Словил каким-то образом  вирусню. Как, пока не понятно. Компы щас
недоступны, описываю по памяти. Есть 3 компа, один сервер терминалов, второй SQL, третий интернет сервер. Начались глюки, причем одновременно со всеми серваками, сетевые папки недоступны, интернет отрубается.
Перезагружаю компы, все работает. Через какое-то время инет не работает, сетевые папки недоступны, т.е. не пингуются, через два слэша на комп не зайдешь. Радмином к сервакам подрубаюсь. Сетевые папки недоступны с клиентских машин. 1С и терминал крутится нормальнопока. Проблема в том что на ночь остаться не получится, серверная находится в помещении, которое закрывается на ночь. т.е. толкьо завтра с утра смогу продолжить.
Что обнаружил методом научного тыка - служба server не запускается, после перезагрузки перезапускается, через какое то время глохнет.
Кто с подобным сталкивался? Я так понимаю, надо через лив CD загружаться, и проверять все. Только чем проверить то? Курейтом наверно не получится, там дисковые массивы, драйвера понадобятся.
Что посоветуете? Просьба сразу не пинать, я не профессиональный админ, я скорее одноэсник который админом еще работает. )

дополнительные вопросы будут, задавайте. Отвечу как смогу.

AD есть?

Аа ты тут. Наверное я знаю хто это. Последнее время постоянно руки в крови по локоть. Сетка досталась, юзеры самое новомодное выцепляют. Конфикер поди А, АА или АЕ?

(2) есть DC и PZ. брать будешь?

Счас логи откопаю, вспомню, какой ключ, посмотришь в реестре.

(3) Слушай, у меня на локальном компе как раз Эсет смарт секурити на конфискер ругался.

Приду, гляну, а то Нод удалил, а где логи удаления вирусов я второпях не нашел. По крайней мере буду знать с чем бороться.
(3) Как лечил?

Это другой случай. У меня просто было идин раз в одном магазине. Зараза через политику закрывала сетевой доступ. Здесь, видимо, что-то похуже.

Чо говорил, что попытка доступа по фтп к порту ххх ? Или Или на Документ енд систем каталоги ?

енд сеттинг пардон

Посмотри параметр тут, что за файл у тебя ?
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll

Печать поди первая отвалилась

(9) Когда говорит?

(12) нет, на печать не ругались.
>>Посмотри параметр тут, что за файл у тебя ?
>>HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll
Только завтра посмотреть могу.

Ну в отчете. Антивир. НОД у меня. Давай определимсо сначала кто это у тебя. Все описаловки в Инете неполные. Ручками маленько надо. К сервваку удаленный есть ?

Есть опыт лечения Confiscera.X (один из симптомов - не работает www.microsoft.com)
//
Значитт - ищи в SYSTEM32 файл dll с установленными всеми атрибутами. Дальше запускаешь Process Explorer - находишь какой процесс этот файл держишь - грохаешь его, переименовываешь найденную DLL-ку. Перезагружаешся.
Дочистить можно KidoKillerom

Ааа. Давай завтра. Я на вахте буду с утра. Лечица все. Без потерь.

(17) ну прям уж и без потерь... и прям побитые экзешники восстанавливаются?

(16)Этот файл тут в параметре прописан (11)

Че вы жути нагоняете. Еще ничего не ясно. Скажите ХТО, скажем ЧТО ;)

Только еще надо найти этот параметр, т.к. вирус под разные имена маскируется
(18)Это вирус экзешники не бьет

(16) Попробую.
(17) Хорошо, если пробиться смогу. Эта зараза инет первым делом глушит. )
кидокиллер щас ищу, про какую то заплатку еще пишут от микрософта.

(21) >> Лечица все. Без потерь.
или я неправильно понял?

(22)и не одну заплатку
я вот это ставил WindowsXP-KB958644-x86-RUS.exe

(21)netsvcs\Parameters\ServiceDll этой части ветки в норме нет. Искать ненать. Есть раздел. Значит вируз тама.

(25) Понял, посмотрю.
(24) я тут смотрю. http://www.secureblog.info/articles/395.html

WindowsXP-KB958644-x86-RUS.exe длс СП3 для других смотреть надо

как я понял вирус маскируется под одну из служб с разными именами - отличить вирус от оычной службы не так уж и легко

вот это качаю. http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=a0058f39-6dea-4dfc-9dd6-4cb45b305dec

ТУта ониhttp://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

Только ты зря суетишься. Узнай сначала, кого ловишь. Он стопудова неодин.

Странный какойто вирус. Нафига инет то глушить? Какой в этом сокровенный смысл?? Просто хочется посмотреть в глаза такому программисту. Это ведь надо додуматься до такого.
Типа, с утра проснулся, умылся, позавтракал, и что-бы еще такого сделать??
Ааа! Напишу ка я такой вирус, который инет людям обрубает.
Ппц...
Вот троян - правильный вирус. А это хрень какая-то. От безделья.

(31)он не просто интернет глушит а только сайты с антивирусами и обновления майкрософт

(32) На самом интернет сервере инет вроде есть. Он его в другие компы не раздает. Причем выборочно как то. Походу как то права глушит. т.е. на каких то машинах открывает сетевые папки на каких то нет.
(33) Сайт касперского на моей локальной машине открылся без проблем, на сервере не проверял радмином. Поэтому я сначала и подумал что это не конфискер, я тоже сначала на него подумал.

(31) Ты прав, курейтом пройдусь сначала. Вот только как ливсиди на райдовые массивы натравливать, я хз. У меня ни одного свежего антивируса на загрузочном диске нету. (

Да ненать никаких загрузчиков. Не усложняй.
Вот это у НОДА качни EConfickerRemover.exe

(33) ну тем более. какой в этом практический смысл самому песателю? времени наверное валом.

Вот это у каспера качни Virus Removal Tool вот в таком архивеsetup_7.0.0.290_31.01.2009_12-01.exe ну счас мот дата другая. И вместе с курейтом наперегонки пусти. Если монитор какойнить антивирусный стоит, то по событию попытка доступа к файлу отмониторит. А когда одним сканишь, неловит.

Но вопще все извесно где лежат и как ремувить. Тока определись кто. И не подрывайся по ложным тревогам. А то наэкспериментируешься, как я.  Вдосталь

(38) Аха, запущу. Сканер стоит от доктора веба, лицензионный причем. Не отловил, зараза.

Сканер или монитор ?

КИСу ставьте за 3 года проблем небыло, скта у них переход по спец.цене

(41) И то и другое есть.

Всех вирусопесателей надо собрать, и отправить в сибирь - лес валить.
Времени у них много. Все равно ничего полезного не делают. А бумага нам скоро понадобится - деньги печатать.

(44)+100, но иногда надо и америку припугнуть

на сервирах нету у тебя вируса
райком прав про конфикер, но это уже АЕ
решение твоей проблемы вести 700 кб
и лежит у МС

(46) Заплатка от Микрософта?

Монитор оставь активных и пускай курита с каспером вдогонку. Каспер ползовательские каталоги хорошо чистит ДОкумент енд сеттинг. А копия у него есче в Систем вольюм информейшн. Оттуда тока курит достает, но не удалаяет. Но имя отмечает. Потом если чо руками.

:)) О. Танки на поддержку приехали

Оки, завтра отпишусь, если получится.

Если не получится, придется разрешения выбивать на работу в воскресенье. Помещения охраняемые крепко.

(42) добро от каспера на 50 машинах, результот отлова никакой
хотфикс
http://www.microsoft.com/downloads/details.aspx?familyid=F26D395D-2459-4E40-8C92-3DE1C52C390D&displaylang=ru
...

(48)НОД32 тоже находит вирусы в Систем вольюм информейшн

распространяется джипегами и гифами
сам сервером что в сети подопечного на 68хх порт

>> распространяется джипегами и гифами
Этот вирус так распространяется? т.е. в джипег можно засунуть исполняемый код?

пример хода событий, попытка записи в ресурс который казалось бы не доступен
(в примере специально была облегчена задача проникающему, чтобы вчленить поскорее откудова)

Тип события:    Аудит отказов
Источник события:    Security
Категория события:    Вход учетной записи
Код события:    675
Дата:        17.02.2009
Время:        14:26:40
Пользователь:        NT AUTHORITY\SYSTEM
Компьютер:    SERVER2003
Описание:
Ошибка предварительной проверки:
   Имя пользователя:    Греков
   Код пользователя:    PROJECTSERVICE\Греков
   Имя службы:    krbtgt/PROJECTSERVICE.RU
   Тип предварительной проверки:    0x2
   Код ошибки:    0x18
   Адрес клиента:    192.168.1.56
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

Тип события:    Аудит отказов
Источник события:    Security
Категория события:    Вход учетной записи
Код события:    680
Дата:        17.02.2009
Время:        14:26:40
Пользователь:        NT AUTHORITY\SYSTEM
Компьютер:    SERVER2003
Описание:
Попытка входа выполнена:    MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа:    Греков
Исходная рабочая станция:    MASLOV
Код ошибки:    0xC000006A
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

Тип события:    Аудит отказов
Источник события:    Security
Категория события:    Вход/выход
Код события:    529
Дата:        17.02.2009
Время:        14:26:40
Пользователь:        NT AUTHORITY\SYSTEM
Компьютер:    SERVER2003
Описание:
Сбой входа в систему:
   Причина:    неизвестное имя пользователя или неверный пароль
   Пользователь:    Греков
   Домен:        PROJECTSERVICE
   Тип входа:    3
   Процесс входа:    NtLmSsp
   Пакет проверки:    NTLM
   Рабочая станция:    MASLOV
   Имя вызывающего пользователя:    -
   Домен вызывающего:    -
   Код входа вызывающего:    -
   Код процесса вызывающего:    -
   Промежуточные службы:    -
   Адрес сети источника:    192.168.1.56
   Порт источника:    0
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".


Тип события:    Аудит успехов
Источник события:    Security
Категория события:    Вход учетной записи
Код события:    672
Дата:        17.02.2009
Время:        14:26:40
Пользователь:        NT AUTHORITY\SYSTEM
Компьютер:    SERVER2003
Описание:
Запрос проверки подлинности:
   Пользователь:    Греков
   Предоставленное имя сферы:    PROJECTSERVICE.RU
   Код пользователя:    PROJECTSERVICE\Греков
   Имя службы:        krbtgt
   Код службы:        PROJECTSERVICE\krbtgt
   Параметры билета:    0x40810010
   Код результата:    -
   Тип шифрования билета:    0x17
   Тип предпроверки:    2
   Адрес клиента:    192.168.1.56
   Имя издателя сертификата:    
   Серийный номер сертификата:    
   Отпечаток сертификата:    
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

Тип события:    Аудит успехов
Источник события:    Security
Категория события:    Вход учетной записи
Код события:    673
Дата:        17.02.2009
Время:        14:26:40
Пользователь:        NT AUTHORITY\SYSTEM
Компьютер:    SERVER2003
Описание:
Запрос билета службы:
   Пользователь:    Греков@PROJECTSERVICE.RU
   Домен пользователя:    PROJECTSERVICE.RU
   Имя службы:    SERVER2003$
   Код службы:    PROJECTSERVICE\SERVER2003$
   Параметры билета:    0x40800000
   Тип шифрования билета:    0x17
   Адрес клиента:    192.168.1.56
   Код ошибки:    -
   Код GUID:        {a7c98ef4-83bc-837e-cf7f-5757ac0add01}
   Промежуточные службы:    -
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".


Тип события:    Аудит успехов
Источник события:    Security
Категория события:    Вход учетной записи
Код события:    673
Дата:        17.02.2009
Время:        14:26:40
Пользователь:        NT AUTHORITY\SYSTEM
Компьютер:    SERVER2003
Описание:
Запрос билета службы:
   Пользователь:    Греков@PROJECTSERVICE.RU
   Домен пользователя:    PROJECTSERVICE.RU
   Имя службы:    krbtgt
   Код службы:    PROJECTSERVICE\krbtgt
   Параметры билета:    0x60810010
   Тип шифрования билета:    0x17
   Адрес клиента:    192.168.1.56
   Код ошибки:    -
   Код GUID:        {a7c98ef4-83bc-837e-cf7f-5757ac0add01}
   Промежуточные службы:    -
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

Тип события:    Аудит успехов
Источник события:    Security
Категория события:    Вход/выход
Код события:    576
Дата:        17.02.2009
Время:        14:26:40
Пользователь:        PROJECTSERVICE\Греков
Компьютер:    SERVER2003
Описание:
Присвоение специальных прав для нового сеанса входа:
   Пользователь:    Греков
   Домен:        PROJECTSERVICE
   Код входа:    (0x0,0x51C29B)
   Привилегии:    SeSecurityPrivilege
           SeBackupPrivilege
           SeRestorePrivilege
           SeTakeOwnershipPrivilege
           SeDebugPrivilege
           SeSystemEnvironmentPrivilege
           SeLoadDriverPrivilege
           SeImpersonatePrivilege
           SeEnableDelegationPrivilegeДополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".


Тип события:    Аудит успехов
Источник события:    Security
Категория события:    Вход/выход
Код события:    540
Дата:        17.02.2009
Время:        14:26:40
Пользователь:        PROJECTSERVICE\Греков
Компьютер:    SERVER2003
Описание:
Успешный сетевой вход в систему:
   Пользователь:    Греков
   Домен:        PROJECTSERVICE
   Код входа:        (0x0,0x51C29B)
   Тип входа:    3
   Процесс входа:    Kerberos
   Пакет проверки:    Kerberos
   Рабочая станция:    
   Код GUID:    {22513c25-ff49-a753-f41f-739baf332799}
   Имя вызывающего пользователя:    -
   Домен вызывающего:    -
   Код входа вызывающего:    -
   Код процесса вызывающего:    -
   Промежуточные службы:-
   Адрес сети источника:    192.168.1.56
   Порт источника:    0
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".


Тип события:    Аудит успехов
Источник события:    Security
Категория события:    Доступ к объектам
Код события:    560
Дата:        17.02.2009
Время:        14:26:40
Пользователь:        PROJECTSERVICE\Греков
Компьютер:    SERVER2003
Описание:
Объект открыт:
   Сервер объекта:    Security
   Тип объекта:    File
   Имя объекта:    C:\WINDOWS\system32\jscpko.cru
   Код дескриптора:    6700
   Код операции:        {0,5358256}
   Код процесса:    4
   Имя файла рисунка:    
   Основной пользователь:    SERVER2003$
   Основной домен:    PROJECTSERVICE
   Основной код входа:    (0x0,0x3E7)
   Пользователь-клиент:    Греков
   Домен клиента:    PROJECTSERVICE
   Код входа клиента:    (0x0,0x51C29B)
   Доступ:        READ_CONTROL
           Запись данных (или добавление файла)
           Добавление данных (или добавление подкаталогов, или создание копии канала)
           WriteEA
           ReadAttributes
           WriteAttributes
           
   Привилегии    -
   Ограничения:    0
   Маска доступа:    0x20196
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

Тип события:    Аудит успехов
Источник события:    Security
Категория события:    Доступ к объектам
Код события:    562
Дата:        17.02.2009
Время:        14:26:40
Пользователь:        NT AUTHORITY\SYSTEM
Компьютер:    SERVER2003
Описание:
Закрытие дескриптора:
   Сервер объекта:    Security
   Код дескриптора:    6700
   Код процесса:    4
Имя файла рисунка:    
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

Тип события:    Аудит успехов
Источник события:    Security
Категория события:    Доступ к объектам
Код события:    560
Дата:        17.02.2009
Время:        14:26:41
Пользователь:        NT AUTHORITY\SYSTEM
Компьютер:    SERVER2003
Описание:
Объект открыт:
   Сервер объекта:    Security
   Тип объекта:    File
   Имя объекта:    C:\WINDOWS\system32\jscpko.cru
   Код дескриптора:    920
   Код операции:        {0,5365055}
   Код процесса:    360
   Имя файла рисунка:    C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
   Основной пользователь:    SERVER2003$
   Основной домен:    PROJECTSERVICE
   Основной код входа:    (0x0,0x3E7)
   Пользователь-клиент:    -
   Домен клиента:    -
   Код входа клиента:    -
   Доступ:        DELETE
           
   Привилегии    -
   Ограничения:    0
   Маска доступа:    0x10000
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".


Тип события:    Аудит успехов
Источник события:    Security
Категория события:    Доступ к объектам
Код события:    567
Дата:        17.02.2009
Время:        14:26:41
Пользователь:        NT AUTHORITY\SYSTEM
Компьютер:    SERVER2003
Описание:
Попытка доступа к объекту:
   Сервер объекта:    Security
   Код дескриптора:    920
   Тип объекта:    File
   Код процесса:    360
n    Имя файла рисунка:    C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
   Доступ:        DELETE
           
   Маска доступа:    0x10000
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

(55) не совсем так, джипег не джипег, с указанием миметипа

+(57) при нормальном положении дел, до антивируса дело не доходит, отклоняет штатный ДЕП

но службы останавливаются само собою

(59) DEP у меня принудительно на всех компах отключен. Глюкавый.

а так - настраивайте всегда аудит безопасности на серверах и смотрите события Отказа

У меня ДЕП на ХП по дефолту. Помоему отключен.

(63) Его  можно только через бутини отключить.

Асю глянь.

(65) Ты  мне?

(64) в общем затыкай сперва серваки хотфиксом, а потом уже спокойно разглядывай сеть

(67) Понял, спасибо.

Не. Ковычке :)

(69) тебе кстати точно спасибо за открытие конфикера народу, сразу вспомнил твою эпопею когда Игорь жаловаться стал...

Ну, раз пошла такая пьянка...
Smaharba, подскажи пожалуйста по Радмину.
У меня кадый день такая картина:
2009.02.11 11:44 Connection from 210.192.120.87 was closed because of FilterIp restrictions
2009.02.11 18:07 Connection from 210.192.120.87 was closed because of FilterIp restrictions
2009.02.13 09:49 Connection from 218.28.87.222 was closed because of FilterIp restrictions
2009.02.13 13:39 Connection from 24.44.145.47 was closed because of FilterIp restrictions
2009.02.13 19:47 Connection from 81.21.36.94 was closed because of FilterIp restrictions
2009.02.13 20:16 Remote Administrator server is started
2009.02.13 20:32 Remote Administrator server is started
2009.02.14 04:07 Connection from 189.74.8.62 was closed because of FilterIp restrictions
2009.02.14 12:55 Connection from 213.60.143.81 was closed because of FilterIp restrictions
2009.02.15 14:15 Remote Administrator server is started
2009.02.16 19:04 Remote Administrator server is started
2009.02.17 07:26 Connection from 124.3.124.70 was closed because of FilterIp restrictions
2009.02.17 08:51 Connection from 124.3.124.70 was closed because of FilterIp restrictions
2009.02.17 09:32 Connection from 172.16.40.58 was closed because of FilterIp restrictions
2009.02.17 21:59 Remote Administrator server is started
2009.02.17 23:40 Connection from 124.3.124.70 was closed because of FilterIp restrictions
2009.02.18 07:23 Connection from 124.3.124.70 was closed because of FilterIp restrictions
2009.02.18 07:52 Connection from 119.161.181.213 was closed because of FilterIp restrictions
Радмин стоит недавно. Интересно, откуда столько народу узнало, что у меня что-то стоит, и может ли мой комп в итоге с кем нибудь согласиться и пропустить?

(61)
> DEP у меня принудительно на всех компах отключен. Глюкавый.

Спасибо, посмеялся :)))

(70) Асю помацай :)

(73) запустил
(71) радмин не переношу на дух ))
но тут не суть важно конечно, надо только для доверенных адресов, или на крайняк диапазона адресов

(74)Статус проверяю-ты в сети, а значек красный. Мессаги не идут.

(0)о, как! с 7 вечера вчера до 5 утра сегодня бился с ним. антивирусы не видят ничего, потому как видеть нечего. есть приложение, ломится на порт 1190 по юдп (особенно весело, если с самого сервака и ломится), у мелкомягких уязвимость в системе - ложится служба Обозреватель компьютеров.

победил kb958644:
http://support.microsoft.com/?kbid=958644
http://www.microsoft.com/rus/technet/security/bulletin/MS08-067.mspx

(76) обозреватель пох, он вторичен...
но ноги теже конечно, там способ давний получения особых привилегий (не путать с админскими и прочими зверями)

а суть то той басни, нех работать локальными админами и все.

(76) По UDP ? У меня по фтп случайный порт. зукакака, а!

(0) это обычный червь. в класификации каспера KIDO. можешь почитать на нем у каспера прям на главной странице, про лечилки там же. я с таким в январе боролся.

KIDO и конфискер это один и тот же вирусняк? А то я жуе запутался.

*уже

(82) да.

http://forum.kaspersky.com/index.php?showtopic=99451

весело... Но зато хоть что-то понятно.

(82) на самом деле это пипец. :) я его три дня мочил..

1. всем локальным админам и админам домена смени пароли на сложные, т.к. вирь легкие подбирает, если он подобрал, то распрострняется официально и за минуту по всей сети.

2. на зараженных машинах не используй команду run as (запустить от имени) ибо произойдет см. п.1

3. распространяется в легкую через флэши.

теперь как лечить..

(в идеале)
отрубаешь зараженную машину от сети, лечишь бесплатно тулзой от любого антивир вендора. (она уже даже у мелкософта есть). затем ставишь заплатки, затем перегружаешься, подрубаешь сеть.
(ЭТО ПРИ УСЛОВИИ ЧТО ПАРОЛИ АДМИНА УСТОЙЧИВЫЕ)

(когда сервера/компы нельзя отрубать от сети)
берешь и ставишь на все машины SEP, через неделю все вымрет. ну и заплаты ессна. и вобще подними в домене WSUS сервер, пусть авоматически обновления стявятся, тогда проблем знать не будешь.

SEP - это что?

все, я спать.

(77)у меня именно обозреватель рубился. раз в несколько часов, ну и картинка из (0) получалась. стартовали ручками - все ок до следующего отрубания.

а про вири: дрвеб, нод и каспер, официальные, с последними обновлениями. ни один ничего не нашел. в сети 5 серверов, 3 со всеми обновлениями работали нормально, а 2 без были, их и рубило.

Эсет смарт секурити нашел Conficker.AG - ставлю на серваки заплатки, меняю админские пароли, кидокиллера запускаю.

>> берешь и ставишь на все машины SEP
Не понял что это означает.

о, ты на месте?. ушел за попкорном. щас будет триллер реалтайм. убийства там всякие... погони...

:))

(92) Типа того.

борюсь сейчас с кидо на машинке друга. пока идёт первый раунд. работает утиль от мелкомягких. уже час лопатит комп. подозрительно мало заражённых объектов. всего 11...

у меня ни доктор веб ни курейт не находит на серваках ничего. Локальные машины пока не проверял.

Сеть то хоть отрубил ?

(97) Неа, я сразу заплатки поставил, прошелся кидокиллером и ремувером. Перезагрузился, по крайней мере инет пока работает.

Модификации не понял насколько существенно рознятся. Сам когда АА лечил, описалово внятное только на А было. Прошло 1.5 м-ца и вот G и E появились. Я думаю за такое время принципиально нового ничего.
Посмотри C:\WINDOWS\Prefetch там пиф файл должен быть на вызов файла который в систем32 валяеца и в ключе прописан из (11) И хорошо просмотри C:\Documents and Settings\NetworkService и пользовательские локал сеттинги. все екзешники там убирай

(89) ты просто не обратил внимания на другие службы...
обозреватель там же, но он может еще по ряду причин останавливаться...

Вот сами событие приложения, но в (57) все причины.
...
Ошибка приложения svchost.exe, версия 5.2.3790.1830, модуль unknown, версия 0.0.0.0, адрес 0x7c90568c.
....
Системе событий COM+ не удалось создать копию подписчика {D3938AB0-5B9D-11D1-8DD2-00AA004ABD5E}.  StandardCreateInstance было возвращено значение HRESULT 80070422.
...
Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=projectservice,DC=ru. Этот файл должен находиться в <\\projectservice.ru\sysvol\projectservice.ru\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (Попытка выполнить операцию для несуществующего сетевого подключения. ). Обработка групповой политики прекращена.
....

(100) Да негрузи ты их лишней инфой. Для того чтоб с ней работать нада квалю иметьтакую как у тебя. Пацкажи людя куда пойти и чего удалить. :)

да еще одно важное событие пропустил, добавление или запись файл, ирдет цепочка
отказ
отказ
отказ
успех
отказ (вот тут попытка записи в svchost жертвы)

Что помогло на моей конкретно локальной машине.
1) Поставить заплатки из http://forum.kaspersky.com/index.php?showtopic=99451  - конкретно на XP естессно, на сервеки соответственно 2003
2) Смена пароля локального админа
3) Прошелся кидокиллером и EConfickerRemover.exe
4) перезагрузка.

(101) тыж уже написал
а так еще заглянуть в system32\config\systemprofile\local lettings\temporary internet files
и поискать джипеги и прочие рисунки, вообще можно и все убить
но лучше сперва глянув на содержимое index.dat там можно найти строчку указывающую откудова на машине взялся зараз...

(91) symantec endpoint protecion

(104)О! Точно, ая есче в эту дупу не заглядывал. Тоже та есче помойка наверно

Все содержимое
C:\Documents and Settings\ххххххх\Local Settings\Temporary Internet Files\Content.IE5
Снес на_йуг тоже. Но там индексы и даты не даются, тогда под другим логином заходишь и рубишь.

А что такое вирусы?

Ну че, на серваки заплатки поставил, свою машину и помощника зачистил. Все работает пока. Но вот смотреть компы каждого пользоватяля - брррр. Как вычислить зараженные компы? У большинства пользователей вроде все работает. 1С у них и раньше работала у всех, у немногих, у кого инет есть, вроде тоже работает. Сетевая общедоступная папка "Документы" у всех (вроде) открывается. Тупо каждый комп смотреть?  Имхается мне, что после постановки заплаток на серваки, он уже сервакам не угрожает, а локальные компы можно в случае жалоб вычистить просто.

(109) настрой аудит безопасности, в событиях отказа всех и выловишь

(110) Настраиваю как тут написано. http://www.microsoft.com/rus/technet/security/prodtech/windowsserver2003/w2003hg/s3sgch04.mspx
Будем посмотреть.

(111) самое простое, установить из компонент мастер настройки безопасности, внимательно его настроить и сохранить полученную политику

хотя конечно, он мастер то мастер, но обращения требует к себе очень нежного

(100)да точно говорю, нет там ничего. логи вот сейчас пересмотрел, они сохранились. может там несколько разновидностей? пока шарился по инету, видел, что у людей еще службы Сервер и Рабочая станция ложились.

Кстати, кидокиллер не находит ниче. Только заплатку поставить помогает, и то, при запуске перезагрузки выдает сообщения типа, что этот процесс был закрыт виндовсом.  Надо вручную поискать будет в понедельник.

(115) "процесс был закрыт винд" - это (100)
нету у тебя на сервере вируса, это в сети...(вернее на одном достаточно)
(114) логи аудита безопасности по умолчанию с низким уровнем логирования
в журнале приложений точно был (100) другое дело, что старые события уже могут быть затерты.

(115) заплатка одна, и про нее тут все написали

(109) у тебя все машины в сети заражены. это раз. как только под админом зайдешь на зараженной машине, серваки упадут это два.

т.ч. ставь SEP он будет выдавать с какого ip атака. потом удалишь. все это централизованно.

(109) на всех машинах отключена служба windows update - это три :)

(118) Заражены не все, это раз. Даже если под админом на локальную машину зайдут, то серваки не упадут, максимум, компы в локалке заразятся снова, и то сомневаюсь, я заплатку уже на половине поставил.
Винапдейт на локальныхмашинах ставить незачем, я лучше потом сервиспак 3 поставлю.
Ну и что такое SEP скажи наконец, это три. )

(120) еще раз, для тех кто в танке, если ты зайдешь на зараженную машину под админом, то вирусу по-барабану на твои сервис паки, он официально устанавливается на все машины от имени администратора. скорость распространения компов 50 минуты за 2.

о sep читай пост 105 :-)

(120) У меня как раз все нчалось после установки СП3. Потом поставил заплатки.

(122) и правильно sp3 не включает в себя эти заплатки, заплатки вышли много позже.

(121) Задумался. Лано, везде заплатки поставлю в понедельник, пока опять не врезало.

(0)И меня накрыло... А НОД до сих пор не ловит...

(125)Какой к тебе пожаловал ?

(125) У тебя наверное какая-то машина без антивируса зараженная стоит. Заплатки везде ставь, в первую очередь на серваках.

(126)Этот же. Который службу прибивает

Ждем еще...
http://hi-tech.mail.ru/news/item/2962/

Пройдись по свичам и хабам...сбрось их все...думаю поможет.

(130)При чем тут хабы, если служба отключается?

У меня нод Эсет смарт секурити от Нода отловил этот Конфискер. Эсет еще одновременно фаирвел. И вообще он лучше вирусы ловит, чем доктор Веб лицензионный.

(132)Скоко стОит?

(133) Хз. У меня везде лицензионный стоит, а на моем рабочем месте параллельно еще и эсет. Бесплатный. )

Кидошку покилял. Теперь вопрос:
нет ли у кого пакетничка, чтобы путем

net user Юзерь НовыйПароль

всем кагалом поменять?

У меня тоже самое в сети гуляет!
Пошел все посты читать.

- У вас в локальной сети Конфискер или Кидо был?
- нет, вроде.
- Будут!

Одинэснек, который еще и админ. Какие вопросы тогда?

AvirОЙ попробуй полечить, у меня помогало, но на всех компах лечи одновременно, отрубив от сети. от это херни не только СЕРВЕР останавливается, но и звук пропадает периодически

(139)Звуковухи не стоЯт. Пущай вирус обломается:)

от этой хрени еще и принтера сетевые не печатают.

(141) потому что сеть не видит комп, а принтеры сетевые через сеть работают - ЕСТЕСТВЕННО не будут печатать!

(141)Мы, кажись проскочили, пролечились, прозаплАтились. Но вирус появился одновременно с приездом московских ревизоров:) А то б так и сидели в своей деревне без вирусов, как дураки.

(143) чтоб не сидеть без вирусов - как дураки, отключи антивирусы и полазий по порносайтам и станет совсем не скучно очень скоро! ;-)