ОС:Win2003
Около суток назад стало появляться окно ошибки вроде Cамоотключение Services.exe (NT AUTHORITY\SYSTEM) c кодом состояния 128 и обратным таймером 60 сек. Потом выкл.
Выключение можно отменить shutdown -a но после этого ложатся пачками службы (ничего не работает, типа сетевые принтеры итд). Серв жутко тормозит, хотя процессор не нагружен.
При чем в логах чисто.
Думал, что проблема как описываают на сайте Микрософта, когда такая ошибка вылазит из-за ключей в реестре со ссылками на несуществующие шары. Пофиксил - не помогло.
В безопасном режиме НОД и AVZ не нашли ничего. CureIT отловил один Troyan.Download.60043 в файле с:\windows\system32\QW2CywG.exe и удалил его но проблема не пропала. Virus removal tool от Kaspera, скачаный по ссылке из Правил форума, как обычно "порвал на тряпки" кэш НОДа и занесенный CureITом в карантин файлик,но нового ничего не увидел.
Если отключить локалку и Интернет выниманием шнура, окно ошибки не вылазит.
Если убрать в настройках сетевого интерфейса шлюз и ДНС и подключить сетку,то ошибка тоже не вылазит и можно спокойно пользоваться локалкой. Но если после этого Шлюз и ДНС прописать заново, ошибка тут как тут. При чем снова в настройки зайти не получится:"Непредвиденная Ошибка"
При визуальном осмотре папки System32 были обнаружены несколько подозрительных файлов с бредовыми именами: AM5meyG.exe, xrxr1Ci.exe, Upg351db.exe. Изолировал их.
В безопасном режиме невозможно развернуть бекап-образ Acronisa из-за того, что служба RPC лежит. (возникла радикальная идея глобального отката системы). С диска акрониса тоже не выходит восстановиться - пишет, архивы повреждены. Но в винде с отключеным инетом проверка архивов на целостность проходит нормально. Если ничего не поможет, то наверно так и буду восстанавливать. Но, похоже, нет гарантий что он не прицепится снова, так как до сих пор не понятно каким путем оно проникло. Также нет уверенности, что зараза не прилипнет на свежепереустановленую ось.
Предположительно было подцеплено при работе какого-то терминального санса в нете. Наиболее вероятно - с админскими правами.Флешек и дисков никто не сувал уже месяца четыре. Но в локалке еще есть пару локальных машин на ХР, которе обмениваются через расшареные папки.
Прошу помощи.
Последний раз редактировалось Ocarb; 27.05.2010 в 13:21.
Причина: Добавление информации, исправление грамматических ош
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Загрузил запрошеный карантин. Архив весил около 432 мб. Если надо перезалить, дайте знать. Спасибо.
Еще дополню. Сервер, на котором произошла беда, используется в основном для терминального доступа в сеансы тонких клиентов через Citrix. Но и по RDP Тоже ходят.
C Вами общаюсь со здоровой машины на ХР в той же локалке. Шары поприбивал, файлики таскаю флешкой, которую все время проверяю.
Сервер работает в полуаварийном режиме, то есть с притертыми параметрами шлюза и ДНС сетевого интерфейса. Программы, требующие связи с нетом перенесены на локальные машины (типа клиент-банк).
Офис работает как будто нормально, но проблема все еще актуальна.
Спасибо за скорую реакцию.
Перегружать буду вечером.
Добавлено через 25 минут
А еще после вкл.откл инета на сет. интерфейсе и отмены отключения shutdown -a нельзя было запустить iexplore.exe. Окно появляется и исчезает. Без описаной процедуры (уже после ребута) работает нормально.
Добавлено через 30 минут
Если не трудно, скажите пожалуйста, что это такое, как пролезло, и самое главное
как избегать подобного в дальнейшем.
Последний раз редактировалось Ocarb; 27.05.2010 в 17:02.
Причина: Добавлено
Выполнил скрипт, написало что выполнено без ошибок, хотя файлы, в нем указаные (1. aM5meyG.exe, 2. QW2CywG.exe) были удалены еще до его (скрипта) запуска: первый был изолирован мной вручную, а второй прибил еще CureIT в режиме проверки в безопасном режиме.
После перезагрузки слетел порядок загрузки веников, я удивился но поправил, мало-ли - бывает.
И тут!!! О Боги! Система перестала пускать в себя под любыми учетными записями. Возникает окошко логона, ввожу логин-пароль, вроде начинают грузиться службы (можно заметить как появляется и исчезает окно НАSPа) и снова окно Логона! и так хоть до бесконечности. Даже в безопасном режиме.
Очень прошу помощи!
Логи HijackThis и карантин AVZ прислать не могу, потому что не могу попасть в систему.
Похоже, проблема слетания порядка загрузки винчестеров была на поверхности. И происходила из-за вставленой флешки.
Как ни прискорбно мне это писать, но проблема решена не была. Эфективного решения в данном конкретном случае мы не узнаем никогда, потому что система была успешно восстановлена из Backup Архива. Соответственно все следы проблемы уже безвозвратно похоронены.
Так что данную тему можно смело закрывать.
Напоследок шутка в тему: Админы делятся на тех, кто еще не бекапится и на тех, кто УЖЕ бекапится. Я, слава Богу, отношусь ко вторым.
Добавлено через 2 часа 25 минут
Оппа! в изолированном и уже здесь упомянутом файле aM5meyG.exe, наконец-то НОД сумел обнаружить Win32/spy.Shiz.NBD троян. Если надо для коллекции, могу прислать архивчик строго с этим файлом.
Последний раз редактировалось Ocarb; 01.06.2010 в 00:00.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: