Здравствуйте, уважаемые!
Есть сервер на базе Windows 2003 R2, P45 чипсет ASUS, проц Q9400, и 4 винта 0+1 в Raid массиве.
под серваком - 15 локальных машин. все спрятано за роутером D-LINK 808I. Все порты на нем закрыты, кроме нескольких перебрасываемых для удаленного доступа, а также поднят PPTP VPN.
установлены программы удаленного доступа: Radmin и DMW.
Программных фаерволов нет, стоковый отключен в службах. Антивирус - KASP работает.
Все работало неплохо в течение 6 мес., до вчерашнего дня.
Суть проблемы: Локальные машины неожиданно перестали видеть сервер, отключились сетевые диски, работа с интерактивной базой стала невозможна и т.п. хоть сервак и пингуется.
После перезагрузки все сетевые службы вновь стали работать нормально, доступ с локальных машин восстановился. Выползло сообщение, о том, что якобы DEP вынужден был закрыть процесс "Generic host processor Win 32", стало ясно, откуда ноги растут... связь с серваком, понятно, опять оборвалась, ставлю DEP на работу только с системными файлами, перезагружаю. Первые 30 мин. все работает, после - связь с серваком опять обрывается, причем молча. перезагружаю - все повторяется, только с разным интервалом обрыва соединений от 15 мин. до 5 часов. вот , сижу теперь весь день перезагружаю сервак, чтоб перезапустилась служба svchost (generic host processor Win 32)
что я сделал:
- командой Ipconfig /flushDNS - почистил кэш днс.
- отключил DEP (allwaysoff) в boot.ini
- скачал новые обновления win2003.
последние 3 часа все работает пока стабильно. сижу,жду. ))
Вопрос: почему раньше (ок. 6 мес) все работало с включенным DEP'om, причем для всех программ (исключения были поставлены только для ESERV). Даже когда поставил DEP в режим только для системных файлов, svchost он все равно убивал, но уже молча, несмотря на то, что он (svchost) является системным!? А системный файл не может нарушать правила записи в память и противоречить DEP'у.
Может вирус маскируется под под этот процесс?
1. Проверить комп на вирусы я не могу! Проверяю каспом - примерно на половине вылазит сообщение об ошибке с предложением отрпавить отчет (скрин прилагаю) . (вирусов на половине не нашел)
2. При запуске AVZ, ругается на перемещение системных библиотек (скриншот прилагаю). не запускает!
3. При запуске сканнера Cure it от DR web, так же ругается на перемещение системных библиотек. Даже WINRAR установить не дает! ругается таким же макаром.
сделал только лог HijackThis.
Что делать?