунщина ищет простого сантехника, а ей по жызни одни одмины попадаюццо.. вот и огорчилась.. :))

Добавлено:
contrafack
каверзный вопрос: судя по датировке постов - ты уже вторые сутки до бэкапа добраццо не можешь..
дык, может, есть смысл плюнуть и написать "с нуля"?.. типа, быстрее будет.. :)))

нда-а.. всегда знал, что реклама - это двигатель.. но не думал, что это исчо и
Цитата:

Окозание услуг

ппц, сисадминам крайне требуеццо "Компьютерная помощь".. дожили, вопчем.. тут было.. :(
может, педаль "настучать главному" нажать? типо, не в струю форума.. или пущай, само отсохнет со временем?..

TheBarmaley

Цитата:

зато потом будет "большой рывок" и контрафак, как золушка, напишет диплом за одну ночь.. )

кажись, так и получится !


Цитата:

отсюда мораль

да кто мог подумать.. ))))))

Цитата:

судя по датировке постов - ты уже вторые сутки до бэкапа добраццо не можешь..
дык, может, есть смысл плюнуть и написать "с нуля"?.. типа, быстрее будет.. ))

да, правильно заметили. сегодня хотел ехать с утра - в падлу было , а после обеда уже так никого не было (наверно!). короткий день был.
Мне надо оттуда взять материалы просто )))) в этом конторе делаю диплом вроде.
Хотя.. можно от балды писать, ведь никто не будет проверить у них сервер на w2k3 или на Linux suse. Или свичи от Cisco или D-link. Просто так как бе были материалы, кто то до меня уже был там по этому делу и можно взять вспомогательные материалы.

Цитата:

отсюда мораль - если уж юзаются компы при написании диплома - кто мешает сделать он-лайн бэкапы?

Удалённый доступ — для ленивых и недоверчивых. =)

reff
туда не пускают меня по удаленке. даже в здание через охрану прохожу