драйвер AVZ уронил систему.. вроде

[miv63]

Добрый день
утром 2003 Windows сам пошёл в ребут... оставив 100 метровый дамп. после анализа выяснилось, что послужил этому...

Crash date: Wed Jun 16 07:06:11.373 2010 (GMT+4)
Stop error code: 0xc2_7_172X
Process name: System
Probably caused by: uzmwmjg5.sys ( uzmwmjg5+177b )

который лежит в system32/drivers
Вроде это драйвер AVZ, ибо в реестре

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\u zmwmjg5]
"DisplayName"="AVZ-RK Kernel Driver"
"ErrorControl"=dword:00000000
"ImagePath"="\\??\\C:\\WINDOWS\\system32\\Drivers\ \uzmwmjg5.sys"
"Start"=dword:00000001
"Type"=dword:00000001
"Group"="Boot Bus Extender"
"Tag"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\u zmwmjg5\Enum]
"0"="Root\\LEGACY_UZMWMJG5\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


AVZ никто не запускал, по крайней мере в момент ребута и в ближайшее время до ребута. Давно как-то сканировал... Антивирус установлен DrWeb. Собственно вот меня мучает вопрос - почему он ребутнул ось... и как-бы этого избежать в будущем. Если нужны какие логи (не стал всё сразу делать, т.к. вроде не вирус), то говорите - вышлю всё что нужно.
Спасибо заранее.

Добавлено через 9 минут

Только что опять перезагрузился. С такой же ошибкой

[thyrex]

Выполнить скрипт

Код:

 begin
SetAVZPMStatus(False);
ExecuteStdScr(6);
RebootWindows(true); 
end.

Компьютер перезагрузится.

[miv63]

Что произойдёт? Отключится драйвер AVZ? Просто это работающий архи-важный сервер и перезагрузка довольно не желательна.
Я пока просто удалил (перенёс) этот sys из drivers в другое место.
И есть ли объяснение тому почему и с чего это вдруг произошло.
Спасибо.

[Зайцев Олег]

Что произойдёт? Отключится драйвер AVZ? Просто это работающий архи-важный сервер и перезагрузка довольно не желательна.
Я пока просто удалил (перенёс) этот sys из drivers в другое место.
И есть ли объяснение тому почему и с чего это вдруг произошло.
Спасибо.

Объяснение есть, и даже есть совет - нужно срочно уволить админа архиважного сервера AVZ-RK Kernel Driver - это драйвер мониторинга AVZ, висит в памяти постоянно, устанавиливается вручную путем включения "AVZ PM" в меню. Перенос драйвера не решит проблему - он явно загружен в память (он грузится в момент загрузки системы). Необходимо вернуть драйвер на место, запустить AVZ, и выключить AVZ PM через меню - это приведет к корректному отписыванию драйвера и его выгрузке из памяти сервера (держать на сервере AVZ PM постоянно - это не лучшее, что можно придумать). Эта операция происходит без перезагрузки ПК - драйвер получает команду прервать мониторинг и выгрузится, обычно это бывает без проблем

[miv63]

Ну вообще я и так понял, что это драйвер "слежения за запуском процессов и загрузкой драйверов" и для чего он нужен и т.д., я умею читать документацию к продуктам. И то что Вы мне сейчас поведали я тоже прекрасно понимаю и знаю. То что туда поставили этот драйвер и забыли убрать - это дело десятое и не суть важное. Зачем перенёс (я специально сделал ударение что НЕ УДАЛИЛ) - чтобы в течении дня крахов опять не было. И убрав дела про увольнения и т.д. заметим , что на главный вопрос Вы так и не ответили - почему и что спустя пол года - год вдруг с подвигло этот драйвер завалить венду в жёсткий ребут, аш два раза в течении 3 часов? Спасибо

[Зайцев Олег]

И убрав дела про увольнения и т.д. заметим , что на главный вопрос Вы так и не ответили - почему и что спустя пол года - год вдруг с подвигло этот драйвер завалить венду в жёсткий ребут, аш два раза в течении 3 часов? Спасибо

А не надо убирать дела про увольнение - они в такой ситуации главные ... так как баловаться с разными вещами типа драйверов AVZ на важном сервере - это крайне чреватое занятие, в общем-то на сервере недопустимое (там и антивирус не нужен, если на то дело пошло). Обычно драйвер AVZ PM устанавливается, выполняется перезагрузка, делаются и изучаются логи после ребута, и затем драйвер удаляется (это делается по указанию хелпера при подозрении по косвенным признакам на определенный тип руткитов). Зачем он висел в памяти длительное время во время работы, кто и зачем его туда поместил, почему не убрали, что там еще творилось параллельно - загадка с множеством переменных.

[miv63]

Не стОит убирать и человеческий фактор в этом деле, или ни разу ничего не забывали? Так всё же... за что он винду то роняет.... причём через такое кол-во времени и множества перезагрузок? Может ли тут быть причиной дрвеб, хотя он стоит на сервере этом довольно большое время - около месяца и несколько раз перезагружался. Но в логах дрвеба ничего нету по этому поводу - я тщательно всё изучил. Обновлений от MS тоже давно не было, что тоже в принципе почти исключает их причастность. Мне хочется понять этот вопрос, ибо вот такой я человек - хачу знать

Кстати вот вырезка из документации AVZ
"Совместимость

Драйвер мониторинга может применяться совместно с антируткитом и системой AVZ Guard AVZ, а так-же с антивирусными мониторами и HIPS системами других производителей"

А про антивирус на сервере - спорное заявление.

[Зайцев Олег]

Ну та а что конкретно Вы хотите услышать в ответ на вопрос "есть некий ПК считаемый неким серверов для решения неких задач. На нем неизвестное время назад неустановленными лицами был за неизвестной надобностью поставлен драйвер мониторинга AVZ неизвестной версии. После выполнения неизвестных действий на данном сервере в течении неизвестного (но длительного) времени сервер упал по неустановленной причине. Вопрос - а почему AVZ уронил систему ?"
На самом деле:
1. я описал ситуацию с юмором, но весьма близко к истине - слишком много неизвестных - ведь точно неясно, что делалось на этом сервере, какие там работают задачи, что творится в самой системе, что делает антивирус в фоне - какие проверки выпоняются, что делает антируткит антивируса. Масса этих факторов вполне может привести к непредсказуемому глюку, в частности ив драйвеер AVZ. Это нормально, поэтому AVZ PM обычно включают на время анализа, и затем отключают - именно так и положено его применять, постоянно держать AVZPM в памяти - ошибка
2. Если в дампе сказано "Probably caused by: uzmwmjg5.sys" - то совершенно не факт, что драйвер является причиной падения (см. причину п.п. 1) ... нередко например при сбое на диске снимается дамп, где место падения - к примеру в драйверах звуковой карты
3. Ответ на вопрос "что делать, чтобы не повторилось" был уже дан два раза - отключить драйвер и все, для этого служит указанный скрипт или указанный мной алгоритм выключения.
4. Стоит еще раз прислушаться к моему совету - если это важный сервер, то на нем категорически нельзя безобразничать - каждый шаг должен быть тщательно выверен. В моем понимании сервер - это ящик в стойке, на котором опытным админом установлена операционка, она настроена и работает без единого сбоя годами (возникает вопрос - откуда на сервер может попасть вирус ? В общем-то только по локальной сети через непропатченную уязвимость - это единственный путь, притом маловероятный).

[miv63]

Конечно всё правильно говорите... но надеялся что есть более конкретное объяснение, а не просто, что вот так и так может такое быть. Ну да ладно. Главное вопрос решён ) А сервак ничо сложного и особенного. Winsrv2003 MsSQL2005 и штук 15 баз. Ну а вирус не помню какойбыл. Червь какой-то. А червю попасть туда куча способов. Спасибо