Имеется терминальный сервак для работы в 1С на MS Server 2003 Enterprise Edition SP2. Пришел вчера утром на работу и не успел зайти в кабинет, а на меня уже накинулись со словами, что не работают принтеры на серваке и дескать люди не могут печатать из 1С (пока сделал костыль, каждому юзверю свою личную шару и выгрузка из 1С в экселевский документ).
Так вот далее, начал я смотреть что произошло... Упал диспетчер печати, и не запускается с сообщением ошибки:
"Не удалось запустить службу Диспетчер очереди печати на Локальный компьютер.
Ошибка 1058: Указанная служба не может быть запущена, поскольку она отключена или все связанные с ней устройства отключены"
Я продолжил копать, в итоге дошел до того что поставил на ночь сервак на проверку Касперским Рескью Диском 10. Нашел несколько инфицированных файлов:
Вроде бы что смог - пофиксил, что не смог - удалил. Но после загрузки серва все та же история, диспетчер печати не работает.
Забыл уточнить, почему начал сканить Каспером с флэхи, эта гадость еще и какие-то запреты на запуск и установку софта поставила, но не всего и не всегда, то что уже установлено, запускается в штатном режиме, а попробовал запустить CureIt от Вэба, оно не дало, и ничего не оставалось кроме как грузиться с флэхи каспера. Система на первый взгляд работает нормально, но начиная копать глубже, можно столкнуться с различного рода сложностями.
Итак ближе к делу!
AVZ удалось запустить только через командную строку, ибо при попытке запуска От имени... все так же не запускалось. Запустить-то удалось, а вот обновить - нет, нашел тут же на форуме пост о том что у кого-то тоже такая трабла была:
[FONT=arial]"Invalid filename" на файле avzupd.zip
поэтому логи на том что есть. И еще в инструкции к оформлению поста указано 3 файла (AVZ - virusinfo_syscure.zip, AVZ - virusinfo_syscheck.zip, HJT - hijackthis.log)
так вот у меня есть только virusinfo_syscheck.zip и hijackthis.log
Где взять третий? И почему AVZ-шный лог выгружается с размером 0 байт? Выкладываю хайджековый файл
Молю о помощи! Ибо мозг едят столовой ложкой мне!(((
Добавлено:
Добавил файл virusinfo_syscure.htm, переименовав его предварительно в zip, чтоб загрузчик пропустил, может он поможет...
Последний раз редактировалось NIGER; 23.10.2014 в 17:17.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) NIGER, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Про базы я написал в первом сообщении, не обновляется((
А как удалить вложения? У меня лимит превышен, не могу выгрузить лог увс
- - - - -Добавлено - - - - -
Базы AVZ обновил на другой машине, подкинул на серв. Ща сканится, может чо изменится в отношении лога
Вот только места для вложений нет((( Что делать? Как удалить ненужные вложения? Типа того html переименованного в zip, оно больше всего места занимает((
- - - - -Добавлено - - - - -
Ура!)) Получилось))
Итак лог УВС в студии
- - - - -Добавлено - - - - -
По новой просканировал через AVZ, zip так же нулевой создается(((
Выкладываю новый зип в котором новые хтмл и иксмл файлы
Последний раз редактировалось NIGER; 24.10.2014 в 07:35.
Ошибка карантина файла, попытка прямого чтения (C:\autorun.inf)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\autorun.inf)
Карантин с использованием прямого чтения - ошибка
Ошибка [2, QUARANTINEFILE]
Удаление службы/драйвера: Update RightSurf
[микропрограмма лечения]> удален ключ реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Update RightSurf
Удаление файла: C:\autorun.inf
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено
И файл карантина получился весом всего 22 байта.
Я все правильно сделал? Или что-то не так?
- - - - -Добавлено - - - - -
Запускал AVZ локально на сервере, во время работы CureNet, запущенного на моей машине на сканирование удаленной машины, то бишь серва
(!) Обнаружен запрет на запуск Диспетчера задач (как минимум для одного из пользователей)
(!) Свойства папки скрыты (как минимум для одного из пользователей)
Ограничения такие сами, или другие админы устанавливали?
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Раз уж Вы недавно на новом месте, настройте безопасность на сервере.
1. Смените пароли на учётки с администраторскими правами, у кого они были не по делу - отобрать права администратора.
2. На средства удалённого доступа к серверу, если таковые установлены (Radmin и т. п.), также стоит поменять пароли, обновить до последних версий эти программы.
2. MS SQL сервер - также сменить пароли, проверить, последний ли сервис-пак установлен. Взлом через дыры SQL-сервера - классика жанра.
3. Проверить разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом.
4. Включить в антивирусе противодействие потенциально нежелательным программам (ПНП/PUP). В корпоративной версии Касперского это точно должно быть.
5. Установить все обновления безопасности на систему. Самый минимум - то что найдёт такой скрипт.
Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Проблемы со службами, если остались, увы не по профилю этого форума.
Vvvyg, спасибо большое за содействие и помощь. Только вопрос так и остался вопросом((
Что же делать со спулером?(((
понятное дело что все надо менять и т.д., и так и собирался делать, но появилась насущная проблема и надо сначала ее решить как-то... Есть какие-нибудь еще мысли на этот счет?
Буду благодарен любым мыслям и советам
Читайте журналы событий, гуглите, справшивайте на форумах по системному администрированию, например, на forum.oszone.net и forum.ixbt.com сильные разделы по проблемам с серверными ОС.