Взрослая социальная сеть
Поиск секса поблизости, а также
тематические знакомства и виртуальное общение

ВХОД РЕГИСТРАЦИЯ
Все о сексе Секс чат Блоги Группы

Страницы: (1) 1
Женщина Lilith+
Замужем
08-06-2009 - 11:37
Прошу извинить за бестолковое изложение, опыта никакого, но очень надо.
"Глобальный" сисадмин то ли вредничает, то ли я правда так бестолково объясняю... А локальный программер, с которым я почти дружу, в отпусках.

Короче, в локалке есть сайт для внутреннего пользования.
Адрес к примеру, 10.20.30.40, имя - sitename.
Локалка - изолированный домен с win server 2003.

1. Какие-то компы видят его через браузеры, если в drivers\ets\hostsдобавить запись 10.20.30.40 sitename. Один (как раз тот, что мне нужно настроить) вместо локального сайта выкидывает вот сюда:
CODE
http://www.kwinzi.com/

Что это, как бороться?!

2. Можно как-то локальную DNS настроить, чтобы этого избежать?

3. Наконец, извне локалки, из другой подсети, можно как-то добраться до сайта?

Админский пароль есть, только не сломать ничего.

Свободен
08-06-2009 - 17:04
1. Набирайте не sitename, а имя_компьютера.имя.домена. К примеру: dizzy.office.russia.microsoft.com.
2. И так настроено, если домен есть. Читайте выше. 6)
3. Опубликуйте сервер на роутере/маршрутизаторе... короче на брандмауэре. Кто интернет раздает и чем?

Можно на роутере/маршрутизаторе... короче на внутреннем DNS, который обслуживает домен и прочий интернет поставить жесткое перенаправление на ... по п. 1
Женщина Lilith+
Замужем
08-06-2009 - 17:23
QUOTE (JeyLo @ 08.06.2009 - время: 17:04)
1. Набирайте не sitename, а имя_компьютера.имя.домена. К примеру: dizzy.office.russia.microsoft.com.

попробую... спасибо

QUOTE
2. И так настроено, если домен есть. Читайте выше. 6)

Домен есть, но почему ж с одного только компа я не попадаю? И что это за дурной сайт, куда меня выкидывает?

QUOTE
3. Опубликуйте сервер на роутере/маршрутизаторе... короче на брандмауэре. Кто интернет раздает и чем?

В локалке - некий межсетевой шлюз, одна карта смотрит во внешюю, общеуниверскую подсеть, другая - вовнутрь. Через неё тырнетом и питаемся. А что снаружи делается - не знаю. Посмотреть-то надо как раз снаружи, из общеуниверской сети. Более ничего не знаю. Что надо выяснить?

QUOTE
Можно на роутере/маршрутизаторе... короче на внутреннем DNS, который обслуживает домен и прочий интернет поставить жесткое перенаправление на ... по п. 1


Вот я о чем-то таком и спрашивала... Что это значит в переводе на ламерский? Чего куды ткнуть?

Свободен
08-06-2009 - 18:02
QUOTE (Lilith+ @ 08.06.2009 - время: 17:23)
Домен есть, но почему ж с одного только компа я не попадаю? И что это за дурной сайт, куда меня выкидывает?

Гадать не умею. Судя по контенту, хостеру и названию - ищите вирус. Домен создан 27-Feb-2009 людьми из торонто и хостится в UK. Гы. В правилах открытия новых тем есть описание как.

QUOTE (Lilith+ @ 08.06.2009 - время: 17:23)
В локалке - некий межсетевой шлюз, одна карта смотрит во внешюю, общеуниверскую подсеть, другая - вовнутрь. Через неё тырнетом и питаемся. А что снаружи делается - не знаю. Посмотреть-то надо как раз снаружи, из общеуниверской сети. Более ничего не знаю. Что надо выяснить?

Снаружи и не надо. Уже выяснили, что это брандмауэр. Программный. Кто рулит? Unix? Windows? Кем рулит? ISA? UserGate? route? wink.gif

QUOTE (Lilith+ @ 08.06.2009 - время: 17:23)
Вот я о чем-то таком и спрашивала... Что это значит в переводе на ламерский? Чего куды ткнуть?

Сначала выясним, кто роутит. :) Проще по первому пункту моего предыдущего ответа.
Женщина Lilith+
Замужем
08-06-2009 - 22:27
QUOTE (JeyLo @ 08.06.2009 - время: 18:02)
QUOTE (Lilith+ @ 08.06.2009 - время: 17:23)
Домен есть, но почему ж с одного только компа я не попадаю? И что это за дурной сайт, куда меня выкидывает?

Гадать не умею. Судя по контенту, хостеру и названию - ищите вирус. Домен создан 27-Feb-2009 людьми из торонто и хостится в UK. Гы. В правилах открытия новых тем есть описание как.


QUOTE
QUOTE (Lilith+ @ 08.06.2009 - время: 17:23)
В локалке - некий межсетевой шлюз, одна карта смотрит во внешюю, общеуниверскую подсеть, другая - вовнутрь. Через неё тырнетом и питаемся. А что снаружи делается - не знаю. Посмотреть-то надо как раз снаружи, из общеуниверской сети. Более ничего не знаю. Что надо выяснить?

Снаружи и не надо. Уже выяснили, что это брандмауэр. Программный. Кто рулит? Unix? Windows? Кем рулит? ISA? UserGate? route? wink.gif

На шлюзе этом самом - Windows 2003. А что за звери-то там дальше? Где это смотреть?

QUOTE
QUOTE (Lilith+ @ 08.06.2009 - время: 17:23)
Вот я о чем-то таком и спрашивала... Что это значит в переводе на ламерский? Чего куды ткнуть?

Сначала выясним, кто роутит. :) Проще по первому пункту моего предыдущего ответа.

Проще - это в смысле вводить имя_компа.имя_домена?

Не получается. "IE не может отобразить страницу".

полное имя компа - compname.domainname.local
Что точно надо набирать? compname.domainname.local?
А имя сайта?

Свободен
08-06-2009 - 23:58
QUOTE (Lilith+ @ 08.06.2009 - время: 11:37)
Один (как раз тот, что мне нужно настроить) вместо локального сайта выкидывает вот сюда:
CODE
http://www.kwinzi.com/

Что это, как бороться?!
Админский пароль есть, только не сломать ничего.

Когда будет доступ к проблемной машине, сделайте полную проверку и выложите логи.
https://www.sxnarod.com/index.php?showtopic=226954
kwinzi.com фишинговый сайт(подмена страницы доступа на свою, фейковую) -как раз сделан для того, чтбы воровать пароли, втом числе и админские :) А вот что подменяет эту страницу на вашей машине, можно узнать при помощи логов.
Женщина Lilith+
Замужем
09-06-2009 - 09:03
QUOTE (Semenka @ 08.06.2009 - время: 23:58)
QUOTE (Lilith @ +08.06.2009 - время: 11:37)
Один (как раз тот, что мне нужно настроить) вместо локального сайта выкидывает вот сюда:
CODE
http://www.kwinzi.com/

Что это, как бороться?!
Админский пароль есть, только не сломать ничего.

Когда будет доступ к проблемной машине, сделайте полную проверку и выложите логи.
https://www.sxnarod.com/index.php?showtopic=226954
kwinzi.com фишинговый сайт(подмена страницы доступа на свою, фейковую) -как раз сделан для того, чтбы воровать пароли, втом числе и админские :) А вот что подменяет эту страницу на вашей машине, можно узнать при помощи логов.

Ясно, спасибо.

Свободен
10-06-2009 - 10:42
Выложите HiJackThis лог с сервера. Я уже сам определю и скажу чего делать.
Женщина Lilith+
Замужем
10-06-2009 - 11:36
Именно с сервера? С какого?
Сайт не на доменном серваке.
А шлюз - на третьем.
Хорошо, я попробую с сайта. Только забью конкретные названия, не хочется светить свою партизанщину.
Женщина Lilith+
Замужем
10-06-2009 - 12:12
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:33:42, on 10.06.2009
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
E:\Documents and Settings\{admin}\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Intel\ASF Agent\ASFAgent.exe
E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers\avp.exe
E:\WINDOWS\System32\dns.exe
E:\WINDOWS\system32\inetsrv\inetinfo.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\tcpsvcs.exe
E:\WINDOWS\system32\lserver.exe
E:\WINDOWS\System32\wins.exe
E:\Program Files\Common Files\Microsoft Shared\MSSearch\Bin\mssearch.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\CNAB4RPK.EXE
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\rdpclip.exe
E:\WINDOWS\system32\ctfmon.exe
E:\WINDOWS\Explorer.EXE
E:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPNRA.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBOID.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBOID.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBOID.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBOID.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBOID.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBOID.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBOID.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBOID.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBOID.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
C:\Total Commander\Totalcmd.exe
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBOID.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBOID.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBOID.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBOID.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBOID.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
E:\WINDOWS\system32\taskmgr.exe
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBOID.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBOID.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBOID.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBOID.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBOID.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBOID.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBOID.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBOID.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBOID.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBOID.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBOID.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBOID.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBOID.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
E:\WINDOWS\system32\winlogon.exe
C:\Total Commander\Totalcmd.exe
E:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = E:\WINDOWS\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = E:\WINDOWS\system32\blank.htm
F2 - REG:system.ini: UserInit=E:\WINDOWS\system32\userinit.exe,
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-21-1801674531-73586283-839522115-1131\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe (User '{4}')
O4 - HKUS\S-1-5-21-1801674531-73586283-839522115-1134\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe (User '{5}')
O4 - HKUS\S-1-5-21-1801674531-73586283-839522115-1136\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe (User '{6}')
O4 - HKUS\S-1-5-21-1801674531-73586283-839522115-1137\..\Run: [] (User '{1}')
O4 - HKUS\S-1-5-21-1801674531-73586283-839522115-1138\..\Run: [] (User '{2}')
O4 - HKUS\S-1-5-21-1801674531-73586283-839522115-1140\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe (User '{7}')
O4 - HKUS\S-1-5-21-1801674531-73586283-839522115-1141\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe (User '{8}')
O4 - HKUS\S-1-5-21-1801674531-73586283-839522115-1142\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe (User '{9}')
O4 - HKUS\S-1-5-21-1801674531-73586283-839522115-1148\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe (User '{10}')
O4 - HKUS\S-1-5-21-1801674531-73586283-839522115-1169\..\Run: [] (User '{3}')
O4 - HKUS\S-1-5-21-1801674531-73586283-839522115-1190\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe (User '{11}')
O4 - HKUS\S-1-5-21-1801674531-73586283-839522115-1191\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User '{12}')
O4 - HKUS\S-1-5-21-1801674531-73586283-839522115-1210\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe (User '{13}')
O4 - HKUS\S-1-5-21-1801674531-73586283-839522115-1216\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe (User '{14}')
O4 - HKUS\S-1-5-21-1801674531-73586283-839522115-1235\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe (User '{15}')
O4 - HKUS\S-1-5-21-1801674531-73586283-839522115-1293\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe (User '{16}')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = E:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Service Manager.lnk = E:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://F:\PROGRA~2\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O10 - Broken Internet access because of LSP provider 'e:\documents and settings\{admin}\windows\system32\mswsock.dll' missing
O15 - ESC Trusted Zone: http://mailru.begun.ru
O15 - ESC Trusted Zone: http://body.imho.ru
O15 - ESC Trusted Zone: http://img.mail.ru
O15 - ESC Trusted Zone: http://win.mail.ru
O15 - ESC Trusted Zone: http://www.mail.ru
O15 - ESC Trusted Zone: http://runonce.msn.com
O15 - ESC Trusted Zone: http://*.windowsupdate.com
O15 - ESC Trusted Zone: http://*.windowsupdate.com (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = {Domain}.local
O17 - HKLM\Software\..\Telephony: DomainName = {Domain}.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{C02260AD-5A60-4A96-A391-57CB6B3177F1}: NameServer = 192.168.110.2,192.168.110.8
O17 - HKLM\System\CCS\Services\Tcpip\..\{FE42FB2E-6954-4DEE-8D59-0BFDBACEEB30}: NameServer = 192.168.100.22,192.168.100.77
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = {Domain}.local
O23 - Service: ASF Agent (ASFAgent) - Intel Corporation - E:\Program Files\Intel\ASF Agent\ASFAgent.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers\avp.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBOID.EXE
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - E:\WINDOWS\system32\mnmsrvc.exe


В фигурных скобках - заменённые имена собственные, которые я не могу светить ни при каких обстоятельствах.
Женщина Lilith+
Замужем
10-06-2009 - 12:41
Доменный контроллер:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:18:38, on 10.06.2009
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers\avp.exe
C:\WINNT\system32\cisvc.exe
C:\WINNT\System32\dns.exe
C:\WINNT\system32\nhsrvice.exe
C:\WINNT\system32\inetsrv\inetinfo.exe
C:\WINNT\system32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\lserver.exe
C:\WINNT\System32\wins.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\cidaemon.exe
C:\WINNT\system32\cidaemon.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\rdpclip.exe
C:\WINNT\system32\ctfmon.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers\avp.exe
C:\Wincmd\WINCMD32.EXE
C:\Program Files\{company}\Ref4000\ref4000.exe
D:\ConsultantPlus\cons.exe
D:\ConsultantPlus\vr400003.res
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.sharempeg.com/find/
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.sharempeg.com/find/
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.sharempeg.com/find/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://start.traffer.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.sharempeg.com/find/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://start.traffer.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.50.10.1:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O1 - Hosts: 198.65.164.168 winlink.biz
O1 - Hosts: 198.65.164.168 winlink.ws
O1 - Hosts: 198.65.164.168 ad45.com
O1 - Hosts: 198.65.164.168 www.ad45.com
O1 - Hosts: 198.65.164.168 ad77.com
O1 - Hosts: 198.65.164.168 www.ad77.com
O1 - Hosts: 198.65.164.168 ad86.com
O1 - Hosts: 198.65.164.168 www.ad86.com
O1 - Hosts: 198.65.164.168 ad25.com
O1 - Hosts: 198.65.164.168 www.ad25.com
O1 - Hosts: 198.65.164.168 00hq.com
O1 - Hosts: 198.65.164.168 www.00hq.com
O1 - Hosts: 198.65.164.168 8ad.com
O1 - Hosts: 198.65.164.168 www.8ad.com
O1 - Hosts: 198.65.164.168 searchv.com
O1 - Hosts: 198.65.164.168 www.searchv.com
O1 - Hosts: 198.65.164.168 008k.com
O1 - Hosts: 198.65.164.168 www.008k.com
O1 - Hosts: 198.65.164.170 bis.180solutions.com
O1 - Hosts: 198.65.164.170 bisads.180solutions.com
O1 - Hosts: 198.65.164.170 www.orbitexplorer.com
O1 - Hosts: 198.65.164.170 www.sqwire.com
O1 - Hosts: 198.65.164.170 www.traffichog.com
O1 - Hosts: 198.65.164.170 www.commonname.com
O1 - Hosts: 198.65.164.170 allneedsearch.com
O1 - Hosts: 198.65.164.170 www.yellow500.com
O1 - Hosts: 198.65.164.170 www.008i.com
O1 - Hosts: 198.65.164.170 www.opsex.com
O1 - Hosts: 198.65.164.170 www.onlysex.ws
O1 - Hosts: 198.65.164.170 www.7days.ws
O1 - Hosts: 198.65.164.170 www.xsex.ws
O1 - Hosts: 198.65.164.170 www.700k.com
O1 - Hosts: 198.65.164.170 www.hotbookmark.com
O1 - Hosts: 198.65.164.170 www.runsearch.com
O1 - Hosts: 198.65.164.170 runsearch.com
O1 - Hosts: 198.65.164.170 www.search-about.net
O1 - Hosts: 198.65.164.170 go-all.com
O1 - Hosts: 198.65.164.170 go-acct.com
O1 - Hosts: 198.65.164.170 get-faster.com
O1 - Hosts: 198.65.164.170 get-data.net
O1 - Hosts: 198.65.164.170 get-certified.net
O1 - Hosts: 198.65.164.170 get-access.com
O1 - Hosts: 198.65.164.170 000info.com
O1 - Hosts: 198.65.164.170 0-days.net
O1 - Hosts: 198.65.164.170 0-2u.com
O1 - Hosts: 198.65.164.170 0-29.com
O1 - Hosts: 198.65.164.170 alfaporn.com
O1 - Hosts: 198.65.164.170 toteen.com
O1 - Hosts: 198.65.164.170 www.find-itnow.com
O1 - Hosts: 198.65.164.170 www.mixedporno.com
O1 - Hosts: 198.65.164.170 eliteteensites.com
O1 - Hosts: 198.65.164.170 start-search.com
O1 - Hosts: 198.65.164.170 www.lookfor.cc
O1 - Hosts: 198.65.164.170 www.hotsearchbox.com
O1 - Hosts: 198.65.164.170 www.smarter.com
O1 - Hosts: 198.65.164.170 www.icansearch.net
O1 - Hosts: 198.65.164.170 ie-search.com
O1 - Hosts: 198.65.164.170 www.search-1.net
O1 - Hosts: 198.65.164.170 swift-look.com
O1 - Hosts: 198.65.164.170 www.swift-look.com
O1 - Hosts: 198.65.164.170 search.lop.com
O1 - Hosts: 198.65.164.170 www.search2525.com
O1 - Hosts: 198.65.164.170 www.sureseeker.com
O1 - Hosts: 198.65.164.170 www.searchmeup.com
O1 - Hosts: 198.65.164.170 www.statblaster.com
O2 - BHO: winlink module - {6CC1C91A-AE8B-4373-A5B4-28BA1851E39A} - C:\Documents and Settings\{admin}\Application Data\winlink\winlink.dll (file missing)
O4 - HKLM\..\Run: [host] C:\WINNT\system32\hosts.vbs
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers\avp.exe"
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [svchost] C:\WINNT\system32\svchost.exe -k netsvcs
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [internat.exe] internat.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [internat.exe] internat.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [internat.exe] internat.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: HASP License Manager.lnk = C:\Program Files\Aladdin\HASP LM\nhsrvw32.exe
O15 - ESC Trusted Zone: http://mirror.adriver.ru
O15 - ESC Trusted Zone: http://www.google.ru
O15 - ESC Trusted Zone: http://www.gvc.ru
O15 - ESC Trusted Zone: http://*.gvc.ru
O15 - ESC Trusted Zone: http://www.infox.ru
O15 - ESC Trusted Zone: http://news.mail.ru
O15 - ESC Trusted Zone: http://www.mail.ru
O15 - ESC Trusted Zone: http://runonce.msn.com
O15 - ESC Trusted Zone: http://*.readme.ru
O15 - ESC Trusted Zone: http://js.ru.redtram.com
O15 - ESC Trusted Zone: http://n4p.ru.redtram.com
O15 - ESC Trusted Zone: http://new.underclick.ru
O15 - ESC Trusted Zone: http://m.webtrends.com
O15 - ESC Trusted Zone: http://*.windowsupdate.com
O15 - ESC Trusted Zone: http://*.www.ng.ru
O15 - ESC Trusted Zone: http://*.www.rb.ru
O15 - ESC Trusted Zone: http://*.windowsupdate.com (HKLM)
O15 - ESC Trusted IP range: http://77.91.228.66
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = {domain}.local
O17 - HKLM\Software\..\Telephony: DomainName = {domain}.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8E45564-E4A9-40A7-98E7-51CD646025D0}: NameServer = 192.168.100.22,192.168.100.99
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC1A267B-7479-469F-B05C-E40A3FFDD908}: NameServer = 192.168.100.22,192.168.100.99
O17 - HKLM\System\CCS\Services\Tcpip\..\{E72FC177-938D-4066-B290-5A6B28E4755C}: NameServer = 192.168.100.22
O17 - HKLM\System\CCS\Services\Tcpip\..\{E9C332E8-7EDE-4233-85E9-DF61785F068A}: NameServer = 127.0.0.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = {domain}.local
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers\avp.exe
O23 - Service: HASP Loader - Aladdin Knowledge Systems Ltd. - C:\WINNT\system32\nhsrvice.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINNT\System32\mnmsrvc.exe
O23 - Service: Обработчик внешних хранилищ (Remote_Storage_Engine) - Unknown owner - C:\WINNT\system32\RsEng.exe (file missing)
O23 - Service: Файл внешнего хранилища (Remote_Storage_File_System_Agent) - Unknown owner - C:\WINNT\system32\RsFsa.exe (file missing)
O24 - Desktop Component 0: (no name) - http://cinema.df.ru/cdshop/games/soft/4794.jрg

Это сообщение отредактировал Lilith+ - 11-06-2009 - 12:06

Свободен
11-06-2009 - 10:23
Сейчас приду в себя после такого лога... :)
Женщина Lilith+
Замужем
11-06-2009 - 12:00
Ждём-с. Как соловей лета.
Хотя, к сожалению, до Пн уже ничего сделать не смогу. Сервер недоступен.
А что такого старшного в логах?

Свободен
11-06-2009 - 17:15
Я еще думаю....

Там че, мост? ....

Свободен
11-06-2009 - 18:49
QUOTE (JeyLo @ 11.06.2009 - время: 17:15)
Я еще думаю....

Там че, мост? ....

На правах флуда.
Загрузить свои фото
сайт в локалке
Это JeyLo в пику.
Ждём-с. Как соловей лета.
Я вам предлагал способ, но не вижу, пока ни чего в ответ.
Я не знаю зачем понадобились логи сервер-домен(проблем с ними не было), но мой запрос вы слышали и так и не сделали. Пока их не будет, бейте по башке вашего админа.


Это сообщение отредактировал Semenka - 11-06-2009 - 21:07
Женщина Lilith+
Замужем
12-06-2009 - 13:24
QUOTE (JeyLo @ 11.06.2009 - время: 17:15)
Я еще думаю....

Там че, мост? ....

Где - там? На шлюзе? И как узнать?
Вообще я очень приблизительно представляю, что это такое.... Хотя слово слышала.
Женщина Lilith+
Замужем
12-06-2009 - 13:27
QUOTE (Semenka @ 11.06.2009 - время: 18:49)
QUOTE (JeyLo @ 11.06.2009 - время: 17:15)
Я еще думаю....

Там че, мост? ....

На правах флуда.
....
Это JeyLo в пику.
Ждём-с. Как соловей лета.
Я вам предлагал способ, но не вижу, пока ни чего в ответ.
Я не знаю зачем понадобились логи сервер-домен(проблем с ними не было), но мой запрос вы слышали и так и не сделали.

Не было возможности.
Комп был реально недоступен из-за праздников.
Хотя в связи с отлучением вас от форума (надеюсь - временным), оно, видимо, и не столь актуально.

QUOTE
Пока их не будет, бейте по башке вашего админа.

кого - их?

А насчет того, что засем нужно у меня же несколько вопросов, честно говоря я и сама уже путаюсь, что для чего
Было так:
1. Как достучаться до внутреннего сайта с конкретного компа внутри сети. Это самое срочное.
Далее по убывающей:
2. Что и как прописать в DNS домена, чтобы не приходилось кажды раз прописывать строчку drivers\ets\hostsдобавить запись 192.168.100.22 sitename
3. Можно ли как-то посмотреть сайт извне подсети?

И наконец, в связи с подозрением на вирусы возникло желание вылечить рабочую станцию от болезни kwinzi.com.

Это сообщение отредактировал Lilith+ - 12-06-2009 - 13:39

Свободен
15-06-2009 - 09:57
Убейте своего админа. Или лучше гвоздь в голову. А лучше сначала гвоздь, а потом испанский сапожек. Ну и пытки.


Первый лог - это кто? Терминальный сервер? Шлюз? Или пораженный компьютер? Нет, ну то что он заражен, это и так понятно. И почему-то столько интерфейсов.

Второй - это выделенный домен-контроллер? Судя по поднятым сервисам - да. Так он чего у вас там, по NetBIOS клиентов ищет? Привязка WINS&DNS к нормальному интефейсу сделана? Зачем на контроллере два Name server'a, если это обычно делается через форвард-dns'ы? И почему там тоже куча интерфейсов.

Так не бывает. Давайте через ПМ пообщаемся, дабы приватность соблюсти.

UPD: Сделал лог со одного своего сервера, работающего уже года три, обслуживающего около пятидесяти клиентских компьютеров и являющимся файл-сервером, домен-контроллером, DHCP&DNS&WINS-сервером, back-end почтовым и таким же back-end прокси/брандмауэр-сервером. Да еще у всех и roaming user profiles. Выглядит так:

CODE
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\certsrv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\IIS Resources\DebugDiag\DbgSVC.Exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\Microsoft ISA Server\isastg.exe
C:\WINDOWS\System32\ismserv.exe
C:\Program Files\Microsoft SQL Server\MSSQL$MSFW\Binn\sqlservr.exe
C:\WINDOWS\system32\ntfrs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oocinst.exe
C:\WINDOWS\system32\oodag.exe
C:\Program Files\OO Software\CleverCache\ooccag.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\UPHClean\uphclean.exe
C:\WINDOWS\System32\wins.exe
C:\WINDOWS\ADAM\dsamain.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\Program Files\Exchsrvr\bin\exmgmt.exe
C:\Program Files\Exchsrvr\bin\mad.exe
C:\WINDOWS\system32\mqsvc.exe
C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Exchsrvr\bin\store.exe
C:\Program Files\Exchsrvr\bin\emsmta.exe
C:\Program Files\Microsoft ISA Server\mspadmin.exe
C:\Program Files\Microsoft ISA Server\W3Prefch.exe
C:\Program Files\Exchsrvr\bin\events.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\dmadmin.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Far Manager\Far.exe
C:\Program Files\AVZ\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:8080
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-21-1720105222-367736713-XXXXXXXXX-XXXX\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'ISA_XXXXXXXX')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O15 - ESC Trusted Zone: http://*.windowsupdate.com (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = domain.company.com
O17 - HKLM\Software\..\Telephony: DomainName = domain.company.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{2751E621-3826-4AFC-9CFE-B85B4BCBA252}: Domain = domain.company.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{2751E621-3826-4AFC-9CFE-B85B4BCBA252}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{E527C2EB-969A-41F7-9645-C50F3192FE4D}: NameServer = XXX.XXX.XXX.XXX,XXX.XXX.XXX.XXX
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = domain.company.com
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O ComponentInstaller Agent - O&O Software GmbH - C:\WINDOWS\system32\oocinst.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: O&O CleverCache Agent (OOCleverCacheAgent) - O&O Software GmbH - C:\Program Files\OO Software\CleverCache\ooccag.exe


Интерфейс {E527C2EB-969A-41F7-9645-C50F3192FE4D} смотрит на front-end ISA&Exchange сервера, по сути в интернет.

Это сообщение отредактировал JeyLo - 15-06-2009 - 10:12
0 Пользователей читают эту тему

Страницы: (1) 1 ...
  Наверх