SP1 を適用した Windows Server 2003 ボックスを実行しています。タスク マネージャーには、場所フィールドが c:\windows\temp\zybbb9.exe を指している「ZYBBB9」という名前のプロセスがリストされています。このプロセスの目的を知っている人はいますか?
答え1
おそらく悪意のあるソフトウェアであるということには概ね同意します。ただし、トレンドマイクロのウイルス対策プログラム「OfficeScan」の一部のバージョンでは、ソフトウェアを起動するたびにランダムな名前の実行ファイル(「ウォッチドッグ」プログラム)が生成されます。彼らのサイトによると)。
そのマシンで OfficeScan を実行している場合、ランダム実行ファイルは OfficeScan によって生成された EXE である可能性があります。
答え2
これは、システム上のマルウェアによってランダムに生成された実行可能ファイル名である可能性が高いです。お気に入りのマルウェア対策ソフトウェア(または複数のプログラム)を実行することをお勧めします。私のお気に入りはマルウェアバイトアンチマルウェア。
しかし、率直に言って、これが実稼働サーバーである場合、現在バックアップされていないデータ (おそらくバックアップされていない) をすべて取得し、ボックスを再イメージ化します。サーバーを「クリーン」にしようとして実稼働データのセキュリティを危険にさらすのは意味がありません。クリーンなバックアップからデータを消去して復元します。
可能性がある場合は、バックアップの本番ボックスをローテーションして、感染後の分析ができるように、今のところはそれを消去せずに(隔離して)おくことをお勧めします。ただし、その特定のサーバーをすぐに起動して実行する必要がある場合は、消去して復元するだけです。ただし、いずれにしても、感染源を追跡する必要があります。
答え3
ウイルス対策/マルウェアスキャンを実行する必要があることは 99% 確信しています。
答え4
まず最初に確認すべきことは、悪意のあるソフトウェアの削除ツール:
mrt
これはすべての新しい Windows プラットフォームに既にインストールされており、Microsoft によって定期的に更新されます。これにより、このファイルがマルウェアとして識別 (および削除) される可能性があります。その後、感染源を必ず見つけてください。