Назад | Перейти на главную страницу

blat.exe удаляется с моих серверов

мы используем blat.exe как часть многих наших настроек на Windows Server 2003 SP2 без каких-либо проблем отправлять почту через командную строку. Это просто здорово.

Некоторое программное обеспечение, которое мы используем, предоставляет blat.exe как часть своей установки.

Эта проблема: временами (возможно, каждые 6 месяцев до одного года на сервер), blat.exe отсутствует. Никаких следов его нигде не найти. Сканер вирусов (McAfee) не сообщает об этом, я не могу найти ничего об этом ни в одном файле журнала.

Производитель сообщает нам, что они исследовали это с помощью filemon и что svchost.exe удаляет его. На самом деле я не планирую использовать filemon на большом количестве серверов в течение длительного периода времени.

Кто-нибудь из вас сталкивался с этой проблемой, и если да, то какова ее основная причина? Или у вас есть еще подсказки, как узнать, что происходит? Обширный поиск в Google ничего не дал, кроме проблемы со сканированием на вирусы.

Спасибо!

Вы можете включить аудит файлов, разрешив только удаленное наблюдение для «Все» в этом конкретном файле. Вы можете обнаружить, по крайней мере, ответственную учетную запись и имя процесса. Вы также можете попытаться заблокировать разрешения ntfs на удаление для этого файла, чтобы только ваша учетная запись администратора могла вносить такие изменения.

Я все равно склоняюсь к тому, что о проблеме сканирования вирусов не сообщается - или, может быть, проверка «вредоносного ПО» Windows каким-то образом улавливает ее. Подобно netcat для защиты сетевых дыр, blat.exe используется спамерами на зараженных хостах.

Filemon будет излишним, и он хорош только в том случае, если вы ищете что-то, что происходит, когда вы можете это контролировать или, кажется, знаете, как это вызвать. Похоже, вы уже знаете, что это тяжелый подход.

svchost на самом деле является обычным хостом службы и может помочь в запуске, казалось бы, сотни разных вещей (Центр обновления Windows получает свои заказы через "C: \ Windows \ system32 \ svchost.exe -k netsvcs". Похоже, ваш поставщик убежал не сделал много домашней работы там.

Это будет непросто, надеюсь, это хотя бы дало вам несколько указателей, куда идти ...