Периодически на долю секунды отрубается сеть

[Arseniy]

Здравствуйте!

Имею следующую проблему: в локальной сети на базе Windows Server2003SP2 с поднятой службой Active Directory периодически раз в 2-3 часа происходит кратковременый (на секунду) сбой сети который не регистрируется ни в каких логах. Этого сбоя достаточно чтобы клиенты сети работающие с базой данных в общей папке на сервере получили ошибку соединения и были вынуждены вновь переподключаться к базе. Если базу перенести на компьютер с Windows XP первые три дня работает нормально т.е. отключения не происходит, потом начинается опять. Если изменить IP-адрес на компьютере то на 2-3 дня опять передышка. NOD32 и AVAST - вирусов не обнаруживают. Пробовал менять сетевые карты, концентратор, отключать UPS, полностью переустанавливать систему с доменом, отключать все компьютеры кроме сервера и одной рабочей станции - ничего не помогает. Сервер подключен к интернет через роутер. Защита ISA-server. Снаружи доступ закрыт. На сервере периодически самопроизвольно отключается-включается сетевая карта внешнего интерфейса. Похоже что работает какой-то вирус, но в логах антивирусных утилит типа Hijackthis ничего криминального нет. В логе AVZ сервера присутствуют Маскировки процессов без имен.

Ответьте пожалуйста встречалось ли, что-то подобное. И как с этим можно бороться?

Протокол антивирусной утилиты AVZ версии 4.25

Сканирование запущено в 09.07.2007 19:49:01

Загружена база: 116364 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, база от 08.07.2007 10:33

Загружены микропрограммы эвристики: 370

Загружены цифровые подписи системных файлов: 60575

Режим эвристического анализатора: Максимальный уровень эвристики

Режим лечения: выключено

Версия Windows: 5.2.3790, Service Pack 2 ; AVZ работает с правами администратора

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Анализ user32.dll, таблица экспорта найдена в секции .text

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=0A83A0)

Ядро ntoskrnl.exe обнаружено в памяти по адресу 80800000

SDT = 808A83A0

KiST = 80827AFC (296)

Проверено функций: 296, перехвачено: 0, восстановлено: 0

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

Проверка IDT и SYSENTER завершена

1.4 Поиск маскировки процессов и драйверов

Маскировка процесса с PID=288, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 288)

Маскировка процесса с PID=1236, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 1236)

Маскировка процесса с PID=1724, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 1724)

Маскировка процесса с PID=1744, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 1744)

Маскировка процесса с PID=3036, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3036)

Маскировка процесса с PID=3392, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3392)

Маскировка процесса с PID=3448, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3448)

Маскировка процесса с PID=3524, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3524)

Маскировка процесса с PID=3720, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3720)

Маскировка процесса с PID=3820, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3820)

Маскировка процесса с PID=3876, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3876)

Маскировка процесса с PID=3996, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3996)

Маскировка процесса с PID=720, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 720)

Маскировка процесса с PID=2596, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 2596)

Маскировка процесса с PID=2912, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 2912)

Маскировка процесса с PID=2976, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 2976)

Маскировка процесса с PID=3040, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3040)

Маскировка процесса с PID=3584, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3584)

Маскировка процесса с PID=3528, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3528)

Маскировка процесса с PID=2360, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 2360)

Маскировка процесса с PID=3712, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3712)

Маскировка процесса с PID=4044, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 4044)

Маскировка процесса с PID=1984, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 1984)

Маскировка процесса с PID=3328, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3328)

Маскировка процесса с PID=3472, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3472)

Маскировка процесса с PID=1828, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 1828)

Маскировка процесса с PID=2808, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 2808)

Маскировка процесса с PID=2108, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 2108)

Маскировка процесса с PID=1804, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 1804)

Маскировка процесса с PID=4048, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 4048)

Маскировка процесса с PID=196, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 196)

Маскировка процесса с PID=3300, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3300)

Маскировка процесса с PID=1656, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 1656)

Маскировка процесса с PID=3156, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3156)

Маскировка процесса с PID=3840, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3840)

Маскировка процесса с PID=1056, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 1056)

Маскировка процесса с PID=4040, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 4040)

Маскировка процесса с PID=3944, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3944)

Маскировка процесса с PID=2328, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 2328)

Маскировка процесса с PID=3140, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3140)

Маскировка процесса с PID=3628, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3628)

Маскировка процесса с PID=3716, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3716)

Маскировка процесса с PID=3752, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3752)

Маскировка процесса с PID=292, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 292)

Маскировка процесса с PID=4008, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 4008)

Маскировка процесса с PID=3420, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3420)

Маскировка процесса с PID=2312, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 2312)

Маскировка процесса с PID=2784, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 2784)

Маскировка процесса с PID=1828, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 1828)

Маскировка процесса с PID=1544, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 1544)

Маскировка процесса с PID=2760, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 2760)

Маскировка процесса с PID=1264, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 1264)

Маскировка процесса с PID=1152, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 1152)

Маскировка процесса с PID=3584, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3584)

Маскировка процесса с PID=2328, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 2328)

Маскировка процесса с PID=1524, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 1524)

Маскировка процесса с PID=2308, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 2308)

Маскировка процесса с PID=3632, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3632)

Маскировка процесса с PID=312, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 312)

Маскировка процесса с PID=2264, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 2264)

Маскировка процесса с PID=3772, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3772)

Маскировка процесса с PID=3544, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3544)

Маскировка процесса с PID=3560, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3560)

Маскировка процесса с PID=3928, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3928)

Маскировка процесса с PID=2436, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 2436)

Маскировка процесса с PID=3900, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3900)

Маскировка процесса с PID=3528, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3528)

Маскировка процесса с PID=552, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 552)

Маскировка процесса с PID=888, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 888)

Маскировка процесса с PID=1276, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 1276)

Маскировка процесса с PID=1704, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 1704)

Маскировка процесса с PID=3880, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3880)

Маскировка процесса с PID=1092, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 1092)

Маскировка процесса с PID=3064, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3064)

Поиск маскировки процессов и драйверов завершен

2. Проверка памяти

Количество найденных процессов: 32

Анализатор - изучается процесс 348 C:\WINDOWS\system32\winlogon.exe

[ES]:Может работать с сетью

[ES]:Приложение не имеет видимых окон

[ES]:Размещается в системной папке

[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?

Анализатор - изучается процесс 1360 C:\Program Files\Microsoft ISA Server\isastg.exe

[ES]:Может работать с сетью

[ES]:Прослушивает порты TCP !

[ES]:Приложение не имеет видимых окон

Анализатор - изучается процесс 1952 C:\Program Files\Microsoft ISA Server\mspadmin.exe

[ES]:Может работать с сетью

[ES]:Прослушивает порты TCP !

[ES]:Приложение не имеет видимых окон

[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?

Анализатор - изучается процесс 2380 C:\Program Files\Microsoft ISA Server\wspsrv.exe

[ES]:Может работать с сетью

[ES]:Прослушивает порты TCP !

[ES]:Прослушивает порты, применяемые протоколом HTTP !

[ES]:Приложение не имеет видимых окон

[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?

Анализатор - изучается процесс 2400 C:\Program Files\Microsoft ISA Server\W3Prefch.exe

[ES]:Может работать с сетью

[ES]:Прослушивает порты TCP !

[ES]:Приложение не имеет видимых окон

[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?

Количество загруженных модулей: 343

Проверка памяти завершена

3. Сканирование дисков

4. Проверка Winsock Layered Service Provider (SPI/LSP)

Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

В базе 317 описаний портов

На данном ПК открыто 82 TCP портов и 37 UDP портов

Проверка завершена, подозрительные порты не обнаружены

7. Эвристичеcкая проверка системы

Проверка завершена

Просканировано файлов: 375, извлечено из архивов: 0, найдено вредоносных программ 0

Сканирование завершено в 09.07.2007 19:49:43

Сканирование длилось 00:00:43

Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,

то Вы можете обратиться в конференцию - http://virusinfo.info

[ser208]

1. ИМХО, слабая антивирусная защита сети. Я бы сменил антивирусы.

3. Лог АVZ обязательно снимать при выгруженных антивирусах.

Edited July 9, 2007 by ser208

[Saule]

Ответьте пожалуйста встречалось ли, что-то подобное. И как с этим можно бороться?

Протокол антивирусной утилиты AVZ версии 4.25

Если не сложно, сделайте, пожалуйста, 'Исследование системы' с помощью AVZ (в верхнем меню программы: Файл > Исследование системы. И присоединяем полученный html-файл к своему сообщению), так как в простом сканировании информация немного другого характера и её в таких случаях недостаточно.

[Arseniy]

Если не сложно, сделайте, пожалуйста, 'Исследование системы' с помощью AVZ (в верхнем меню программы: Файл > Исследование системы. И присоединяем полученный html-файл к своему сообщению), так как в простом сканировании информация немного другого характера и её в таких случаях недостаточно.

Прошу прощения за нескорый ответ!

Вот файл исследования системы. avz_sysinfo.htm

avz_sysinfo.htm