Люди, SOS! Подскажите, кто знает, в папке C:\WINDOWS.0\system32\dllcache должен ли хранится файл dllhost.exe или нет? По идее этот файл должен быть только в C:\WINDOWS.0\system32, если где еще - червь. Кто знает - подскажите,должна ли система копировать его туда?

Сет, должен. Но вопрос этот явно не по адресу.
Кстати, мог бы его и он-лайн проверить.

Наличие вируса можно определить по присутствию в папке windows\system32\wins файлов DLLHOST.EXE и SVCHOST.EXE.
Настоящий dllhost.exe имеет размер файла приблизительно 6 килобайт. Наличие его в папке dllcache не несёт в себе никакой опасности. Инфицированный вирусом W32/Nachi.A dllhost.exe размером (~10,240 bytes) и находится в папке Wins.
Проверте его наличие там. И ещё - в реестре: HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSetServices> если на левой панели имеются RpcPatch и RpcTftpd можете быть уверенны, Ваш компьютер инфицирован.
Не мешало-бы провериться в безопасном режиме или запустить предзагрузочную проверку на вирусы.

Просто имел повод подумать на червя. Имеется 2 сервера. С второго на первый переодически регистрируется вход с такими параметрами:

Тип события: Аудит успехов
Источник события: Security
Категория события: Вход/выход
Код события: 540
Дата: 25.10.2007
Время: 15:47:31
Пользователь: NT AUTHORITY\АНОНИМНЫЙ ВХОД
Компьютер: SERVER1
Описание:
Успешный сетевой вход в систему:

Пользователь:
Домен:
Код входа: (0x0,0x139D8E5)
Тип входа: 3
Процесс входа: NtLmSsp
Пакет проверки: NTLM
Рабочая станция: SERVER2
Код GUID: -
Имя вызывающего пользователя: -
Домен вызывающего: -
Код входа вызывающего: -
Код процесса вызывающего: -
Промежуточные службы:-
Адрес сети источника: 10.10.1.##(SERVER2 - моя коментария)
Порт источника: 0

Первый сервер иногда перегружается, выдавая следующее:
http://www.fcenter.ru/img/softnews/2003/aug/08_15/29559.gif

Сет, должен. Но вопрос этот явно не по адресу.
Кстати, мог бы его и он-лайн проверить. »
Если должен,то почему на моем компе и на первом сервере в папке C:\WINDOWS.0\system32\dllcache файла dllhost.exe нет. Онлайн проверил, ничего не найдено.
Очень похожее описано здесь: http://forum.ixbt.com/topic.cgi?id=67:23
Только дата там...немного устаревшая:)
По совету проверил реестр и папку WINS на всех 3х компах - ничего.
Только SERVER1 перегружается сам по себе, причем вчера раза 3, правда сегодня все спокойно...

Кстати,любопытствовал по поводу количества файлов dllhost.exe. По ссылке написано:
http://www.securitylab.ru/processinfo/265827.php
Файл с dllhost.exe всегда расположен в папке C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно более сотни вирусов и сетевых червей, использующих имя DLLhost.exe для скрытия своей активности в системе.

Сет, смотри заплатку KB823980 (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=2354406C-C5B6-44AC-9532-3DE40F69C074) и всё что внизу страницы. Ставь если не стоит.
lsass.exe -локальный сервер аутентификации пользователя, именно он определяет, что позволяется делать данному пользователю в системе, путем генерации процесса для сервиса winlogon (см. ниже) с помощью библиотек аутентификации (по умолчанию msgina.dll). Если начальная аутентификация успешна, lsass генерирует метку пользователя, которая используется для старта оболочки. Приложения, запущенные пользователем, также наследуют эту метку. Этот процесс нельзя завершить из менеджера задач (что вполне естественно).
Какой вывод? проблемы с аутентификацией пользователя. кто-то пытается зарегистрироваться, делает это криво, и выбивает (или специально выбивает) lsass.
Ищи вирус
У тебя вирус MSBlast, Sasser или Lovesan. Пробуем фиксить (http://securityresponse.symantec.com/avcenter/FxSasser.exe)
Читаем (http://virusinfo.info/showthread.php?t=1235) и аккуратно выполняем.

ЗЫ Во ещё
Start>All Programs>Administrative Tools>Services.В открывшемся окне найти Remote Procedure Call (RPC),правый клик на нём,выбрать Properties.Перейти на вкладку Recovery, там есть три выпадающих менюхи - First Failure,Second Failure,Subsequent Failures. В каждой выставить Restart The Servise (по умолчанию стоит Restart Computer)

Спасибо за
Start>All Programs>Administrative Tools>Services.В открывшемся окне найти Remote Procedure Call (RPC),правый клик на нём,выбрать Properties.Перейти на вкладку Recovery, там есть три выпадающих менюхи - First Failure,Second Failure,Subsequent Failures. В каждой выставить Restart The Servise (по умолчанию стоит Restart Computer »
Очень полезно!
Завтра начну заниматся остольным, потом напишу,что вышло.

Блин, ну и дела :o ...У меня такое подозрение...Люди,ко что знает про троян нулевого ринга? А то в Инете только легенды, да и тех всего пару...Нашол один сайт, но там мало сказано:
http://www.securitylab.ru/forum/index.php?PAGE_NAME=read&FID=18&TID=4952&MID=55987#message55987
Может кто какую ссылку полезную подкинет или так раскажет?
Кстати,вопрос!
Почему мой антивирус ничего не видет? У меня NOD32, автоматически постоянно(2-3 раза в день) обновляется...Я слышал,с Вистой проблемы раньше были,она старые бутовые вирусы 10-летней давности не видела,но у меня не Виста и вируса перечисленные yurfed, не старше 4х :) лет ...В чем причина?

троян нулевого ринга? » Для ядра Windows есть так называемые "кольца защиты". Само ядро это нулевое кольцо. Системные службы, антивирусы, фаерволы - первое и второе кольцо, третье кольцо - обычные программы, игры и тп.
Про вирус ломающий нулевое кольцо не слышал. Просто в следующую перезагрузку винда будет убита наповал, и, как в анекдоте - "сказали в морг, значит в морг"
Почему мой антивирус ничего не видет? » Эх, не одним НОДом живы.
Ссылки выше глядел? Пробовал выполнить? Если да, то логи в студию.