DEP или Вирус?

[Karim084]

Здравствуйте!

 

(вопрос задан так же на VirusInfo).

 

Есть сервер на базе Windows 2003 R2, P45 чипсет ASUS, проц Q9400, и 4 винта 0+1 в Raid массиве.

под серваком - 15 локальных машин. все спрятано за роутером D-LINK 808I. Все порты на нем закрыты, кроме нескольких перебрасываемых для удаленного доступа, а также поднят PPTP VPN.

 

Программных фаерволов нет, стоковый отключен в службах. Антивирус - KASP работает.

 

Все работало неплохо в течение 6 мес., до вчерашнего дня.

Суть проблемы: Локальные машины неожиданно перестали видеть сервер, отключились сетевые диски, работа с интерактивной базой стала невозможна и т.п. хоть сервак и пингуется.

После перезагрузки все сетевые службы вновь стали работать нормально, доступ с локальных машин восстановился. Выползло сообщение, о том, что якобы DEP вынужден был закрыть процесс "Generic host processor Win 32", стало ясно, откуда ноги растут... связь с серваком, понятно, опять оборвалась, ставлю DEP на работу только с системными файлами, перезагружаю. Первые 30 мин. все работает, после связь с серваком опять обрывается, причем молча. перезагружаю - все повторяется, только с разным интервалом обрыва соединений от 15 мин. до 5 часов. вот , сижу теперь весь перезагружаю сервак, чтоб перезапустилась служба svchost (generic host...)

 

что я сделал:

- командой Ipconfig /flushDNS - почистил кеш.

- отключил DEP (allwaysoff) в boot.ini

- скачал новые обновления win2003.

 

последние 3 часа все работает пока стабильно. сижу,жду. ))

 

Вопрос: почему раньше (ок. 6 мес) все работало с включенным DEP'om, причем для всех программ (исключения были поставлены только для ESERV). Даже когда поставил DEP в режим только для системных файлов, svchost он все равно убивал, но уже молча, несмотря на то, что он системный!?

 

Может вирус маскируется под под этот процесс?

 

1. Проверить комп на вирусы я не могу! Проверяю каспом - примерно на половине вылазит сообщение об ошибке с предложением отрпавить отчет ( скрин прилагаю)

2. При запуске AVZ, ругается на перемещение системных библиотек ( скриншот прилагаю). не запускает!

3. При запуске сканнера Cure it от DR web, так же ругается на перемещение системных библиотек. Даже Вин рар установить не дает! ругается таким же макаром.

 

сделал только лог HijackThis.

 

1.Что делать?

2. И как решать проблему с касперским? деньги заплачены, но антивирус, выходит, что не работает!

hijackthis.log

Изменено 26 марта, 2010 пользователем Karim084

[snifer67]

сделал только лог HijackThis.

Не вижу лога.

1.Что делать?

Логи avz еще можно сделать http://forum.kasperskyclub.ru/index.php?showtopic=1698

[Karim084]

Не вижу лога.

 

Логи avz еще можно сделать http://forum.kasperskyclub.ru/index.php?showtopic=1698

 

AVZ, как и говорил, запускаться не хочет. Антихайджек лог прикрепил и скрины тоже.

 

Переустановка Каспа не помогает, такая ошибка вылазит постоянно, со дня установки на чистую винду. Обновляется он нормально, и мониторит в реальном времени тоже.

[MASolomko]

Karim084, добрый вечер! Пожалуйста, выполните правила оформления запроса.

2. Если у Вас нет антивируса - воспользуйтесь онлайн сканером: http://www.kaspersky.ru/virusscanner и проверьте систему.

Пробовали пользоваться онлайн сканером?

 

А безопасном режиме получается выполнить проверку?

Также попробуйте выполнить действия по пункту 5.

Изменено 26 марта, 2010 пользователем MASolomko

[Omnividente]

c live cd пробывали загрузиться и провести полную проверку компьютера?

полиморфный avz пробывали?

Из лога вашего виндно что вирусы у вас есть

к примеру O4 - HKLM\..\Run: [74BE16] C:\WINDOWS\system32\ACF7EF\74BE16.EXE этот файлик

Изменено 26 марта, 2010 пользователем Omnividente

[vit9696]

Чтобы AVZ стал запускаться возьмите установочный диск Server 2003 и выполните восстановление системных файлов.

Пуск/выполнить/"sfc/ scannow"

Без кавычек (это команда)

Такое могло произойти при изменении системных файлов вирусом или "патчем" народных умельцев для использования тем Windows.

Изменено 26 марта, 2010 пользователем vit9696

[MASolomko]

Чтобы AVZ стал запускаться возьмите установочный диск Server 2003 и выполните восстановление системных файлов.

Пуск/выполнить/"sfc/ scannow"

Без кавычек (это команда)

Такое могло произойти при изменении системных файлов вирусом или "патчем" народных умельцев для использования тем Windows.

Дополню. Перед запуском команды

sfc/ scannow

рекомендую запустить команду

sfc/ purgecache

она очистить содержимое папки кеша системных файлов.

[Karim084]

забыл сказать, команду восстановления системных файлов я тоже делал, правда без очистки кеша. это не помогло. скоро попробую еще раз, но с очисткой.Спасибо.

 

Сканить онлайн сканером системный диск - это конечно, жесть )) нереально, имхо.

Изменено 27 марта, 2010 пользователем Karim084

[snifer67]

Пофиксить в HijackThis

O4 - HKLM\..\Run: [74BE16] C:\WINDOWS\system32\ACF7EF\74BE16.EXE

ПК перезагрузите.

 

Удалите папку C:\WINDOWS\system32\ACF7EF\

[Ummitium]

Судя по скринам, у вас на сервере устаревшая сборка КАВ.

Скачайте и установите самые новые сборки решения Kaspersky Buisnes Space Security на сервер и рабочие станции.

 

Обновления продуктов устанавливайте, естественно, после решения проблемы.

[Karim084]

Cамое интересное, что теперь после перезагрузки, порт сервака на свиче зависает, и сети нет, пока не выткнешь и воткнешь питание из свича.

не знаю, с чем это связано, то ли со скаченными обновлениями, то ли с вирусами, то ли с сетевухой, которая вдруг отключается. в настройках сетевухи я изменил один параметр (хотел отключить энергосбережение/засыпание ее) точно щас не вспомню, какой (связан как-то с WAKE) , но может в нем дело.

 

огромное спасибо за рекомендации! реализую их теперь в понедельник, сразу отпишусь! удаленно теперь на машину не попасть из-за свича.

[Karim084]

Выполнил сегодня:

 

1. sfc/purgecache

2. sfc/scannow (диск с виндой не всавлял, т.к. он не обращался к CD вообще)

3. пофиксил в хайджеке: O4 - HKLM\..\Run: [74BE16] C:\WINDOWS\system32\ACF7EF\74BE16.EXE

 

комп не перезагружал, т.к. после перезагрузки на свиче стал отключаться порт из-за этого.

 

меры не помогли! все так же ругается при запуске AVZ или еще чего-то на перемещение системной библиотеки, всегда одной и той же. COMCTL32.dll (на скрине виден полный путь)

 

полиморфный AVZ так же не запускается.

 

что еще можно сделать?

 

новый лог хайджека прикрепляю.

hijackthis.log

Изменено 29 марта, 2010 пользователем Karim084

[Karim084]

в общем, после перезагрузки картина не изменилась, ни одно из действий не помогло.

есть ощущение, что что-таки в системе все же сидит нехорошее, т.к. иногда все-таки сеть перестает работает, примерно раз в сутки, а теперь и меньше..

что касается библиотеки COMCTL32.dl, может кто-нить поделится свежим файлом, мой порепаный не хочет восстанавливаться.

 

еще раз прошу помочь. спасибо.

[vit9696]

Ясно, скачайте Live CD - и проверьте комп (Касперского конечно )

http://devbuilds.kaspersky-labs.com/devbui...v_rescue_10.iso

[Karim084]

Ясно, скачайте Live CD - и проверьте комп (Касперского конечно smile.gif)

http://devbuilds.kaspersky-labs.com/devbui...v_rescue_10.iso

 

думаю, это не исправит ситуацию, нужен необходимый *.dll. а потом уж проверять.

да исама проверка из доса посредствоии ливсиди - это ж убийство системы , может порепать системные файлы, это ж сервак как-никак.