Решена Помощь в настройке АСБ "Тобол" на рабочем месте "rezmesto2".

Статус
В этой теме нельзя размещать новые ответы.

Chezy

Активный пользователь
Сообщения
72
Реакции
1
Снова здравствуйте. Имеется 2 сервера на Windows Server 2003 с установленным СУДОС, взаимосвязанные между собой. С 2009 года все работало стабильно, если что то и случалось, то восстанавливалось с готового образа. Неделю назад на всех рабочих местах начало выбивать (перезагружаться) программу "СУДОС", при этом на сервере все работает стабильно. Поддержка пытается помочь, но пока тоже бессильна. Нашли вирус на сервере, который перемещал скрывал и перемещал папки, как раз в базе этого "судоса". Вылечили, вылечили рабочие места, восстанавливали базу, ничего не помогло. Делали восстановление рабочего образа от ноября 2020 года, так же ничего не изменилось. Собрал и прикрепил логи рабочего места "rezmesto2". Все рабочие места на windows xp. Прошу помощи, проблема длится уже 2 недели.
 

Вложения

  • CollectionLog-2021.08.05-09.35.zip
    58.8 KB · Просмотры: 11

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,903
Реакции
2,599
Выполните скрипт в AVZ из папки Autologger
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\windows\system32\dllhostex.exe');
QuarantineFile('c:\windows\system32\remoteprotocolevent.dll','');
 QuarantineFile('c:\windows\system32\dllhostex.exe','');
 DeleteFile('c:\windows\system32\dllhostex.exe','32');
 DeleteFile('c:\windows\system32\remoteprotocolevent.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\RemoteProtocolEvent\Parameters','ServiceDll','x32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.
Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 
  • Like
Реакции: akok

Chezy

Активный пользователь
Сообщения
72
Реакции
1
Отправил карантин с помощью формы отправки карантина, имя в прикрепленном скрине. Так же, прикрепил новые логи с autologger.
 

Вложения

  • имя карантина.png
    имя карантина.png
    558 байт · Просмотры: 6
  • CollectionLog-2021.08.10-10.48.zip
    54.6 KB · Просмотры: 6

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,903
Реакции
2,599
Скачайте Farbar Recovery Scan Tool
NAAC5Ba.png
и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,903
Реакции
2,599
1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)
Код:
Start::
CreateRestorePoint:
S2 RemoteProtocolEvent; C:\WINDOWS\System32\svchost.exe [14336 2008-04-15] (Microsoft Windows Component Publisher -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
2021-08-07 04:30 - 2021-08-10 07:35 - 000000000 ____D C:\WINDOWS\NetworkDistribution
Reboot:
End::
2. Запустите Farbar Recovery Scan Tool.
3. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
 

Chezy

Активный пользователь
Сообщения
72
Реакции
1
Кстати, после выполнения скрипта и перезагрузки ПК, пропала сеть. Запустилась после перезагрузки.
 

Вложения

  • Fixlog.txt
    5.4 KB · Просмотры: 3

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,903
Реакции
2,599
Кстати, после выполнения скрипта и перезагрузки ПК, пропала сеть. Запустилась после перезагрузки
Это, видимо, из-за работы с этим параметром реестра. В этот раз ручной чистки не понадобится.

Проблема на данной машине решена?
 

Chezy

Активный пользователь
Сообщения
72
Реакции
1
@thyrex, Посмотрим за ночь что будет, сразу не скажешь
 

Chezy

Активный пользователь
Сообщения
72
Реакции
1
Это, видимо, из-за работы с этим параметром реестра. В этот раз ручной чистки не понадобится.

Проблема на данной машине решена?
При включении работает 10 минут и выдает синий экран
 

Вложения

  • IMG-20210811-WA0020.jpg
    IMG-20210811-WA0020.jpg
    85.8 KB · Просмотры: 9

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,201
Реакции
2,466
Если есть дамп падения, упакуйте в архив и прикрепите к следующему сообщению.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,903
Реакции
2,599
По логу FRST.txt точно есть как минимум два дампа
2021-08-11 05:53 - 2021-08-11 05:53 - 000090112 _____ C:\WINDOWS\Minidump\Mini081121-01.dmp
2021-08-10 10:37 - 2021-08-10 10:36 - 000090112 _____ C:\WINDOWS\Minidump\Mini081021-01.dmp
 

Chezy

Активный пользователь
Сообщения
72
Реакции
1

Вложения

  • Mini081021-01.zip
    40.9 KB · Просмотры: 4

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,201
Реакции
2,466
Если не ошибаюсь, похоже на сбой памяти.
 

Chezy

Активный пользователь
Сообщения
72
Реакции
1
Если не ошибаюсь, похоже на сбой памяти.
Вчера после нескольких перезагрузок после синего экрана, всю ночь работал нормально. СУДОС тоже не вылетал. Мониторим весь день, если будет без происшествий, вечером можно закрыть тему
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,903
Реакции
2,599
Расширенная поддержка закончилась 08.04.2014, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 7.0.5730.13 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Автоматическое обновление отключено
Восстановление системы отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB2347290 Внимание! Скачать обновления
HotFix KB3197835 Внимание! Скачать обновления
HotFix KB4012598 Внимание! Скачать обновления
HotFix KB4012583 Внимание! Скачать обновления
HotFix KB4022747 Внимание! Скачать обновления
HotFix KB4024323 Внимание! Скачать обновления
HotFix KB4025218 Внимание! Скачать обновления
HotFix KB4500331 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 1.1 Данная программа больше не поддерживается разработчиком.
Microsoft Silverlight v.3.0.50106.0 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java(TM) 6 Update 18 v.6.0.180 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u291-windows-i586.exe).
Java 7 Update 45 v.7.0.450 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u291-windows-i586.exe).
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 10 ActiveX v.10.0.45.2 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Flash Player 10 Plugin v.10.0.45.2 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Shockwave Player 11.5 + Authorware Player v.11.5.6.606 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Reader XI MUI v.11.0.00 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
По возможности выполните данные рекомендации
 

Chezy

Активный пользователь
Сообщения
72
Реакции
1
Большое спасибо. Все в работе!!
 

Chezy

Активный пользователь
Сообщения
72
Реакции
1
Проблема появилась снова. Прикрепляю новые логи
 

Вложения

  • CollectionLog-2021.08.17-11.01.zip
    45.1 KB · Просмотры: 1
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу