Подозрение на червь
 

Люди, SOS! Подскажите, кто знает, в папке C:\WINDOWS.0\system32\dllcache должен ли хранится файл dllhost.exe или нет? По идее этот файл должен быть только в C:\WINDOWS.0\system32, если где еще - червь. Кто знает - подскажите,должна ли система копировать его туда?

Сет, должен. Но вопрос этот явно не по адресу.
Кстати, мог бы его и он-лайн проверить.

Наличие вируса можно определить по присутствию в папке windows\system32\wins файлов DLLHOST.EXE и SVCHOST.EXE.
Настоящий dllhost.exe имеет размер файла приблизительно 6 килобайт. Наличие его в папке dllcache не несёт в себе никакой опасности. Инфицированный вирусом W32/Nachi.A dllhost.exe размером (~10,240 bytes) и находится в папке Wins.
Проверте его наличие там. И ещё - в реестре: HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSetServices> если на левой панели имеются RpcPatch и RpcTftpd можете быть уверенны, Ваш компьютер инфицирован.
Не мешало-бы провериться в безопасном режиме или запустить предзагрузочную проверку на вирусы.

Просто имел повод подумать на червя. Имеется 2 сервера. С второго на первый переодически регистрируется вход с такими параметрами:

Тип события: Аудит успехов
Источник события: Security
Категория события: Вход/выход
Код события: 540
Дата: 25.10.2007
Время: 15:47:31
Пользователь: NT AUTHORITY\АНОНИМНЫЙ ВХОД
Компьютер: SERVER1
Описание:
Успешный сетевой вход в систему:

Пользователь:
Домен:
Код входа: (0x0,0x139D8E5)
Тип входа: 3
Процесс входа: NtLmSsp
Пакет проверки: NTLM
Рабочая станция: SERVER2
Код GUID: -
Имя вызывающего пользователя: -
Домен вызывающего: -
Код входа вызывающего: -
Код процесса вызывающего: -
Промежуточные службы:-
Адрес сети источника: 10.10.1.##(SERVER2 - моя коментария)
Порт источника: 0

Первый сервер иногда перегружается, выдавая следующее:


Если должен,то почему на моем компе и на первом сервере в папке C:\WINDOWS.0\system32\dllcache файла dllhost.exe нет. Онлайн проверил, ничего не найдено.
Очень похожее описано здесь: http://forum.ixbt.com/topic.cgi?id=67:23
Только дата там...немного устаревшая:)
По совету проверил реестр и папку WINS на всех 3х компах - ничего.
Только SERVER1 перегружается сам по себе, причем вчера раза 3, правда сегодня все спокойно...

Кстати,любопытствовал по поводу количества файлов dllhost.exe. По ссылке написано:
http://www.securitylab.ru/processinfo/265827.php
Файл с dllhost.exe всегда расположен в папке C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно более сотни вирусов и сетевых червей, использующих имя DLLhost.exe для скрытия своей активности в системе.

Сет, смотри заплатку KB823980 и всё что внизу страницы. Ставь если не стоит.
У тебя вирус MSBlast, Sasser или Lovesan. Пробуем фиксить
Читаем и аккуратно выполняем.

ЗЫ Во ещё

Спасибо за
Очень полезно!
Завтра начну заниматся остольным, потом напишу,что вышло.

Блин, ну и дела :o ...У меня такое подозрение...Люди,ко что знает про троян нулевого ринга? А то в Инете только легенды, да и тех всего пару...Нашол один сайт, но там мало сказано:
http://www.securitylab.ru/forum/inde...7#message55987
Может кто какую ссылку полезную подкинет или так раскажет?
Кстати,вопрос!
Почему мой антивирус ничего не видет? У меня NOD32, автоматически постоянно(2-3 раза в день) обновляется...Я слышал,с Вистой проблемы раньше были,она старые бутовые вирусы 10-летней давности не видела,но у меня не Виста и вируса перечисленные yurfed, не старше 4х :) лет ...В чем причина?

Для ядра Windows есть так называемые "кольца защиты". Само ядро это нулевое кольцо. Системные службы, антивирусы, фаерволы - первое и второе кольцо, третье кольцо - обычные программы, игры и тп.
Про вирус ломающий нулевое кольцо не слышал. Просто в следующую перезагрузку винда будет убита наповал, и, как в анекдоте - "сказали в морг, значит в морг"
Эх, не одним НОДом живы.
Ссылки выше глядел? Пробовал выполнить? Если да, то логи в студию.