Tomsk Sysadmins Forum
Windows => Разное => Topic started by: WhiteAngel on December 08, 2004, 10:51:35
-
Так получилось, что на машине с установленной Win2000 Prof (SP2) при тестировании возможности видеоконференции в инете пришлось навремя выключить fireWall (ZoneAlarm) :( Через минуту (даже удивительно, что так долго) она была атакована червем, который вызывает перезагрузку системы.
Понимаю, что сам виноват... Но крайне необходим совет более опытных: как и чем можно теперь вылечить машину без переустановки Оси?
Попытался проверить на вирусы KAV - все чисто. Установил SP4, но эффекта ноль. Под Администратором работать можно, а при входе под Пользователями или Опытными Пользователями машина при старте WIN сразу же перезагружется. :(
-
Почистить под админом (без сети) от лишних программ все стартующие ветки регистри (в HKLM и HKCU) и почикать файлы, к которым эти записи относятся. Предварительно убить лишние процессы и сервисы, работающие в данный момент.
-
Почистить под админом (без сети) от лишних программ все стартующие ветки регистри (в HKLM и HKCU) и почикать файлы, к которым эти записи относятся. Предварительно убить лишние процессы и сервисы, работающие в данный момент.
[snapback]191[/snapback]
Да это я первым делом проверил! В ветках все чисто - лишнего нет, но комп при старте системы сразу перезагружается :( Может, кто знает в реестре параметр отвечающий за перезагрузку?
-
Где-то на фтпях томких лежит антибласт, пройдись ишшо им. И вообще DCOM выруби, проще жить будет.
-
Autoruns (http://www.sysinternals.com/ntw2k/freeware/autoruns.shtml) показывает, какие программы запускаются во время загрузки и входа в систему.
Рекомендуется также установить критические обновления, выпущенные майкрософт после SP4 Скачать все в одном файле (http://www.lcg.tpu.ru/download/W2K/)
-
во первых подрубить винт к другой машине и проверить, а во вторых поставить таки автоматическое обновление.
-
Если трудно искать лечилки - ftp://tu.tusur.ru/pub (http://ftp://tu.tusur.ru/pub)
AntiBlast и AntiSasser - удачи ;)
-
Autoruns (http://www.sysinternals.com/ntw2k/freeware/autoruns.shtml) показывает, какие программы запускаются во время загрузки и входа в систему.
Рекомендуется также установить критические обновления, выпущенные майкрософт после SP4 Скачать все в одном файле (http://www.lcg.tpu.ru/download/W2K/)
[snapback]195[/snapback]
Спасибо, весьма ценная реплика и ссылки.
Однако, после установки всех заплаток перезагрузки системы при входе под УЗ юзверей не исчезли... для старых учетных записей, т.е. которые существовали во время атаки червем, а вот при запуске системы с новыми учетными записями, заведенными после атаки и всех "лечилок" все работает нормально.
Понятно, что теперь проще прибить все старые учетные записи и создать новые с теми же именами. Но... Хотелось бы докопаться до сути, где в профиле пользователя может храниться команда о перезагрузке системы и как ее убрать?
-
теперь проще прибить все старые учетные записи и создать новые с теми же именами. [snapback]232[/snapback]
Упс... Это я погорячился. Удалил УЗ user, затем снес все файлы/папки в его профиле, затем снова создал УЗ user и та же блин фигня - снова при входе перезагружется система. Пришлось создать другую УЗ user1 и потом переименовывать ее в user в оснастке Управление компьютером, тогда только система перестала при старте под user перезагружаться.
Может в реестре эта команда о перезагрузке засела?
-
...
Может в реестре эта команда о перезагрузке засела?
[snapback]237[/snapback]
Кроме мест, перечисленных в Autoruns, команды автозапуска могут располагаться в Планировщике заданий (Task scheduler) и в командных файлах, определяемых локальной (/групповой) политикой.
Если вы подозреваете, что ваш компьютер был подвержен влиянию компьютерных вирусов, то необходимо _обновить_ антивирусные базы и произвести проверку на вирусы еще раз.
Также майкрософт выпустил свои инструменты для удаления вирусов.
Sasser (A-F) Worm Removal Tool (KB841720) (http://www.microsoft.com/downloads/details.aspx?familyid=76c6de7e-1b6b-4fc3-90d4-9fa42d14cc17&displaylang=en)
Blaster Worm Removal Tool for Windows XP and Windows 2000 (KB833330) (http://www.microsoft.com/downloads/details.aspx?familyid=e70a0d8b-fe98-493f-ad76-bf673a38b4cf&displaylang=en)
-
По-моему, после удаления УЗ из системы и удалении его профиля маловероятно, чтобы какая-нибудь запись (за искл. HLM\ ветви) осталась в его \HCU, т.к. ntuser.dat то удалён. Хотя, это может значит что запись есть в default user, но тогда бы переименование не помогло бы и эффект был бы тот же.
зы. Уже возникают сомнения в работоспособности самой системы, ибо видеоконференция требовала, скорее всего, или какой-нибудь драйвер свой или оборудование дополнительное, что могло бы привести к конфликту в системе, а чекрыжик "Автоматически перегружать систему" в результате сбоя, скорее всего не убран - отсюда и нет возможности хотя бы увидеть BSOD с кодом ошибки.
-
зы. Уже возникают сомнения в работоспособности самой системы, ибо видеоконференция требовала, скорее всего, или какой-нибудь драйвер свой или оборудование дополнительное, что могло бы привести к конфликту в системе, а чекрыжик "Автоматически перегружать систему" в результате сбоя, скорее всего не убран - отсюда и нет возможности хотя бы увидеть BSOD с кодом ошибки.
[snapback]241[/snapback]
Спасибо большое за "наводку": проблема оказалась в конфликте Win2K с виртуальным CD-ROM'ом Daemon Tools V.302. Конфликт этот появился, вероятно, после установки SP4 и SP4PostFix, раньше его не было в Win2K SP2. Т.к. у этой программы стояла автозагрузка при старте и автомонтирование образа CD с сервера, то при входе Пользователями и Опытными Пользователями она сразу же конфликтовала и перезагружала систему. При входе Администратором автоматического подключения к серверу не происходит, а потому и перезагрузки не было.
Спасибо Всем, кто помог в этой ветке разобраться с проблеммой :)
Теперь другая проблема, где взять неглючную с SP4 версию Daemon Tools? Или опять ставить Win2KProf SP2?
-
Теперь другая проблема, где взять неглючную с SP4 версию Daemon Tools? Или опять ставить Win2KProf SP2?
[snapback]247[/snapback]
Поставить Alcohol? ;)
-
Спасибо большое за "наводку": проблема оказалась в конфликте Win2K с виртуальным CD-ROM'ом Daemon Tools V.302. Конфликт этот появился, вероятно, после установки SP4 и SP4PostFix, раньше его не было в Win2K SP2. Т.к. у этой программы стояла автозагрузка при старте и автомонтирование образа CD с сервера, то при входе Пользователями и Опытными Пользователями она сразу же конфликтовала и перезагружала систему. При входе Администратором автоматического подключения к серверу не происходит, а потому и перезагрузки не было.
Спасибо Всем, кто помог в этой ветке разобраться с проблеммой :)
Теперь другая проблема, где взять неглючную с SP4 версию Daemon Tools? Или опять ставить Win2KProf SP2?
[snapback]247[/snapback]
У меня стоит 3.44 на 2к SP4 бес проблем...
-
Спасибо большое за "наводку": проблема оказалась в конфликте Win2K с виртуальным CD-ROM'ом Daemon Tools V.302.
Рад был помочь.