-
Junior Member
- Вес репутации
- 56
Сломался запуск Explorer.exe на W2K3
Здравствуйте, уважаемые форумчане! Помогите пожалуйста начинающему сисадмину.
На сервере с операционкой W2003 Enterprise SP1 перестал запускаться Explorer.exe. Логинишься, и Черный-черный экран с мышью. Говорят, это произошло после чистки системы с помощью Advanced System Care - но я такого еще не встречал, думаю, что это вирус. Невозможно Explorer.exe даже из Диспетчера задач вызвать. Интересно, что если пытаться его из Тотал Коммандера запустить (который через Диспетчер задач в свою очередь запускаешь), то выдает такое: "failed to create process default activation context". Замена или переименование файла Explorer.exe не помогает. Стандартные проверки на паразитные оставляемые вирусами ключи реестра типа "ImageFileExecution" показывают, что всё чисто. Ничего не находит ни AVPTool, ни CureIt (смотрел другой сисадмин в безопасном режиме). AVZ пишет мне, что "восстановлено 25 функций KiST в ходе работы антируткита", однако Рабочий Стол все равно не загружается. Опции в AVZ восстановления запуска Explorer.exe также не помогает. Откатить назад невозможно, не работает средство "Восстановления системы", отсутствует файл rstrui.exe, а откат через сам Advanced System Care не помогает. Кстати, также не работают многие опции настроек системы типа вкладки "HardWare/Device Manager" в "Свойствах системы" - пишет "Ошибка ММС - Класс не зарегистрирован". Такое чувство, что глобально слетела система... Переустановка неприемлема, ибо сломается Active Directory и весь домен в организации.
От меня требуют решить проблему удаленно, через RDP-подключение, до завтрашнего утра (сервер в Москве, а я в дальнем Подмосковье). Проблема еще в том, что невозможно отключить "Восстановление системы", много чего вообще не запускается, и еще не получается выгрузить какую-то часть Касперского, убиваешь "kavfswp.exe" в Диспетчере задач, а он вместо этого аж в двух экземплярах там получается! И как при диагностике отключаться от Интернета, тоже не представляю - ибо я потом удаленно не зайду! Но может, и с такими условиями можно что-то понять? Особенно если это все-таки не вирус, а просто системный "глюк".
Не сохраняется, хоть тресни, лог "Скрипт сбора информации для раздела "Помогите!" virusinfo.info"". После выполнения этого скрипта я нигде не обнаруживаю лога "virusinfo_syscheck.zip". Зато в окне сообщений AVZ при этой проверке куча красных предупреждений, что кем-то перехвачены целая куча функций из kernel32 и user32.dll, а также подозрение на "маскировку" smss.exe.
Вот логи, которые удалось забрать с системы:
Посоветуйте пожалуйста для начала, как сделать лог "virusinfo_syscheck.zip", который не хочет сохраняться. Может, из окна самого AVZ взять и скопировать отчет после запуска "Скрипт сбора информации для раздела "Помогите!"?
Добавлено через 44 минуты
Еще одну штуку нехорошую, обнаружил, не устанавливается драйвер расширенного мониторинга процессов AVZPM.
Последний раз редактировалось Rene-gad; 23.11.2009 в 00:03.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Nik2286
Говорят, это произошло после чистки системы с помощью Advanced System Care - но я такого еще не встречал
Это нормальная программа http://www.iobit.com/advancedwindowscareper.html просто кто с ним на сервер полез?
Откатить назад невозможно, не работает средство "Восстановления системы"
Восстановление системы на серверах отсутствует.
Логи ничего подозрительного не показывают, попробуйте переустановить систему в режиме восстановления.
-
-
Junior Member
- Вес репутации
- 56
На сервер полез второй сисадмин, просто в момент чистки реестра случился какой-то сбой. А Active Directory не испортится от режима восстановления?
-
Сообщение от
Nik2286
Переустановка неприемлема, ибо сломается Active Directory и весь домен в организации.
В сети должно быть 2 контроллера домена.
Сообщение от
Nik2286
От меня требуют решить проблему удаленно
Я бы за такое не брался.
-