Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
Что-то мне это процессы не нравятся. Провет что они, откуда... 10.12.04 05:32 Число просмотров: 3891
Автор: vitaliy_m Статус: Незарегистрированный пользователь
|
> Приложение 3:
> Cписок процессов
> NMSSvc.exe
> ntfrs.exe
> win32sl.exe
> basebrd.exe
> ni_nic.exe
> ipsa.exe
> lra.exe
> lra.exe
> sha.exe
> ciodmi.exe
> iomgr.exe
Что-то мне это процессы не нравятся. Провет что они, откуда пускаются, найди файлы
посмотри версию, посмотри вювером на подозрительные места (строки текста).
Перезагрузись в Safe моде и прибей, включая там, откуда пускаются.
> locator.exe
А накой RPC Locator? У меня без него работает.
> dns.exe
Если демен есть, то оставь...
> inetinfo.exe
А IIS что крутит?
> mssearch.exe
Всякие поиски на сервере не нужны - выключи
|
|
<networking>
|
[Win2000] Пропадают сетевые соединения / все сайты открываются в зоне "надёжные узлы" 09.12.04 15:50
Автор: cxell Статус: Незарегистрированный пользователь
Отредактировано 09.12.04 15:53 Количество правок: 1
|
Система: Win2000 Server
Предыстория: пользователь залез под админом в интернет (файрволла и антивируса нет по той причине, что никто не предполагал, что пользователь будет с модемом :) ), накачал/наставил троянов, всё рухнуло, сервер привезли мне восстанавливать, я троянов половил, да, видать, не всех (проверял DrWebом, Касперским, AD-Aware, Stingerом, SpyBootом (всё - с последними обновлениями), а также спецутилитами с сайта Касперского: KlAntiFL, AntiNimd, clrav, klwk).
Симптомы:
1) после установки модемного соединения появляется огромное количество открытых портов (список см. ниже).
2) через некоторое время исчезают все соединения из папки подключений ("Сеть и удалённый доступ к сети"). И dialup-подключений, и локальных сеток. Значок в трее остаётся, но на мышь никак не реагирует, т.е. отрубиться от сети можно, только выключив модем или вынув телефонный кабель. После перелогинивания под другим пользователем или под тем же самым - иконок для соединений по-прежнему нет. После перезагрузки - иконки появлятся.
3) при открытии любого сайта в IE (IE 6.0 без сервис-паков) IE показывает, что сайт в зоне "надёжные узлы".
Где копать?
Приложение 1:
ipconfig /all
=============
Настройка протокола IP для Windows 2000
Имя компьютера . . . . . . . . . : boss1
Основной DNS суффикс . . . . . . : volga.local
Тип узла . . . . . . . . . . . . : Широковещательный
Включена IP-маршрутизация . . . . : Нет
Доверенный WINS-сервер . . . . . : Нет
Порядок просмотра суффиксов DNS . : volga.local
Адаптер Ethernet Lan 1:
Состояние устройства . . . . . . : отсоединен кабель
Описание . . . . . . . . . . . . : Intel 8255x-based PCI Ethernet Adapter (10/100)
Физический адрес. . . . . . . . . : 00-02-B3-51-22-DE
Адаптер MTS:
DNS суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-53-45-00-00-00
DHCP разрешен . . . . . . . . . . : Нет
IP-адрес . . . . . . . . . . . . : 213.177.101.153
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : 213.177.101.153
DNS-серверы . . . . . . . . . . . : 213.177.96.1 213.177.97.1
NetBIOS через TCP/IP. . . . . . . : отключено
---
Приложение 2:
netstat -a
==================
Активные подключения
Имя Локальный адрес Внешний адрес Состояние
TCP boss1:domain boss1.volga.local:0 LISTENING
TCP boss1:kerberos boss1.volga.local:0 LISTENING
TCP boss1:epmap boss1.volga.local:0 LISTENING
TCP boss1:ldap boss1.volga.local:0 LISTENING
TCP boss1:https boss1.volga.local:0 LISTENING
TCP boss1:microsoft-ds boss1.volga.local:0 LISTENING
TCP boss1:kpasswd boss1.volga.local:0 LISTENING
TCP boss1:593 boss1.volga.local:0 LISTENING
TCP boss1:ldaps boss1.volga.local:0 LISTENING
TCP boss1:1026 boss1.volga.local:0 LISTENING
TCP boss1:1029 boss1.volga.local:0 LISTENING
TCP boss1:1067 boss1.volga.local:0 LISTENING
TCP boss1:1069 boss1.volga.local:0 LISTENING
TCP boss1:1071 boss1.volga.local:0 LISTENING
TCP boss1:1081 boss1.volga.local:0 LISTENING
TCP boss1:1082 boss1.volga.local:0 LISTENING
TCP boss1:1084 boss1.volga.local:0 LISTENING
TCP boss1:1088 boss1.volga.local:0 LISTENING
TCP boss1:1089 boss1.volga.local:0 LISTENING
TCP boss1:1091 boss1.volga.local:0 LISTENING
TCP boss1:1095 boss1.volga.local:0 LISTENING
TCP boss1:1097 boss1.volga.local:0 LISTENING
TCP boss1:1099 boss1.volga.local:0 LISTENING
TCP boss1:1111 boss1.volga.local:0 LISTENING
TCP boss1:1113 boss1.volga.local:0 LISTENING
TCP boss1:1117 boss1.volga.local:0 LISTENING
TCP boss1:1125 boss1.volga.local:0 LISTENING
TCP boss1:1190 boss1.volga.local:0 LISTENING
TCP boss1:1445 boss1.volga.local:0 LISTENING
TCP boss1:1447 boss1.volga.local:0 LISTENING
TCP boss1:3268 boss1.volga.local:0 LISTENING
TCP boss1:3269 boss1.volga.local:0 LISTENING
TCP boss1:3372 boss1.volga.local:0 LISTENING
TCP boss1:3389 boss1.volga.local:0 LISTENING
TCP boss1:http boss1.volga.local:0 LISTENING
TCP boss1:netbios-ssn boss1.volga.local:0 LISTENING
TCP boss1:ldap boss1.volga.local:1097 ESTABLISHED
TCP boss1:ldap boss1.volga.local:1443 TIME_WAIT
TCP boss1:ldap boss1.volga.local:1444 TIME_WAIT
TCP boss1:microsoft-ds boss1.volga.local:1445 ESTABLISHED
TCP boss1:1026 boss1.volga.local:1099 ESTABLISHED
TCP boss1:1026 boss1.volga.local:1190 ESTABLISHED
TCP boss1:1071 boss1.volga.local:ldap CLOSE_WAIT
TCP boss1:1097 boss1.volga.local:ldap ESTABLISHED
TCP boss1:1099 boss1.volga.local:1026 ESTABLISHED
TCP boss1:1190 boss1.volga.local:1026 ESTABLISHED
TCP boss1:1195 boss1.volga.local:microsoft-ds TIME_WAIT
TCP boss1:1241 boss1.volga.local:epmap TIME_WAIT
TCP boss1:1242 boss1.volga.local:1026 TIME_WAIT
TCP boss1:1249 boss1.volga.local:domain TIME_WAIT
TCP boss1:1259 boss1.volga.local:domain TIME_WAIT
TCP boss1:1279 boss1.volga.local:domain TIME_WAIT
TCP boss1:1304 boss1.volga.local:domain TIME_WAIT
TCP boss1:1319 boss1.volga.local:domain TIME_WAIT
TCP boss1:1331 boss1.volga.local:domain TIME_WAIT
TCP boss1:1337 boss1.volga.local:domain TIME_WAIT
TCP boss1:1348 boss1.volga.local:domain TIME_WAIT
TCP boss1:1356 boss1.volga.local:domain TIME_WAIT
TCP boss1:1368 boss1.volga.local:domain TIME_WAIT
TCP boss1:1376 boss1.volga.local:domain TIME_WAIT
TCP boss1:1390 boss1.volga.local:domain TIME_WAIT
TCP boss1:1396 boss1.volga.local:domain TIME_WAIT
TCP boss1:1445 boss1.volga.local:microsoft-ds ESTABLISHED
TCP boss1:ldap boss1.volga.local:1088 ESTABLISHED
TCP boss1:ldap boss1.volga.local:1251 TIME_WAIT
TCP boss1:ldap boss1.volga.local:1263 TIME_WAIT
TCP boss1:ldap boss1.volga.local:1282 TIME_WAIT
TCP boss1:ldap boss1.volga.local:1306 TIME_WAIT
TCP boss1:ldap boss1.volga.local:1312 TIME_WAIT
TCP boss1:ldap boss1.volga.local:1321 TIME_WAIT
TCP boss1:ldap boss1.volga.local:1333 TIME_WAIT
TCP boss1:ldap boss1.volga.local:1341 TIME_WAIT
TCP boss1:ldap boss1.volga.local:1350 TIME_WAIT
TCP boss1:ldap boss1.volga.local:1358 TIME_WAIT
TCP boss1:ldap boss1.volga.local:1370 TIME_WAIT
TCP boss1:ldap boss1.volga.local:1378 TIME_WAIT
TCP boss1:ldap boss1.volga.local:1392 TIME_WAIT
TCP boss1:ldap boss1.volga.local:1398 TIME_WAIT
TCP boss1:1069 boss1.volga.local:ldap CLOSE_WAIT
TCP boss1:1088 boss1.volga.local:ldap ESTABLISHED
TCP boss1:1447 ns.mts-nn.ru:domain SYN_SENT
UDP boss1:bootpc :
UDP boss1:epmap :
UDP boss1:microsoft-ds :
UDP boss1:1028 :
UDP boss1:1056 :
UDP boss1:1068 :
UDP boss1:1070 :
UDP boss1:1077 :
UDP boss1:1080 :
UDP boss1:1086 :
UDP boss1:1087 :
UDP boss1:1096 :
UDP boss1:1112 :
UDP boss1:1114 :
UDP boss1:1118 :
UDP boss1:1191 :
UDP boss1:3456 :
UDP boss1:domain :
UDP boss1:bootps :
UDP boss1:bootpc :
UDP boss1:kerberos :
UDP boss1:ntp :
UDP boss1:netbios-ns :
UDP boss1:netbios-dgm :
UDP boss1:389 :
UDP boss1:kpasswd :
UDP boss1:isakmp :
UDP boss1:1119 :
UDP boss1:2535 :
UDP boss1:domain :
UDP boss1:1085 :
UDP boss1:domain :
UDP boss1:kerberos :
UDP boss1:389 :
UDP boss1:kpasswd :
UDP boss1:isakmp :
---
Приложение 3:
Cписок процессов
smss.exe
csrss.exe
winlogon.exe
services.exe
lsass.exe
termsrv.exe
svchost.exe
spoolsv.exe
msdtc.exe
Dfssvc.exe
tcpsvcs.exe
svchost.exe
llssrv.exe
NMSSvc.exe
ntfrs.exe
locator.exe
MSTask.exe
win32sl.exe
WinMgmt.exe
dns.exe
inetinfo.exe
mssearch.exe
basebrd.exe
iomgr.exe
ni_nic.exe
ipsa.exe
lra.exe
lra.exe
sha.exe
ciodmi.exe
---
|
|
Что-то мне это процессы не нравятся. Провет что они, откуда... 10.12.04 05:32
Автор: vitaliy_m Статус: Незарегистрированный пользователь
|
> Приложение 3:
> Cписок процессов
> NMSSvc.exe
> ntfrs.exe
> win32sl.exe
> basebrd.exe
> ni_nic.exe
> ipsa.exe
> lra.exe
> lra.exe
> sha.exe
> ciodmi.exe
> iomgr.exe
Что-то мне это процессы не нравятся. Провет что они, откуда пускаются, найди файлы
посмотри версию, посмотри вювером на подозрительные места (строки текста).
Перезагрузись в Safe моде и прибей, включая там, откуда пускаются.
> locator.exe
А накой RPC Locator? У меня без него работает.
> dns.exe
Если демен есть, то оставь...
> inetinfo.exe
А IIS что крутит?
> mssearch.exe
Всякие поиски на сервере не нужны - выключи
|
| |
ntfrs.exe - служба репликации файлов, всё остальное -... 14.12.04 14:48
Автор: cxell Статус: Незарегистрированный пользователь
|
> > NMSSvc.exe
> > ntfrs.exe
> > win32sl.exe
> > basebrd.exe
> > ni_nic.exe
> > ipsa.exe
> > lra.exe
> > lra.exe
> > sha.exe
> > ciodmi.exe
> > iomgr.exe
> Что-то мне это процессы не нравятся. Провет что они, откуда
> пускаются, найди файлы
> посмотри версию, посмотри вювером на подозрительные места
> (строки текста).
ntfrs.exe - служба репликации файлов, всё остальное - драйвера и прочие приблуды, шедшие в комплекте с сервером. Сравнил с драйверами в архиве - всё совпадает.
> > locator.exe
> А накой RPC Locator? У меня без него работает.
Остановил.
> > dns.exe
> Если демен есть, то оставь...
Домен есть. Оставил.
> > inetinfo.exe
> А IIS что крутит?
Вроде ничего. Все настройки были по умолчанию. Остановил и снёс IIS, в журнале системных событий каждые 5 минут стало появляться сообщение об ошибке 0x534. Исправил по совету Liz вот отсюда:
http://www.eventid.net/display.asp?eventid=1202&eventno=348&source=SceCli&phase=1
(после сноса IIS надо вручную удалить записи о пользователях IWAM и IUSR из политик безопасности контроллера домена)
> > mssearch.exe
> Всякие поиски на сервере не нужны - выключи
Это SQL Server запускает. Но так как в другом месте на аналогичном сервере всё работает и без mssearch - остановил.
Результат - нулевой. Наверное, будет быстрее всё переустановить...
|
|
|
подробно о проекте
Анализ криптографических сетевых...
