Просто имел повод подумать на червя. Имеется 2 сервера. С второго на первый переодически регистрируется вход с такими параметрами:
Тип события: Аудит успехов
Источник события: Security
Категория события: Вход/выход
Код события: 540
Дата: 25.10.2007
Время: 15:47:31
Пользователь: NT AUTHORITY\АНОНИМНЫЙ ВХОД
Компьютер: SERVER1
Описание:
Успешный сетевой вход в систему:
Пользователь:
Домен:
Код входа: (0x0,0x139D8E5)
Тип входа: 3
Процесс входа: NtLmSsp
Пакет проверки: NTLM
Рабочая станция: SERVER2
Код GUID: -
Имя вызывающего пользователя: -
Домен вызывающего: -
Код входа вызывающего: -
Код процесса вызывающего: -
Промежуточные службы:-
Адрес сети источника: 10.10.1.##(SERVER2 - моя коментария)
Порт источника: 0
Первый сервер иногда перегружается, выдавая следующее:
Цитата yurfed:
Сет, должен. Но вопрос этот явно не по адресу.
Кстати, мог бы его и он-лайн проверить. »
|
Если должен,то почему на моем компе и на первом сервере в папке C:\WINDOWS.0\system32\dllcache файла dllhost.exe нет. Онлайн проверил, ничего не найдено.
Очень похожее описано здесь:
http://forum.ixbt.com/topic.cgi?id=67:23
Только дата там...немного устаревшая
По совету проверил реестр и папку WINS на всех 3х компах - ничего.
Только SERVER1 перегружается сам по себе, причем вчера раза 3, правда сегодня все спокойно...
Кстати,любопытствовал по поводу количества файлов dllhost.exe. По ссылке написано:
http://www.securitylab.ru/processinfo/265827.php
Файл с dllhost.exe всегда расположен в папке C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно более сотни вирусов и сетевых червей, использующих имя DLLhost.exe для скрытия своей активности в системе.
