Сайт в локалке
Lilith+
Удален 6/8/2009, 3:37:44 PM
Прошу извинить за бестолковое изложение, опыта никакого, но очень надо.
"Глобальный" сисадмин то ли вредничает, то ли я правда так бестолково объясняю... А локальный программер, с которым я почти дружу, в отпусках.
Короче, в локалке есть сайт для внутреннего пользования.
Адрес к примеру, 10.20.30.40, имя - sitename.
Локалка - изолированный домен с win server 2003.
1. Какие-то компы видят его через браузеры, если в drivers\ets\hostsдобавить запись 10.20.30.40 sitename. Один (как раз тот, что мне нужно настроить) вместо локального сайта выкидывает вот сюда:
CODE http://www.kwinzi.com/
Что это, как бороться?!
2. Можно как-то локальную DNS настроить, чтобы этого избежать?
3. Наконец, извне локалки, из другой подсети, можно как-то добраться до сайта?
Админский пароль есть, только не сломать ничего.
"Глобальный" сисадмин то ли вредничает, то ли я правда так бестолково объясняю... А локальный программер, с которым я почти дружу, в отпусках.
Короче, в локалке есть сайт для внутреннего пользования.
Адрес к примеру, 10.20.30.40, имя - sitename.
Локалка - изолированный домен с win server 2003.
1. Какие-то компы видят его через браузеры, если в drivers\ets\hostsдобавить запись 10.20.30.40 sitename. Один (как раз тот, что мне нужно настроить) вместо локального сайта выкидывает вот сюда:
CODE http://www.kwinzi.com/
Что это, как бороться?!
2. Можно как-то локальную DNS настроить, чтобы этого избежать?
3. Наконец, извне локалки, из другой подсети, можно как-то добраться до сайта?
Админский пароль есть, только не сломать ничего.
DELETED
Акула пера
6/8/2009, 9:04:45 PM
1. Набирайте не sitename, а имя_компьютера.имя.домена. К примеру: dizzy.office.russia.microsoft.com.
2. И так настроено, если домен есть. Читайте выше. 6)
3. Опубликуйте сервер на роутере/маршрутизаторе... короче на брандмауэре. Кто интернет раздает и чем?
Можно на роутере/маршрутизаторе... короче на внутреннем DNS, который обслуживает домен и прочий интернет поставить жесткое перенаправление на ... по п. 1
2. И так настроено, если домен есть. Читайте выше. 6)
3. Опубликуйте сервер на роутере/маршрутизаторе... короче на брандмауэре. Кто интернет раздает и чем?
Можно на роутере/маршрутизаторе... короче на внутреннем DNS, который обслуживает домен и прочий интернет поставить жесткое перенаправление на ... по п. 1
Lilith+
Удален 6/8/2009, 9:23:41 PM
(JeyLo @ 08.06.2009 - время: 17:04) 1. Набирайте не sitename, а имя_компьютера.имя.домена. К примеру: dizzy.office.russia.microsoft.com.
попробую... спасибо
2. И так настроено, если домен есть. Читайте выше. 6)
Домен есть, но почему ж с одного только компа я не попадаю? И что это за дурной сайт, куда меня выкидывает?
3. Опубликуйте сервер на роутере/маршрутизаторе... короче на брандмауэре. Кто интернет раздает и чем?
В локалке - некий межсетевой шлюз, одна карта смотрит во внешюю, общеуниверскую подсеть, другая - вовнутрь. Через неё тырнетом и питаемся. А что снаружи делается - не знаю. Посмотреть-то надо как раз снаружи, из общеуниверской сети. Более ничего не знаю. Что надо выяснить?
Можно на роутере/маршрутизаторе... короче на внутреннем DNS, который обслуживает домен и прочий интернет поставить жесткое перенаправление на ... по п. 1
Вот я о чем-то таком и спрашивала... Что это значит в переводе на ламерский? Чего куды ткнуть?
попробую... спасибо
2. И так настроено, если домен есть. Читайте выше. 6)
Домен есть, но почему ж с одного только компа я не попадаю? И что это за дурной сайт, куда меня выкидывает?
3. Опубликуйте сервер на роутере/маршрутизаторе... короче на брандмауэре. Кто интернет раздает и чем?
В локалке - некий межсетевой шлюз, одна карта смотрит во внешюю, общеуниверскую подсеть, другая - вовнутрь. Через неё тырнетом и питаемся. А что снаружи делается - не знаю. Посмотреть-то надо как раз снаружи, из общеуниверской сети. Более ничего не знаю. Что надо выяснить?
Можно на роутере/маршрутизаторе... короче на внутреннем DNS, который обслуживает домен и прочий интернет поставить жесткое перенаправление на ... по п. 1
Вот я о чем-то таком и спрашивала... Что это значит в переводе на ламерский? Чего куды ткнуть?
DELETED
Акула пера
6/8/2009, 10:02:22 PM
(Lilith+ @ 08.06.2009 - время: 17:23)Домен есть, но почему ж с одного только компа я не попадаю? И что это за дурной сайт, куда меня выкидывает?
Гадать не умею. Судя по контенту, хостеру и названию - ищите вирус. Домен создан 27-Feb-2009 людьми из торонто и хостится в UK. Гы. В правилах открытия новых тем есть описание как.
(Lilith+ @ 08.06.2009 - время: 17:23)В локалке - некий межсетевой шлюз, одна карта смотрит во внешюю, общеуниверскую подсеть, другая - вовнутрь. Через неё тырнетом и питаемся. А что снаружи делается - не знаю. Посмотреть-то надо как раз снаружи, из общеуниверской сети. Более ничего не знаю. Что надо выяснить?
Снаружи и не надо. Уже выяснили, что это брандмауэр. Программный. Кто рулит? Unix? Windows? Кем рулит? ISA? UserGate? route?
(Lilith+ @ 08.06.2009 - время: 17:23)Вот я о чем-то таком и спрашивала... Что это значит в переводе на ламерский? Чего куды ткнуть?
Сначала выясним, кто роутит. :) Проще по первому пункту моего предыдущего ответа.
Гадать не умею. Судя по контенту, хостеру и названию - ищите вирус. Домен создан 27-Feb-2009 людьми из торонто и хостится в UK. Гы. В правилах открытия новых тем есть описание как.
(Lilith+ @ 08.06.2009 - время: 17:23)В локалке - некий межсетевой шлюз, одна карта смотрит во внешюю, общеуниверскую подсеть, другая - вовнутрь. Через неё тырнетом и питаемся. А что снаружи делается - не знаю. Посмотреть-то надо как раз снаружи, из общеуниверской сети. Более ничего не знаю. Что надо выяснить?
Снаружи и не надо. Уже выяснили, что это брандмауэр. Программный. Кто рулит? Unix? Windows? Кем рулит? ISA? UserGate? route?
(Lilith+ @ 08.06.2009 - время: 17:23)Вот я о чем-то таком и спрашивала... Что это значит в переводе на ламерский? Чего куды ткнуть?
Сначала выясним, кто роутит. :) Проще по первому пункту моего предыдущего ответа.
Lilith+
Удален 6/9/2009, 2:27:53 AM
(JeyLo @ 08.06.2009 - время: 18:02) (Lilith+ @ 08.06.2009 - время: 17:23)Домен есть, но почему ж с одного только компа я не попадаю? И что это за дурной сайт, куда меня выкидывает?
Гадать не умею. Судя по контенту, хостеру и названию - ищите вирус. Домен создан 27-Feb-2009 людьми из торонто и хостится в UK. Гы. В правилах открытия новых тем есть описание как.
(Lilith+ @ 08.06.2009 - время: 17:23)В локалке - некий межсетевой шлюз, одна карта смотрит во внешюю, общеуниверскую подсеть, другая - вовнутрь. Через неё тырнетом и питаемся. А что снаружи делается - не знаю. Посмотреть-то надо как раз снаружи, из общеуниверской сети. Более ничего не знаю. Что надо выяснить?
Снаружи и не надо. Уже выяснили, что это брандмауэр. Программный. Кто рулит? Unix? Windows? Кем рулит? ISA? UserGate? route?
На шлюзе этом самом - Windows 2003. А что за звери-то там дальше? Где это смотреть?
(Lilith+ @ 08.06.2009 - время: 17:23)Вот я о чем-то таком и спрашивала... Что это значит в переводе на ламерский? Чего куды ткнуть?
Сначала выясним, кто роутит. :) Проще по первому пункту моего предыдущего ответа.
Проще - это в смысле вводить имя_компа.имя_домена?
Не получается. "IE не может отобразить страницу".
полное имя компа - compname.domainname.local
Что точно надо набирать? compname.domainname.local?
А имя сайта?
Гадать не умею. Судя по контенту, хостеру и названию - ищите вирус. Домен создан 27-Feb-2009 людьми из торонто и хостится в UK. Гы. В правилах открытия новых тем есть описание как.
(Lilith+ @ 08.06.2009 - время: 17:23)В локалке - некий межсетевой шлюз, одна карта смотрит во внешюю, общеуниверскую подсеть, другая - вовнутрь. Через неё тырнетом и питаемся. А что снаружи делается - не знаю. Посмотреть-то надо как раз снаружи, из общеуниверской сети. Более ничего не знаю. Что надо выяснить?
Снаружи и не надо. Уже выяснили, что это брандмауэр. Программный. Кто рулит? Unix? Windows? Кем рулит? ISA? UserGate? route?
На шлюзе этом самом - Windows 2003. А что за звери-то там дальше? Где это смотреть?
(Lilith+ @ 08.06.2009 - время: 17:23)Вот я о чем-то таком и спрашивала... Что это значит в переводе на ламерский? Чего куды ткнуть?
Сначала выясним, кто роутит. :) Проще по первому пункту моего предыдущего ответа.
Проще - это в смысле вводить имя_компа.имя_домена?
Не получается. "IE не может отобразить страницу".
полное имя компа - compname.domainname.local
Что точно надо набирать? compname.domainname.local?
А имя сайта?
DELETED
Акула пера
6/9/2009, 3:58:32 AM
(Lilith+ @ 08.06.2009 - время: 11:37) Один (как раз тот, что мне нужно настроить) вместо локального сайта выкидывает вот сюда:
CODE http://www.kwinzi.com/
Что это, как бороться?!
Админский пароль есть, только не сломать ничего.
Когда будет доступ к проблемной машине, сделайте полную проверку и выложите логи.
https://www.globalforum.ru/index.php?showtopic=226954
kwinzi.com фишинговый сайт(подмена страницы доступа на свою, фейковую) -как раз сделан для того, чтбы воровать пароли, втом числе и админские :) А вот что подменяет эту страницу на вашей машине, можно узнать при помощи логов.
CODE http://www.kwinzi.com/
Что это, как бороться?!
Админский пароль есть, только не сломать ничего.
Когда будет доступ к проблемной машине, сделайте полную проверку и выложите логи.
https://www.globalforum.ru/index.php?showtopic=226954
kwinzi.com фишинговый сайт(подмена страницы доступа на свою, фейковую) -как раз сделан для того, чтбы воровать пароли, втом числе и админские :) А вот что подменяет эту страницу на вашей машине, можно узнать при помощи логов.
Lilith+
Удален 6/9/2009, 1:03:19 PM
(Semenka @ 08.06.2009 - время: 23:58) (Lilith @ +08.06.2009 - время: 11:37) Один (как раз тот, что мне нужно настроить) вместо локального сайта выкидывает вот сюда:
CODE http://www.kwinzi.com/
Что это, как бороться?!
Админский пароль есть, только не сломать ничего.
Когда будет доступ к проблемной машине, сделайте полную проверку и выложите логи.
https://www.globalforum.ru/index.php?showtopic=226954
kwinzi.com фишинговый сайт(подмена страницы доступа на свою, фейковую) -как раз сделан для того, чтбы воровать пароли, втом числе и админские :) А вот что подменяет эту страницу на вашей машине, можно узнать при помощи логов.
Ясно, спасибо.
CODE http://www.kwinzi.com/
Что это, как бороться?!
Админский пароль есть, только не сломать ничего.
Когда будет доступ к проблемной машине, сделайте полную проверку и выложите логи.
https://www.globalforum.ru/index.php?showtopic=226954
kwinzi.com фишинговый сайт(подмена страницы доступа на свою, фейковую) -как раз сделан для того, чтбы воровать пароли, втом числе и админские :) А вот что подменяет эту страницу на вашей машине, можно узнать при помощи логов.
Ясно, спасибо.
DELETED
Акула пера
6/10/2009, 2:42:18 PM
Выложите HiJackThis лог с сервера. Я уже сам определю и скажу чего делать.
Lilith+
Удален 6/10/2009, 3:36:00 PM
Именно с сервера? С какого?
Сайт не на доменном серваке.
А шлюз - на третьем.
Хорошо, я попробую с сайта. Только забью конкретные названия, не хочется светить свою партизанщину.
Сайт не на доменном серваке.
А шлюз - на третьем.
Хорошо, я попробую с сайта. Только забью конкретные названия, не хочется светить свою партизанщину.
Lilith+
Удален 6/10/2009, 4:12:16 PM
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:33:42, on 10.06.2009
Platform: Windows 2003 SP2
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = {Domain}.local
O17 - HKLM\Software\..\Telephony: DomainName = {Domain}.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{C02260AD-5A60-4A96-A391-57CB6B3177F1}: NameServer = 192.168.110.2,192.168.110.8
O17 - HKLM\System\CCS\Services\Tcpip\..\{FE42FB2E-6954-4DEE-8D59-0BFDBACEEB30}: NameServer = 192.168.100.22,192.168.100.77
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = {Domain}.local
O23 - Service: ASF Agent (ASFAgent) - Intel Corporation - E:\Program Files\Intel\ASF Agent\ASFAgent.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers\avp.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBOID.EXE
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - E:\WINDOWS\system32\mnmsrvc.exe
В фигурных скобках - заменённые имена собственные, которые я не могу светить ни при каких обстоятельствах.
Scan saved at 11:33:42, on 10.06.2009
Platform: Windows 2003 SP2
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = {Domain}.local
O17 - HKLM\Software\..\Telephony: DomainName = {Domain}.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{C02260AD-5A60-4A96-A391-57CB6B3177F1}: NameServer = 192.168.110.2,192.168.110.8
O17 - HKLM\System\CCS\Services\Tcpip\..\{FE42FB2E-6954-4DEE-8D59-0BFDBACEEB30}: NameServer = 192.168.100.22,192.168.100.77
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = {Domain}.local
O23 - Service: ASF Agent (ASFAgent) - Intel Corporation - E:\Program Files\Intel\ASF Agent\ASFAgent.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers\avp.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - E:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBOID.EXE
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - E:\WINDOWS\system32\mnmsrvc.exe
В фигурных скобках - заменённые имена собственные, которые я не могу светить ни при каких обстоятельствах.
Lilith+
Удален 6/10/2009, 4:41:41 PM
Доменный контроллер:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:18:38, on 10.06.2009
Platform: Windows 2003 SP2
O15 - ESC Trusted IP range: https://77.91.228.66
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = {domain}.local
O17 - HKLM\Software\..\Telephony: DomainName = {domain}.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8E45564-E4A9-40A7-98E7-51CD646025D0}: NameServer = 192.168.100.22,192.168.100.99
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC1A267B-7479-469F-B05C-E40A3FFDD908}: NameServer = 192.168.100.22,192.168.100.99
O17 - HKLM\System\CCS\Services\Tcpip\..\{E72FC177-938D-4066-B290-5A6B28E4755C}: NameServer = 192.168.100.22
O17 - HKLM\System\CCS\Services\Tcpip\..\{E9C332E8-7EDE-4233-85E9-DF61785F068A}: NameServer = 127.0.0.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = {domain}.local
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers\avp.exe
O23 - Service: HASP Loader - Aladdin Knowledge Systems Ltd. - C:\WINNT\system32\nhsrvice.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINNT\System32\mnmsrvc.exe
O23 - Service: Обработчик внешних хранилищ (Remote_Storage_Engine) - Unknown owner - C:\WINNT\system32\RsEng.exe (file missing)
O23 - Service: Файл внешнего хранилища (Remote_Storage_File_System_Agent) - Unknown owner - C:\WINNT\system32\RsFsa.exe (file missing)
O24 - Desktop Component 0: (no name) - https://cinema.df.ru/cdshop/games/soft/4794.jрg
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:18:38, on 10.06.2009
Platform: Windows 2003 SP2
O15 - ESC Trusted IP range: https://77.91.228.66
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = {domain}.local
O17 - HKLM\Software\..\Telephony: DomainName = {domain}.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8E45564-E4A9-40A7-98E7-51CD646025D0}: NameServer = 192.168.100.22,192.168.100.99
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC1A267B-7479-469F-B05C-E40A3FFDD908}: NameServer = 192.168.100.22,192.168.100.99
O17 - HKLM\System\CCS\Services\Tcpip\..\{E72FC177-938D-4066-B290-5A6B28E4755C}: NameServer = 192.168.100.22
O17 - HKLM\System\CCS\Services\Tcpip\..\{E9C332E8-7EDE-4233-85E9-DF61785F068A}: NameServer = 127.0.0.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = {domain}.local
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers\avp.exe
O23 - Service: HASP Loader - Aladdin Knowledge Systems Ltd. - C:\WINNT\system32\nhsrvice.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINNT\System32\mnmsrvc.exe
O23 - Service: Обработчик внешних хранилищ (Remote_Storage_Engine) - Unknown owner - C:\WINNT\system32\RsEng.exe (file missing)
O23 - Service: Файл внешнего хранилища (Remote_Storage_File_System_Agent) - Unknown owner - C:\WINNT\system32\RsFsa.exe (file missing)
O24 - Desktop Component 0: (no name) - https://cinema.df.ru/cdshop/games/soft/4794.jрg
DELETED
Акула пера
6/11/2009, 2:23:48 PM
Сейчас приду в себя после такого лога... :)
Lilith+
Удален 6/11/2009, 4:00:09 PM
Ждём-с. Как соловей лета.
Хотя, к сожалению, до Пн уже ничего сделать не смогу. Сервер недоступен.
А что такого старшного в логах?
Хотя, к сожалению, до Пн уже ничего сделать не смогу. Сервер недоступен.
А что такого старшного в логах?
DELETED
Акула пера
6/11/2009, 9:15:38 PM
Я еще думаю....
Там че, мост? ....
Там че, мост? ....
DELETED
Акула пера
6/11/2009, 10:49:42 PM
(JeyLo @ 11.06.2009 - время: 17:15) Я еще думаю....
Там че, мост? ....
На правах флуда.
Загрузить свои фото
Это JeyLo в пику.
Ждём-с. Как соловей лета.
Я вам предлагал способ, но не вижу, пока ни чего в ответ.
Я не знаю зачем понадобились логи сервер-домен(проблем с ними не было), но мой запрос вы слышали и так и не сделали. Пока их не будет, бейте по башке вашего админа.
Там че, мост? ....
На правах флуда.
Загрузить свои фото
Это JeyLo в пику.
Ждём-с. Как соловей лета.
Я вам предлагал способ, но не вижу, пока ни чего в ответ.
Я не знаю зачем понадобились логи сервер-домен(проблем с ними не было), но мой запрос вы слышали и так и не сделали. Пока их не будет, бейте по башке вашего админа.
Lilith+
Удален 6/12/2009, 5:24:23 PM
(JeyLo @ 11.06.2009 - время: 17:15) Я еще думаю....
Там че, мост? ....
Где - там? На шлюзе? И как узнать?
Вообще я очень приблизительно представляю, что это такое.... Хотя слово слышала.
Там че, мост? ....
Где - там? На шлюзе? И как узнать?
Вообще я очень приблизительно представляю, что это такое.... Хотя слово слышала.
Lilith+
Удален 6/12/2009, 5:27:23 PM
(Semenka @ 11.06.2009 - время: 18:49) (JeyLo @ 11.06.2009 - время: 17:15) Я еще думаю....
Там че, мост? ....
На правах флуда.
....
Это JeyLo в пику.
Ждём-с. Как соловей лета.
Я вам предлагал способ, но не вижу, пока ни чего в ответ.
Я не знаю зачем понадобились логи сервер-домен(проблем с ними не было), но мой запрос вы слышали и так и не сделали.
Не было возможности.
Комп был реально недоступен из-за праздников.
Хотя в связи с отлучением вас от форума (надеюсь - временным), оно, видимо, и не столь актуально.
Пока их не будет, бейте по башке вашего админа.
кого - их?
А насчет того, что засем нужно у меня же несколько вопросов, честно говоря я и сама уже путаюсь, что для чего
Было так:
1. Как достучаться до внутреннего сайта с конкретного компа внутри сети. Это самое срочное.
Далее по убывающей:
2. Что и как прописать в DNS домена, чтобы не приходилось кажды раз прописывать строчку drivers\ets\hostsдобавить запись 192.168.100.22 sitename
3. Можно ли как-то посмотреть сайт извне подсети?
И наконец, в связи с подозрением на вирусы возникло желание вылечить рабочую станцию от болезни kwinzi.com.
Там че, мост? ....
На правах флуда.
....
Это JeyLo в пику.
Ждём-с. Как соловей лета.
Я вам предлагал способ, но не вижу, пока ни чего в ответ.
Я не знаю зачем понадобились логи сервер-домен(проблем с ними не было), но мой запрос вы слышали и так и не сделали.
Не было возможности.
Комп был реально недоступен из-за праздников.
Хотя в связи с отлучением вас от форума (надеюсь - временным), оно, видимо, и не столь актуально.
Пока их не будет, бейте по башке вашего админа.
кого - их?
А насчет того, что засем нужно у меня же несколько вопросов, честно говоря я и сама уже путаюсь, что для чего
Было так:
1. Как достучаться до внутреннего сайта с конкретного компа внутри сети. Это самое срочное.
Далее по убывающей:
2. Что и как прописать в DNS домена, чтобы не приходилось кажды раз прописывать строчку drivers\ets\hostsдобавить запись 192.168.100.22 sitename
3. Можно ли как-то посмотреть сайт извне подсети?
И наконец, в связи с подозрением на вирусы возникло желание вылечить рабочую станцию от болезни kwinzi.com.
DELETED
Акула пера
6/15/2009, 1:57:08 PM
Убейте своего админа. Или лучше гвоздь в голову. А лучше сначала гвоздь, а потом испанский сапожек. Ну и пытки.
Первый лог - это кто? Терминальный сервер? Шлюз? Или пораженный компьютер? Нет, ну то что он заражен, это и так понятно. И почему-то столько интерфейсов.
Второй - это выделенный домен-контроллер? Судя по поднятым сервисам - да. Так он чего у вас там, по NetBIOS клиентов ищет? Привязка WINS&DNS к нормальному интефейсу сделана? Зачем на контроллере два Name server'a, если это обычно делается через форвард-dns'ы? И почему там тоже куча интерфейсов.
Так не бывает. Давайте через ПМ пообщаемся, дабы приватность соблюсти.
UPD: Сделал лог со одного своего сервера, работающего уже года три, обслуживающего около пятидесяти клиентских компьютеров и являющимся файл-сервером, домен-контроллером, DHCP&DNS&WINS-сервером, back-end почтовым и таким же back-end прокси/брандмауэр-сервером. Да еще у всех и roaming user profiles. Выглядит так:
CODE Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\certsrv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\IIS Resources\DebugDiag\DbgSVC.Exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\Microsoft ISA Server\isastg.exe
C:\WINDOWS\System32\ismserv.exe
C:\Program Files\Microsoft SQL Server\MSSQL$MSFW\Binn\sqlservr.exe
C:\WINDOWS\system32\ntfrs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oocinst.exe
C:\WINDOWS\system32\oodag.exe
C:\Program Files\OO Software\CleverCache\ooccag.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\UPHClean\uphclean.exe
C:\WINDOWS\System32\wins.exe
C:\WINDOWS\ADAM\dsamain.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\Program Files\Exchsrvr\bin\exmgmt.exe
C:\Program Files\Exchsrvr\bin\mad.exe
C:\WINDOWS\system32\mqsvc.exe
C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Exchsrvr\bin\store.exe
C:\Program Files\Exchsrvr\bin\emsmta.exe
C:\Program Files\Microsoft ISA Server\mspadmin.exe
C:\Program Files\Microsoft ISA Server\W3Prefch.exe
C:\Program Files\Exchsrvr\bin\events.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\dmadmin.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Far Manager\Far.exe
C:\Program Files\AVZ\HiJackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:8080
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-21-1720105222-367736713-XXXXXXXXX-XXXX\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'ISA_XXXXXXXX')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O15 - ESC Trusted Zone: http://*.windowsupdate.com (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = domain.company.com
O17 - HKLM\Software\..\Telephony: DomainName = domain.company.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{2751E621-3826-4AFC-9CFE-B85B4BCBA252}: Domain = domain.company.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{2751E621-3826-4AFC-9CFE-B85B4BCBA252}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{E527C2EB-969A-41F7-9645-C50F3192FE4D}: NameServer = XXX.XXX.XXX.XXX,XXX.XXX.XXX.XXX
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = domain.company.com
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O ComponentInstaller Agent - O&O Software GmbH - C:\WINDOWS\system32\oocinst.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: O&O CleverCache Agent (OOCleverCacheAgent) - O&O Software GmbH - C:\Program Files\OO Software\CleverCache\ooccag.exe
Интерфейс {E527C2EB-969A-41F7-9645-C50F3192FE4D} смотрит на front-end ISA&Exchange сервера, по сути в интернет.
Первый лог - это кто? Терминальный сервер? Шлюз? Или пораженный компьютер? Нет, ну то что он заражен, это и так понятно. И почему-то столько интерфейсов.
Второй - это выделенный домен-контроллер? Судя по поднятым сервисам - да. Так он чего у вас там, по NetBIOS клиентов ищет? Привязка WINS&DNS к нормальному интефейсу сделана? Зачем на контроллере два Name server'a, если это обычно делается через форвард-dns'ы? И почему там тоже куча интерфейсов.
Так не бывает. Давайте через ПМ пообщаемся, дабы приватность соблюсти.
UPD: Сделал лог со одного своего сервера, работающего уже года три, обслуживающего около пятидесяти клиентских компьютеров и являющимся файл-сервером, домен-контроллером, DHCP&DNS&WINS-сервером, back-end почтовым и таким же back-end прокси/брандмауэр-сервером. Да еще у всех и roaming user profiles. Выглядит так:
CODE Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\certsrv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\IIS Resources\DebugDiag\DbgSVC.Exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\Microsoft ISA Server\isastg.exe
C:\WINDOWS\System32\ismserv.exe
C:\Program Files\Microsoft SQL Server\MSSQL$MSFW\Binn\sqlservr.exe
C:\WINDOWS\system32\ntfrs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oocinst.exe
C:\WINDOWS\system32\oodag.exe
C:\Program Files\OO Software\CleverCache\ooccag.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\UPHClean\uphclean.exe
C:\WINDOWS\System32\wins.exe
C:\WINDOWS\ADAM\dsamain.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\Program Files\Exchsrvr\bin\exmgmt.exe
C:\Program Files\Exchsrvr\bin\mad.exe
C:\WINDOWS\system32\mqsvc.exe
C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Exchsrvr\bin\store.exe
C:\Program Files\Exchsrvr\bin\emsmta.exe
C:\Program Files\Microsoft ISA Server\mspadmin.exe
C:\Program Files\Microsoft ISA Server\W3Prefch.exe
C:\Program Files\Exchsrvr\bin\events.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\dmadmin.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Far Manager\Far.exe
C:\Program Files\AVZ\HiJackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:8080
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-21-1720105222-367736713-XXXXXXXXX-XXXX\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'ISA_XXXXXXXX')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O15 - ESC Trusted Zone: http://*.windowsupdate.com (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = domain.company.com
O17 - HKLM\Software\..\Telephony: DomainName = domain.company.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{2751E621-3826-4AFC-9CFE-B85B4BCBA252}: Domain = domain.company.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{2751E621-3826-4AFC-9CFE-B85B4BCBA252}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{E527C2EB-969A-41F7-9645-C50F3192FE4D}: NameServer = XXX.XXX.XXX.XXX,XXX.XXX.XXX.XXX
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = domain.company.com
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O ComponentInstaller Agent - O&O Software GmbH - C:\WINDOWS\system32\oocinst.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: O&O CleverCache Agent (OOCleverCacheAgent) - O&O Software GmbH - C:\Program Files\OO Software\CleverCache\ooccag.exe
Интерфейс {E527C2EB-969A-41F7-9645-C50F3192FE4D} смотрит на front-end ISA&Exchange сервера, по сути в интернет.