На сервере стоит Windows 2003 (SP1, к сожалению, ставилось без меня, поэтому обновления никто не установил. Сейчас они как-то проблемно ставятся).
При входе в систему выходишь ошибка DEP:
"Для защиты компьютера эта программма была закрыта системой
Имя программы: Generic host process for win32 services"
Отваливаются сетевые службы такие как обозреватель компьютеров, сервер, рабочая станция.
Сервер служит шлюзом в интернет через прокси Usergate, там же есть веб-сервер apache с субд mysql, почтовый сервер kerio mail, и служит входящим vpn-сервером для своих пользователей из инета (служил, т.к. сейчас служба не запускается).
Стоит DrWeb 4.44 для серверов, постоянно обновляется, ничего не находит.
Что за вредность завелась и как лечить?
Глянул немного в лог, сразу включу два "подозрительных" драйвера:
1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=F5ECA000, размер=81920, имя = "\SystemRoot\system32\DRIVERS\redbook.sys"
>> Маскировка драйвера: Base=F5FBE000, размер=86016, имя = "\SystemRoot\system32\DRIVERS\cdrom.sys"
Последний раз редактировалось pig; 31.01.2009 в 04:33.
Причина: убрал левый файл
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Перезагрузите сервер. Когда появиться окно с ошибкой DEP не закрывайте его, а выполните в скаченном AVZ 2-й стандартный скрипт.
Файл с результатами (virusinfo_syscheck.zip) приложите к теме.
Сообщение от NoOne_On
Стоит DrWeb 4.44
Удаляйте, ставьте версию 5.0.
redbook.zip уберите из темы.
Последний раз редактировалось AndreyKa; 31.05.2009 в 15:31.
Перезагрузите сервер. Когда появиться окно с ошибкой DEP не закрывайте его, а выполните в скаченном AVZ 2-й стандартный скрипт.
Файл с результатами (virusinfo_syscheck.zip) приложите к теме.
Сейчас ставятся все обновления, как только установятся, сразу сделаю.
NoOne_On, вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами:
Ваш аккаунт имеет недостаточно прав для доступа к этой странице. Вы пытаетесь редактировать чьё-то сообщение, использовать административные полномочия или прочие опции ограниченного доступа?
Вы пытаетесь написать сообщение, но ваш аккаунт отключён администрацией или ожидает активации.
Действительно, ещё нет. Не мог предположить, что за месяц с лишним после выхода Dr.Web для Windows 5.0 для рабочих станций, ещё не обновили серверную версию.
Перезагрузите сервер. Когда появиться окно с ошибкой DEP не закрывайте его, а выполните в скаченном AVZ 2-й стандартный скрипт.
Файл с результатами (virusinfo_syscheck.zip) приложите к теме.
К счастью или к сожалению, но после обновления (все патчи до SP2) ошибка DEP перестала выходить. Потом ещё установил SP2 и накатил остальные обновления.
Прикладываю файл с анализом AVZ с вышеуказанной ссылки.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: