Система: Win2000 Server
Предыстория: пользователь залез под админом в интернет (файрволла и антивируса нет по той причине, что никто не предполагал, что пользователь будет с модемом :) ), накачал/наставил троянов, всё рухнуло, сервер привезли мне восстанавливать, я троянов половил, да, видать, не всех (проверял DrWebом, Касперским, AD-Aware, Stingerом, SpyBootом (всё - с последними обновлениями), а также спецутилитами с сайта Касперского: KlAntiFL, AntiNimd, clrav, klwk).
Симптомы:
1) после установки модемного соединения появляется огромное количество открытых портов (список см. ниже).
2) через некоторое время исчезают все соединения из папки подключений ("Сеть и удалённый доступ к сети"). И dialup-подключений, и локальных сеток. Значок в трее остаётся, но на мышь никак не реагирует, т.е. отрубиться от сети можно, только выключив модем или вынув телефонный кабель. После перелогинивания под другим пользователем или под тем же самым - иконок для соединений по-прежнему нет. После перезагрузки - иконки появлятся.
3) при открытии любого сайта в IE (IE 6.0 без сервис-паков) IE показывает, что сайт в зоне "надёжные узлы".
Где копать?
Приложение 1:
ipconfig /all
=============
Настройка протокола IP для Windows 2000
Имя компьютера . . . . . . . . . : boss1
Основной DNS суффикс . . . . . . : volga.local
Тип узла . . . . . . . . . . . . : Широковещательный
Включена IP-маршрутизация . . . . : Нет
Доверенный WINS-сервер . . . . . : Нет
Порядок просмотра суффиксов DNS . : volga.local
Адаптер Ethernet Lan 1:
Состояние устройства . . . . . . : отсоединен кабель
Описание . . . . . . . . . . . . : Intel 8255x-based PCI Ethernet Adapter (10/100)
Физический адрес. . . . . . . . . : 00-02-B3-51-22-DE
Адаптер MTS:
DNS суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-53-45-00-00-00
DHCP разрешен . . . . . . . . . . : Нет
IP-адрес . . . . . . . . . . . . : 213.177.101.153
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : 213.177.101.153
DNS-серверы . . . . . . . . . . . : 213.177.96.1 213.177.97.1
NetBIOS через TCP/IP. . . . . . . : отключено
---
Приложение 2:
netstat -a
==================
Активные подключения
Имя Локальный адрес Внешний адрес Состояние
TCP boss1:domain boss1.volga.local:0 LISTENING
TCP boss1:kerberos boss1.volga.local:0 LISTENING
TCP boss1:epmap boss1.volga.local:0 LISTENING
TCP boss1:ldap boss1.volga.local:0 LISTENING
TCP boss1:https boss1.volga.local:0 LISTENING
TCP boss1:microsoft-ds boss1.volga.local:0 LISTENING
TCP boss1:kpasswd boss1.volga.local:0 LISTENING
TCP boss1:593 boss1.volga.local:0 LISTENING
TCP boss1:ldaps boss1.volga.local:0 LISTENING
TCP boss1:1026 boss1.volga.local:0 LISTENING
TCP boss1:1029 boss1.volga.local:0 LISTENING
TCP boss1:1067 boss1.volga.local:0 LISTENING
TCP boss1:1069 boss1.volga.local:0 LISTENING
TCP boss1:1071 boss1.volga.local:0 LISTENING
TCP boss1:1081 boss1.volga.local:0 LISTENING
TCP boss1:1082 boss1.volga.local:0 LISTENING
TCP boss1:1084 boss1.volga.local:0 LISTENING
TCP boss1:1088 boss1.volga.local:0 LISTENING
TCP boss1:1089 boss1.volga.local:0 LISTENING
TCP boss1:1091 boss1.volga.local:0 LISTENING
TCP boss1:1095 boss1.volga.local:0 LISTENING
TCP boss1:1097 boss1.volga.local:0 LISTENING
TCP boss1:1099 boss1.volga.local:0 LISTENING
TCP boss1:1111 boss1.volga.local:0 LISTENING
TCP boss1:1113 boss1.volga.local:0 LISTENING
TCP boss1:1117 boss1.volga.local:0 LISTENING
TCP boss1:1125 boss1.volga.local:0 LISTENING
TCP boss1:1190 boss1.volga.local:0 LISTENING
TCP boss1:1445 boss1.volga.local:0 LISTENING
TCP boss1:1447 boss1.volga.local:0 LISTENING
TCP boss1:3268 boss1.volga.local:0 LISTENING
TCP boss1:3269 boss1.volga.local:0 LISTENING
TCP boss1:3372 boss1.volga.local:0 LISTENING
TCP boss1:3389 boss1.volga.local:0 LISTENING
TCP boss1:http boss1.volga.local:0 LISTENING
TCP boss1:netbios-ssn boss1.volga.local:0 LISTENING
TCP boss1:ldap boss1.volga.local:1097 ESTABLISHED
TCP boss1:ldap boss1.volga.local:1443 TIME_WAIT
TCP boss1:ldap boss1.volga.local:1444 TIME_WAIT
TCP boss1:microsoft-ds boss1.volga.local:1445 ESTABLISHED
TCP boss1:1026 boss1.volga.local:1099 ESTABLISHED
TCP boss1:1026 boss1.volga.local:1190 ESTABLISHED
TCP boss1:1071 boss1.volga.local:ldap CLOSE_WAIT
TCP boss1:1097 boss1.volga.local:ldap ESTABLISHED
TCP boss1:1099 boss1.volga.local:1026 ESTABLISHED
TCP boss1:1190 boss1.volga.local:1026 ESTABLISHED
TCP boss1:1195 boss1.volga.local:microsoft-ds TIME_WAIT
TCP boss1:1241 boss1.volga.local:epmap TIME_WAIT
TCP boss1:1242 boss1.volga.local:1026 TIME_WAIT
TCP boss1:1249 boss1.volga.local:domain TIME_WAIT
TCP boss1:1259 boss1.volga.local:domain TIME_WAIT
TCP boss1:1279 boss1.volga.local:domain TIME_WAIT
TCP boss1:1304 boss1.volga.local:domain TIME_WAIT
TCP boss1:1319 boss1.volga.local:domain TIME_WAIT
TCP boss1:1331 boss1.volga.local:domain TIME_WAIT
TCP boss1:1337 boss1.volga.local:domain TIME_WAIT
TCP boss1:1348 boss1.volga.local:domain TIME_WAIT
TCP boss1:1356 boss1.volga.local:domain TIME_WAIT
TCP boss1:1368 boss1.volga.local:domain TIME_WAIT
TCP boss1:1376 boss1.volga.local:domain TIME_WAIT
TCP boss1:1390 boss1.volga.local:domain TIME_WAIT
TCP boss1:1396 boss1.volga.local:domain TIME_WAIT
TCP boss1:1445 boss1.volga.local:microsoft-ds ESTABLISHED
TCP boss1:ldap boss1.volga.local:1088 ESTABLISHED
TCP boss1:ldap boss1.volga.local:1251 TIME_WAIT
TCP boss1:ldap boss1.volga.local:1263 TIME_WAIT
TCP boss1:ldap boss1.volga.local:1282 TIME_WAIT
TCP boss1:ldap boss1.volga.local:1306 TIME_WAIT
TCP boss1:ldap boss1.volga.local:1312 TIME_WAIT
TCP boss1:ldap boss1.volga.local:1321 TIME_WAIT
TCP boss1:ldap boss1.volga.local:1333 TIME_WAIT
TCP boss1:ldap boss1.volga.local:1341 TIME_WAIT
TCP boss1:ldap boss1.volga.local:1350 TIME_WAIT
TCP boss1:ldap boss1.volga.local:1358 TIME_WAIT
TCP boss1:ldap boss1.volga.local:1370 TIME_WAIT
TCP boss1:ldap boss1.volga.local:1378 TIME_WAIT
TCP boss1:ldap boss1.volga.local:1392 TIME_WAIT
TCP boss1:ldap boss1.volga.local:1398 TIME_WAIT
TCP boss1:1069 boss1.volga.local:ldap CLOSE_WAIT
TCP boss1:1088 boss1.volga.local:ldap ESTABLISHED
TCP boss1:1447 ns.mts-nn.ru:domain SYN_SENT
UDP boss1:bootpc :
UDP boss1:epmap :
UDP boss1:microsoft-ds :
UDP boss1:1028 :
UDP boss1:1056 :
UDP boss1:1068 :
UDP boss1:1070 :
UDP boss1:1077 :
UDP boss1:1080 :
UDP boss1:1086 :
UDP boss1:1087 :
UDP boss1:1096 :
UDP boss1:1112 :
UDP boss1:1114 :
UDP boss1:1118 :
UDP boss1:1191 :
UDP boss1:3456 :
UDP boss1:domain :
UDP boss1:bootps :
UDP boss1:bootpc :
UDP boss1:kerberos :
UDP boss1:ntp :
UDP boss1:netbios-ns :
UDP boss1:netbios-dgm :
UDP boss1:389 :
UDP boss1:kpasswd :
UDP boss1:isakmp :
UDP boss1:1119 :
UDP boss1:2535 :
UDP boss1:domain :
UDP boss1:1085 :
UDP boss1:domain :
UDP boss1:kerberos :
UDP boss1:389 :
UDP boss1:kpasswd :
UDP boss1:isakmp :
---
Приложение 3:
Cписок процессов
smss.exe
csrss.exe
winlogon.exe
services.exe
lsass.exe
termsrv.exe
svchost.exe
spoolsv.exe
msdtc.exe
Dfssvc.exe
tcpsvcs.exe
svchost.exe
llssrv.exe
NMSSvc.exe
ntfrs.exe
locator.exe
MSTask.exe
win32sl.exe
WinMgmt.exe
dns.exe
inetinfo.exe
mssearch.exe
basebrd.exe
iomgr.exe
ni_nic.exe
ipsa.exe
lra.exe
lra.exe
sha.exe
ciodmi.exe
---
|