Показано с 1 по 18 из 18.

Непонятное поведение Windows Server 2003 (заявка № 84893)

  1. #1
    Junior Member Репутация
    Регистрация
    16.12.2009
    Сообщений
    33
    Вес репутации
    53

    Arrow Непонятное поведение Windows Server 2003

    Серьезные подозрения на вирус. Все началось с того, что сервер пропал из сети. При попытке зайти в свойства сетевого адаптера, подвисло все окно "Сетевые подключения", при этом ОС работает нормально. Дальше больше, при попытке остановки служб, так же подвисает окно со службами, при попытке установки программ - то же самое. Программы запускаются выборочно, AVZ - запустился, а вот Cure It - нет. Nod с актуальными базами ничего не нашел, AVZ тоже, но по всем признакам какая то зараза сидит.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     TerminateProcessByName('c:\documents and settings\cto\local settings\temporary internet files\content.ie5\b4m95hn0\469c7vgb[1].exe');
     QuarantineFile('C:\WINDOWS\TEMP\MBX@728@11E33A0.###','');
     QuarantineFile('c:\documents and settings\cto\local settings\temporary internet files\content.ie5\b4m95hn0\469c7vgb[1].exe','');
     DeleteFile('c:\documents and settings\cto\local settings\temporary internet files\content.ie5\b4m95hn0\469c7vgb[1].exe');
     DeleteFileMask('c:\documents and settings\cto\local settings\temporary internet files\content.ie5','*.*',true);
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам

    Выполните: http://support.kaspersky.ru/kis2009/error?qid=208636215

    Сделайте новые логи

  4. #3
    Junior Member Репутация
    Регистрация
    16.12.2009
    Сообщений
    33
    Вес репутации
    53
    Выполнил скрипт, сходил по ссылке, поставил 3 заплатки, прошелся утилитой kk.exe. После этого сделал новые логи. Видимых изменений - нет.

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Такой лог сделайте: http://virusinfo.info/showthread.php?t=40118

  6. #5
    Junior Member Репутация
    Регистрация
    16.12.2009
    Сообщений
    33
    Вес репутации
    53
    Цитата Сообщение от Venus Doom Посмотреть сообщение
    Такой лог сделайте: http://virusinfo.info/showthread.php?t=40118
    Сделал.

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
    Код:
    gmer.exe -del service yltfl
    gmer.exe -del file "C:\WINDOWS\system32\czukmdv.dll"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\yltfl"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\yltfl"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\yltfl"
    gmer.exe -reboot
    И запустите cleanup.bat.
    Компьютер перезагрузится

    Сделайте новый лог gmer.

  8. #7
    Junior Member Репутация
    Регистрация
    16.12.2009
    Сообщений
    33
    Вес репутации
    53
    Цитата Сообщение от Venus Doom Посмотреть сообщение
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
    Сделайте новый лог gmer.
    Батник сделал и выполнил.
    Лог записал.
    Изменений нет.

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Сделайте новый комплект логов

  10. #9
    Junior Member Репутация
    Регистрация
    16.12.2009
    Сообщений
    33
    Вес репутации
    53
    Цитата Сообщение от Venus Doom Посмотреть сообщение
    Сделайте новый комплект логов
    Эти нужны логи?

  11. #10
    Junior Member Репутация
    Регистрация
    16.12.2009
    Сообщений
    33
    Вес репутации
    53
    Вы не забыли про меня? Проблема все еще актуальна.

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Sp2 для Win Server 2003 установите

  13. #12
    Junior Member Репутация
    Регистрация
    16.12.2009
    Сообщений
    33
    Вес репутации
    53
    Цитата Сообщение от Venus Doom Посмотреть сообщение
    Sp2 для Win Server 2003 установите
    Установил. Не помогло. Прогнал систему быстрой проверкой MBAM - ничего не нашел.

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от MegaTech Посмотреть сообщение
    Установил. Не помогло. Прогнал систему быстрой проверкой MBAM - ничего не нашел.
    Не нужно на сервере запускать кучу всего по принципу "не понятно что,а вдруг поможет" - не поможет, точнее поможет - добить сервер... Давайте разбираться по порядку:
    1. Что происходило перед появлением проблемы (что-то устанавливалось, удалялось, переустанавливалось, обновлялось, были перезагрузки и т.п.) ? - это важно
    2. В логах видны "хвосты" от NOD, но с пометкой "файл не найден". NOD утановлен или нет ? Если нет, то удален он был некорректно и это могло вызвать проблемы. на этот случай есть утилита ESET Uninstaller - http://kb.eset.com/esetkb/index?page...nt&id=SOLN2289. Я бы в любом случае советовал прогнать этот унинсталлер для профилактики
    3. что показывает диспетчер устройств, есть ли там среди оборудования сетевая карта, не показывает ли по ней диспетчер проблем ?
    4. что видно в журналах сервера ? Для начала стоит посмотреть журналы "Система" и "Приложения", любые аварийные события за ближайшее время прольют свет на проблему
    5. Что расскажет ipconfig /all > ip_log.txt ? (лог следует приатачить сюда)
    6. Еще вопрос - есть ли в сети домен ? Active Directory ?
    7. Не производились ли перед появлением глюка манипуляции со службами (отключени, включение - как вручную, так и разными твикерами). Если производились - то мы проведем процедуру сравнения состояни служб с эталонным сервером, может что-то важное отключено или не может загрузиться
    Последний раз редактировалось Зайцев Олег; 11.08.2010 в 16:50.

  15. #14
    Junior Member Репутация
    Регистрация
    16.12.2009
    Сообщений
    33
    Вес репутации
    53
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    1. Что происходило перед появлением проблемы (что-то устанавливалось, удалялось, переустанавливалось, обновлялось, были перезагрузки и т.п.) ? - это важно
    Ничего не ставилось и не обновлялось. Как мне сообщили, выключали свет надолго, упс комп вырубил, после включения он перестал быть виден в сети. С этого момента я им и занялся.
    2. В логах видны "хвосты" от NOD, но с пометкой "файл не найден". NOD утановлен или нет ? Если нет, то удален он был некорректно и это могло вызвать проблемы. на этот случай есть утилита ESET Uninstaller - http://kb.eset.com/esetkb/index?page...nt&id=SOLN2289. Я бы в любом случае советовал прогнать этот унинсталлер для профилактики
    Нод стоял, но на момент возникновения проблем, у него почему то была отключена "защита файлов в реальном времени", были мысли что возможно он блокирует сетевой трафик. Удалил его ручками из безопасного режима.
    ESET Uninstaller'ом удалил то что он нашел.

    3. что показывает диспетчер устройств, есть ли там среди оборудования сетевая карта, не показывает ли по ней диспетчер проблем ?
    Сетевая карта есть. Диспетчер проблем не показывает. Пробовал отключать\включать, переустанавливать драйвера. Я думаю, проблема не в сетевой карте, это лишь один из симптомов.
    4. что видно в журналах сервера ? Для начала стоит посмотреть журналы "Система" и "Приложения", любые аварийные события за ближайшее время прольют свет на проблему
    Сейчас проанализирую.
    5. Что расскажет ipconfig /all > ip_log.txt ? (лог следует приатачить сюда)
    Ничего особенного не рассказал. Сетевуху видит, настройки тоже. Лог приложил.

    6. Еще вопрос - есть ли в сети домен ? Active Directory ?
    Нет.

    7. Не производились ли перед появлением глюка манипуляции со службами (отключени, включение - как вручную, так и разными твикерами). Если производились - то мы проведем процедуру сравнения состояни служб с эталонным сервером, может что-то важное отключено или не может загрузиться
    Нет не производились. Сейчас любые попытки манипулировать со службами, заканчиваются зависанием этого окна.

  16. #15
    Junior Member Репутация
    Регистрация
    16.12.2009
    Сообщений
    33
    Вес репутации
    53
    Сидел изучал запущенные процессы. Привлек внимание процесс msmdsrv.exe, который грузил процессор примерно на 50%. После завершения его, работа системы нормализовалась! Ушли зависания и сервер стал виден в сети.

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от MegaTech Посмотреть сообщение
    Сидел изучал запущенные процессы. Привлек внимание процесс msmdsrv.exe, который грузил процессор примерно на 50%. После завершения его, работа системы нормализовалась! Ушли зависания и сервер стал виден в сети.
    Я так и предополагал ... эта гипотеза у меня была на очереди, но требовалось подтверждение. Вот оно:
    Как мне сообщили, выключали свет надолго, упс комп вырубил, после включения он перестал быть виден в сети. С этого момента я им и занялся.
    Другим кандидатом был RAID контроллер - если он устроит себе проверку и пересоздание массива после краха системы, то это может занять до суток и система будет еле шевелиться.
    Процесс вы зря прибили. Дело в том, что после внезапного "падения" сервера в базе SQL Server что-то портится, и он начинает некое самовосстановление + возможно перестроение выборок Analysis Service (данный процесс от него). Пока оно идет, в системе (если это небольшой сервер, на не 64 процессорный с мега-стораджем) наблюдаются тормоза вплоть до полного ступора (если софтверный RAID5 - то ступор с грантией). Если в диспетчере задач вывести столбцы, показывающие дисковый обмен - будет видно, что он и другие процессы MS SQL вовсю шуруют диском, идет поток операций чтения и записи, и длиться это может часами.
    Убивать процесс некорретно - если есть подозрение, то лучше зайти в SQL Server Management Studio и корректно погасить базу целиком, если все пропадет - то виновник найден и нужно разбираться, что творится в недрах MS SQL ...

  18. #17
    Junior Member Репутация
    Регистрация
    16.12.2009
    Сообщений
    33
    Вес репутации
    53
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Если в диспетчере задач вывести столбцы, показывающие дисковый обмен - будет видно, что он и другие процессы MS SQL вовсю шуруют диском, идет поток операций чтения и записи, и длиться это может часами.
    Убивать процесс некорретно - если есть подозрение, то лучше зайти в SQL Server Management Studio и корректно погасить базу целиком, если все пропадет - то виновник найден и нужно разбираться, что творится в недрах MS SQL ...
    Спасибо, за подробное разжевывание проблемы. Займусь изучением данного вопроса.

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) MegaTech, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. windows server 2003
      От алдар в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 16.10.2009, 12:52
    2. Windows Server 2003 SP1
      От VK_ в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 05.10.2009, 14:19
    3. вирус и windows 2003 server.
      От uffiget в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 04.10.2009, 22:25
    4. Windows Server 2003 SP2 [Virus.Win32.Sality.aa ]
      От trigger_rs в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 16.01.2009, 11:40
    5. Вышел Service Pack 2 для ОС Windows Server 2003 и Windows XP x64bit
      От ALEX(XX) в разделе Новости компьютерной безопасности
      Ответов: 2
      Последнее сообщение: 16.03.2007, 13:58

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01520 seconds with 19 queries