Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Проблема с DC на Windows Server 2003R2

Ответить
Настройки темы
Проблема с DC на Windows Server 2003R2

Аватара для Destruction

Ветеран


Сообщения: 1666
Благодарности: 164


Конфигурация

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: zip hijackthis.zip
(2.4 Kb, 1 просмотров)
DC-сервер на 2003R2

с недавнего времени постоянно в логах на сервере такая ошибка, иногда появляется несколько раз в секунду, судя по времени.

источник sam
id 12294
пользователь domen\Администратор
компьютер server1

описание:
База данных SAM не смогла заблокировать учетную запись Администратор из-за ошибки ресурса, например, ошибки записи на диск (конкретный код ошибки находится в данных об ошибке). Учетная запись блокируется после ввода нескольких неправильных паролей, поэтому, возможно, следует переустановить пароль для указанной выше записи.

так же судя по логам время от времени отваливается службs Update Services, Сервер, Инструментарий управления. Еще вылетает ошибка следующего содержания:

Ошибка приложения svchost.exe, версия 5.2.3790.1830, модуль kernel32.dll, версия 5.2.3790, адрес 0x0006bed8

поисковики навели на мысль, что это kido/conflicker... пробовал разные утилиты для его поиска и удаления (например, kido killer) - ничего не нашлось, CureIT и Средство удаления вредоносного ПО MS тоже ничего не выявили, однако ошибки валятся даже после установки рекомендуемых MS обновлений для системы. Из-за всего этого у работников постоянно пропадает доступ к сетевым ресурсам и базам 1С, последствия чего могут быть самыми непредсказуемыми. Подскажите, как победить это зло?
ps. логи прилагаю

Отправлено: 22:39, 09-06-2010

 

Аватара для MotherBoard

Старожил


Сообщения: 368
Благодарности: 59

Профиль | Отправить PM | Цитировать


Здравствуйте.
выполните скрипт:

Код: Выделить весь код
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('abp470n5', 4);
 StopService('abp470n5');
QuarantineFile('C:\WINDOWS\system32\drivers\noonnm.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\noonnm.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('abp470n5');  
RebootWindows(true);
end.
Комп перезагрузится
Выполните скрипт

Код: Выделить весь код
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму(http://support.kaspersky.ru/virlab/helpdesk.html). В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.


У вас не kido, а файловый вирус
Почитайте вот здесь информацию
Как лечить файловый вирус

-------
Микросхемы терпят всё, а сломаться может каждый...
Полиморфный AVZ (базы от 07.07.10)


Последний раз редактировалось MotherBoard, 10-06-2010 в 07:36.

Это сообщение посчитали полезным следующие участники:

Отправлено: 23:22, 09-06-2010 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для Destruction

Ветеран


Сообщения: 1666
Благодарности: 164

Профиль | Отправить PM | Цитировать


при попытке выполнить первый скрипт пишет "Ошибка ";" expected в позиции 10:1"... в нем все верно?

Отправлено: 23:52, 09-06-2010 | #3


Аватара для MotherBoard

Старожил


Сообщения: 368
Благодарности: 59

Профиль | Отправить PM | Цитировать


Попробуйте снова! Всё должно сработать... Извините, поправила..

-------
Микросхемы терпят всё, а сломаться может каждый...
Полиморфный AVZ (базы от 07.07.10)

Это сообщение посчитали полезным следующие участники:

Отправлено: 00:04, 10-06-2010 | #4


Аватара для Destruction

Ветеран


Сообщения: 1666
Благодарности: 164

Профиль | Отправить PM | Цитировать


карантин пустой получается...

Отправлено: 00:27, 10-06-2010 | #5


Аватара для MotherBoard

Старожил


Сообщения: 368
Благодарности: 59

Профиль | Отправить PM | Цитировать


Тогда попробуйте отправить вручную файл
C:\WINDOWS\system32\drivers\noonnm.sys
Как отправить файл на анализ

-------
Микросхемы терпят всё, а сломаться может каждый...
Полиморфный AVZ (базы от 07.07.10)


Отправлено: 00:38, 10-06-2010 | #6


Аватара для Destruction

Ветеран


Сообщения: 1666
Благодарности: 164

Профиль | Отправить PM | Цитировать


а разве скрипт его не удалил? я не нахожу такого файла там

Отправлено: 01:00, 10-06-2010 | #7


Аватара для MotherBoard

Старожил


Сообщения: 368
Благодарности: 59

Профиль | Отправить PM | Цитировать


Значит удалилось, но мимо карантина.. такое тоже бывает...(((
Что с проблемами?

-------
Микросхемы терпят всё, а сломаться может каждый...
Полиморфный AVZ (базы от 07.07.10)


Отправлено: 07:34, 10-06-2010 | #8


Аватара для Destruction

Ветеран


Сообщения: 1666
Благодарности: 164

Профиль | Отправить PM | Цитировать


за ночь пока ошибок не было, посмотрим, что будет днем. спасибо!

upd опять полезла ошибка SAM после того, как начался рабочий день. видимо, какая-то гадость ломится с клиентских компьютеров((

Последний раз редактировалось Destruction, 10-06-2010 в 10:10.


Отправлено: 07:54, 10-06-2010 | #9


Аватара для MotherBoard

Старожил


Сообщения: 368
Благодарности: 59

Профиль | Отправить PM | Цитировать


Прежде чем делать логи, выполните AVZ /меню файл/обновление баз
Повторите логи AVZ.
Сделайте лог RSIT(http://images.malwareremoval.com/random/RSIT.exe)

-------
Микросхемы терпят всё, а сломаться может каждый...
Полиморфный AVZ (базы от 07.07.10)


Отправлено: 14:20, 10-06-2010 | #10



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Проблема с DC на Windows Server 2003R2

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Прочее - Проблема в доступе Windows Server 2003 --> Windows 7 Samael24 Сетевые технологии 1 09-06-2010 09:41
Сбои при подключении по RDP на server 2003R2 sao Microsoft Windows NT/2000/2003 15 25-02-2010 19:37
[решено] Проблема с расшаренными папками в Windows Server 2003 for Small Business Server SP1R2 3vs Microsoft Windows NT/2000/2003 5 14-12-2009 09:09
ISA server 2006 в Windows 2003 Server (проблема с пингом на клиенте) DIMAPIKS ISA Server / Microsoft Forefront TMG 9 13-09-2009 19:29
Проблема ввода в домен Windows Server 2003 рабочей станции на Windows 2000 Sp4 MDElamer Microsoft Windows NT/2000/2003 5 22-09-2006 08:19




 
Переход