Проблема следующая - Windows Server 2008 Standard SP2 x64 RUS, утром в понедельник 8 августа пользователи не могли залогиниться в домен, а также были недоступны личные папки. Оказалось, что в выходные произошел внезапный отказ большого количества служб с появлением сообщений в логах:
7001, Служба "Узел универсальных PNP-устройств" является зависимой от службы "Обнаружение SSDP", которую не удалось запустить из-за ошибки Указанная служба не может быть запущена, поскольку она отключена или все связанные с ней устройства отключены.
7001, Служба "Intel(R) Matrix Storage Event Monitor" является зависимой от службы "Инструментарий управления Windows", которую не удалось запустить из-за ошибки Неправильное состояние канала.
7001, Служба "Вспомогательная служба IP" является зависимой от службы "Инструментарий управления Windows", которую не удалось запустить из-за ошибки Неправильное состояние канала.
7001,Служба "Маршрутизация и удаленный доступ" является зависимой от службы "Диспетчер подключений удаленного доступа", которую не удалось запустить из-за ошибки Неправильное состояние канала.
7023, Служба "Служба времени Windows" завершена из-за ошибки
Попытка входа в сеть при отключенной сетевой службе входа.
7031, Служба Служба профилей пользователей была неожиданно завершена. Это произошло 1 раз(а). Следующее корректирующее действие будет предпринято через 120000 мсек: Перезапуск службы.
7031, Служба Планировщик заданий была неожиданно завершена. Это произошло 1 раз(а). Следующее корректирующее действие будет предпринято через 60000 мсек: Перезапуск службы.
7031, Служба Служба уведомления о системных событиях была неожиданно завершена. Это произошло 1 раз(а). Следующее корректирующее действие будет предпринято через 120000 мсек: Перезапуск службы.
7031, Служба Определение оборудования оболочки была неожиданно завершена. Это произошло 1 раз(а). Следующее корректирующее действие будет предпринято через 60000 мсек: Перезапуск службы.
7031, Служба DHCP-cервер была неожиданно завершена. Это произошло 1 раз(а). Следующее корректирующее действие будет предпринято через 120000 мсек: Перезапуск службы.
7031, Служба Телефония была неожиданно завершена. Это произошло 1 раз(а). Следующее корректирующее действие будет предпринято через 120000 мсек: Перезапуск службы.
И службы, отвечающие за DHCP, DNS, AD, общий доступ к файлам и папкам тоже ни с того ни с сего остановились с такими же ошибками.
Ручной запуск помог - сейчас всё работает нормально, но начальство требует разобраться, что это такое было. Проверил жесткий диск - всё нормально. Следов взлома нет, на сервер никто в выходные не заходил, аудит безопасности (вход/выход) ведется четко. Подозреваю наличие каких-то очень труднообнаружимых руткитов/троянов.
На сервере стоит Касперский, проверка с последними базами ничего не нашла. Проверка DrWeb CureIt ничего не обнаружила. Проверка Malware Bytes Anti-Malware ничего не нашла.
Прилагаю логи AVZ и HijackThis (всего 2 лога, так как по правилам пункт 1 Инструкции не надо выполнять на серверных и 64х системах). Кстати, в AVZ невозможно на этой машине провести установку Драйвера расширенного мониторинга процессов (AVZPM). А ещё невозможно запустить Internet Explorer, сразу ошибка "Прекращена работа IE". Запускал Mozilla FireFox.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Я прошу прощения, почему за 3 дня не было ни одного ответа?
2. В ночь на сегодня сервер опять упал. Налицо периодичность - падал с 5 на 6 число (по логам!), с 8 на 9 число, с 11 на 12 число. В Планировщике ничего подозрительного, кроме Консультанта, нет. Обновления же ставятся не в 23ч50мин, когда сервер падает, а в 3.00 ночи.
Помогите пожалуйста, ситуация критическая, а никакие антивирусные сканеры и просто разные программы диагностики сервера не находят ничего нехорошего.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: