Система на сервере деградирует

**StepIn** · 13.01.2011, 23:00

C наступающим Старым Новым Годом!
Система на сервере перестала работать. Сначала не было доступа к сетевым устройствам, потом не стали запускаться приложения на сервере где используется microsoft management console, затем перестали запускаться и другие программы. Запустить avz4 не удалось даже после переименования. Лог смог сделать только в безопасном режиме.
Затем восстановил систему из образа. Сначала все работало, затем система перестала видеть некоторых пользователей, затем снова начались проблемы с сетью, но интернет поначалу был. Затем система стала деградировать, и все закончилось практически не работающей системой, как и было прежде описано в 1 абзаце.
Снова восстановил систему из образа. Нет доступа к сетевым компьютерам с сервера, хотя по IP и имени все пингуется. А вот с локальных компьютеров есть доступ к серверу, а к другим локальных компьютеров только к некоторым и то через некоторое время. Настройки вроде в порядке, кроме того восстанавливал с образа гарантированно рабочей системы. Попробую сейчас сделать все необходимые логи.
Стандартный вопрос: Что делать?
Кстати сегодня 13, хотя и не пятница…

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**StepIn** · 14.01.2011, 00:13

Вот логи которые смог сделать. Посмотрите, пожалуйста, нет ли чего нехорошего на сервере. А я пока буду смотреть настройки домена.

**StepIn** · 15.01.2011, 02:18

Восстановил систему еще раз. На этот раз кроме диска C восстановил и диск E, на котором установлен софт. Деградации системы не происходит. Система работает, того что было ранее нет. Все программы стартуют. Однако проблемы с сетью остались. Посмотрел лог системы, а там ошибки Group Policy objects и тд. Понимаю, что это тема не для вашего форума. Поэтому хотелось бы получить у уважаемых хелперов ответы на 2 вопроса.

1. Есть ли вирусы в первых логах (практически полностью не работающая система).
2. Есть ли вирусы во вторых логах (работающая система с проблемами GPO).

**StepIn** · 21.01.2011, 03:41

Вчера вечером снова сервер начинает переставать работать. Прошло 5 дней.

**миднайт** · 21.01.2011, 14:46

multimed.svitonline.com - это знакомый адрес?
В AVZ выполните скрипт:

Код:

begin
 QuarantineFile('C:\Temp\WinIo.sys','');
BC_QrFile('C:\Temp\WinIo.sys');
BC_ImportAll;
BC_execute;
end.

Потом

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.

**StepIn** · 21.01.2011, 18:52

Да, это мой адрес.
Скрипт выполнил. Карантин выслал:

Файл сохранён как 110121_184930_quarantine_4d39ab0ade0cc.zip
Размер файла 19042
MD5 47e098e8e25ebcb4440610fd93bedd44

Этот раздел можно полностью удалить.

**StepIn** · 22.01.2011, 16:30

Что с карантином?

**миднайт** · 23.01.2011, 00:39

Файл в карантине чистый.
Прогоните скриптом на уязвимости ScanVuln.txt
откройте файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.

**StepIn** · 23.01.2011, 01:35

Спасибо! Вчера восстановил систему, накатил SP2, на всякий случай поменял пароли. Завтра сделаю все апдейты и прогоню скрипт на уязвимости.

**StepIn** · 24.01.2011, 20:22

Пока не удается сделать апдейты. Во время Windows Update происходит зависание системы. После принудительного закрытия IE, сделал прерзагрузку системы. После регистрации файервол предложил обновить несколько компонентов системы, что и было сделано. Какие конкретно файлы требовали обновления, я, к сожалению, не записал. После перезагрузки, система загрузилась, но после регистрации не загрузился пользовательский интерфейс. Даже диспетчер задач не смог стартовать. Похоже на то, что какой-то компонент после обновления «убивает» систему. Сейчас опять восстановил систему, попробую локализовать файлы, после обновления которых, наступает коллапс системы.
Вот новые логи еще работающей, как мне кажется, системы. Посмотрите, пожалуйста, нет ли каких-нибудь зловредов в этой системе?

**StepIn** · 24.01.2011, 23:17

Стал внимательно смотреть за файлами, которые просились обновиться. Среди прочего, была попытка обновить следующий файл _sfx_.dll, который я не смог обнаружить на диске, в том числе и с помощью avz4. У этого файла не было ни подписи производителя, ни версии. Я не стал давать разрешения обновлять информацию этого компонента.

**StepIn** · 24.03.2011, 19:04

Проблема была в антивирусе. Снес Symantec и система работает нормально. Можно перегружаться, система перестала «деградировать». Всем большое спасибо за помощь!