| koljan-2008 |
21-11-2013 02:29 2258947 |
подозрительное поведение на Win Server 2008
Здравствуйте. У нас на предприятии возникла следующая проблема: мы работаем в терминальном режиме на сервере с ОС Win Server 2008. В основном вся работа в программе 1С предприятие. И недавно у нас пропали пару документов ( в течение недели), потом год на контракте сбился. В чем проблема - найти пока не можем, но варианта два: или криво встало обновление 1С, или все таки завелся вирус на сервере. Скачал у вас AVZ, просканировал, отправляю вам логи - помогите, пожалуйста, разобраться в чем дело
|
Пожалуйста, сначала
1) Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
var PathAutoLogger, CMDLine : string;
begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog(PathAutoLogger);
SaveLog(PathAutoLogger+'report4.log');
CMDLine := 'a "' + PathAutoLogger + '\Report.zip" "' + PathAutoLogger + '\report*.log"';
ExecuteFile('7z.exe', CMDLine, 0, 15000, true);
end.
архив Report.zip из папки с AutoLogger пожалуйста прикрепите к своему сообщению.
2)
Цитата:
Цитата koljan-2008
мы работаем в терминальном режиме »
|
логи из терминального режима бесполезны, переделайте с консоли. |
| koljan-2008 |
22-11-2013 02:06 2259641 |
Здравствуйте. Запустил скрипт, архив вылаживаю.
|
Цитата:
Цитата regist
логи из терминального режима бесполезны, переделайте с консоли. »
|
это тоже нужно :) |
| koljan-2008 |
23-11-2013 14:11 2260393 |
Цитата:
Цитата regist
логи из терминального режима бесполезны, переделайте с консоли. »
это тоже нужно »
|
сейчас пока не на работе. завтра, надеюсь, получится сделать, выложу сразу логи |
| koljan-2008 |
25-11-2013 02:18 2261137 |
Сделал логи по вашей рекомендации. Запускал через консоль.
|
Цитата:
Цитата koljan-2008
Запускал через консоль. »
|
А как же в логе запись?
Цитата:
Сканирование запущено в 25.11.2013 08:00:39
...
...
AVZ работает с правами администратора,AVZ запущен из терминальной сессии (RDP-Tcp#0)
|
|
| koljan-2008 |
25-11-2013 04:53 2261155 |
Я думал, что "с консоли" - это именно запуск через меню пуск, выполнить, а запустить можно и через удаленный рабочий стол. Получается, мне надо зайти с самого компьютера и запускать через меню пуск, выполнить? Правильно?
|
| koljan-2008 |
25-11-2013 10:57 2261251 |
Спасибо. Завтра с утра все сделаю как надо и выложу.
|
| koljan-2008 |
26-11-2013 02:58 2261678 |
Переделал как надо. Извините за предыдущую ошибку
|
koljan-2008, По логам ничего не увидел. Всё чисто. Вряд ли бы вирус избирательно удалял файлы, либо удалил бы все. Нынче популярны вирусы, которые шифруют документы и за восстановление их вымогают деньги.
Может кто-то что-то нахимичил и не признаётся?
Всё же дождитесь на всякий случай, пусть ещё ребята выскажутся по вашему случаю.
|
| koljan-2008 |
27-11-2013 02:05 2262190 |
Drongo, хорошо, что чисто. подожду на всякий случай, но думаю, что не изменится ничего.
|
| koljan-2008 |
27-11-2013 17:47 2262591 |
Благодарю за помощь! Вопрос закрываю
|
Время: 19:12.
© OSzone.net 2001-
