Добрый день.
Большая сеть (около 1100 машин). Туча вирусов ежедневно, в том числе и тех что антивирь не знает. Корпоративный TrendMicro. Я - отвечаю за небольшую (около 20) часть сети - технологические сервера и АРМы.
Проблема:
На четырех машинах (АРМ) - одинаковые симптомы. Служба DEP на системе Microsoft Windows XP при старте системы выключает svchost. После этого через некоторое время отваливается связь по MSSQL серверу(предположительно очередь сообщений - служба), драйвер звука и др. (по разному.). Это происходит либо при старте системы либо в процессе ее работы (реже). Еще частенько вываливается ошибка "память по адресу XXXX не может быть прочитана".
Лечиться перезагрузкой. Порой доходит до того, что раз в час оператор перезагружает.
Антивирус при последних сканированиях ничего не находит. Ни родной, ни DrWeb CoreIT. Требуемые логи прикладываю.
Спасибо большое заранее... Очень надеюсь на помощь...
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Установите обновления безопасности на Windows. Начать лучше с Service Pack 3 для Windows.
Скачайте файл http://narod.ru/disk/9321269000/avz.exe.html (это более свежая версия AVZ, но в ней не обновляются базы). Сохраните его в отдельную папку и выполните 2-й стандартный скрипт.
Файл с результатами (virusinfo_syscheck.zip) приложите к теме.
По поводу обновления - правила я внимательно читала, обновить не удалось - пишет файл поврежден. Вожможно проблемы в нашем proxy.
Новый лог, с рекомендуемого Вами avz во вложении.
По поводу обновления системы - это невозможно... Там стоит специализированное ПО и оно не поддерживает ОС выше теущих... Этот вопрос сейчас прорабатывается с разработчиками, но не думаю, что он решиться положительно...Поэтому придется исходить из того, что есть...
Спасибо большое...
Обвнолять - я имела ввиду установка ServisPack. Был печальный опыт. Пришлось откатываться. Если конкретные kb можете посоветовать - на одной машине попробую обязательно.
Увы. Связались с техподдержкой SCADA - они ответили что обновление системы невозможно однозначно. И, все таки, любые обновления безопасности ОС входят в следующий сервис пак. Какая разница - ставить их отдельно или в куче с другими...
Отнюдь, они говорят что админов, которые не могут организовать безаварийную работу гнать надо.
Вы больше ничего посоветовать не можете, кроме обновлений? Причина тоже не известна?
Причина с очень большой веростностью именно в отсутствии обновлений безопасности.
То есть, так как DEP - это (Data Execution Prevention) – предотвращение выполнения данных. Функция DEP позволяет отразить целый класс атак. В частности, DEP позволяет блокировать вирусы и другие вредоносные программы, пытающихся выполнить свой код из областей системной памяти, резервированных для Windows и других авторизованных программ. Обнаружив, что программа использует системную память неправильно, средство DEP принудительно закрывает программу и выдает соответствующее сообщение.
Из этих двух цитат можно сделать вывод, что машина чистая, как слеза ребенка, просто всего лишь каждый раз при загрузке какая-то сволоч к ней по сети лезет и при этом блокируется с последсвием выгрузки части служб.
Правильно я Вас поняла?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
DEP выключает svchost
Сообщение от pig
