Решена Помощь в настройке АСБ "Тобол" на рабочем месте "rezmesto2".

[Chezy]

Снова здравствуйте. Имеется 2 сервера на Windows Server 2003 с установленным СУДОС, взаимосвязанные между собой. С 2009 года все работало стабильно, если что то и случалось, то восстанавливалось с готового образа. Неделю назад на всех рабочих местах начало выбивать (перезагружаться) программу "СУДОС", при этом на сервере все работает стабильно. Поддержка пытается помочь, но пока тоже бессильна. Нашли вирус на сервере, который перемещал скрывал и перемещал папки, как раз в базе этого "судоса". Вылечили, вылечили рабочие места, восстанавливали базу, ничего не помогло. Делали восстановление рабочего образа от ноября 2020 года, так же ничего не изменилось. Собрал и прикрепил логи рабочего места "rezmesto2". Все рабочие места на windows xp. Прошу помощи, проблема длится уже 2 недели.

 

[thyrex]

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\windows\system32\dllhostex.exe');
QuarantineFile('c:\windows\system32\remoteprotocolevent.dll','');
 QuarantineFile('c:\windows\system32\dllhostex.exe','');
 DeleteFile('c:\windows\system32\dllhostex.exe','32');
 DeleteFile('c:\windows\system32\remoteprotocolevent.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\RemoteProtocolEvent\Parameters','ServiceDll','x32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

 

[Chezy]

Отправил карантин с помощью формы отправки карантина, имя в прикрепленном скрине. Так же, прикрепил новые логи с autologger.

 

[thyrex]

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

 

[akok]

Подготовьте лог лог SecurityCheck by glax24

 

[Chezy]

@thyrex,

 

[Chezy]

Подготовьте лог лог SecurityCheck by glax24

 

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
S2 RemoteProtocolEvent; C:\WINDOWS\System32\svchost.exe [14336 2008-04-15] (Microsoft Windows Component Publisher -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
NETSVC: RemoteProtocolEvent -> no filepath.
2021-08-07 04:30 - 2021-08-10 07:35 - 000000000 ____D C:\WINDOWS\NetworkDistribution
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool.
3. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[Chezy]

Кстати, после выполнения скрипта и перезагрузки ПК, пропала сеть. Запустилась после перезагрузки.

 

[thyrex]

Кстати, после выполнения скрипта и перезагрузки ПК, пропала сеть. Запустилась после перезагрузки

Это, видимо, из-за работы с этим параметром реестра. В этот раз ручной чистки не понадобится.

Проблема на данной машине решена?

 

[Chezy]

@thyrex, Посмотрим за ночь что будет, сразу не скажешь

 

[Chezy]

Это, видимо, из-за работы с этим параметром реестра. В этот раз ручной чистки не понадобится.

Проблема на данной машине решена?

При включении работает 10 минут и выдает синий экран

 

[Sandor]

Если есть дамп падения, упакуйте в архив и прикрепите к следующему сообщению.

 

[thyrex]

По логу FRST.txt точно есть как минимум два дампа

2021-08-11 05:53 - 2021-08-11 05:53 - 000090112 _____ C:\WINDOWS\Minidump\Mini081121-01.dmp
2021-08-10 10:37 - 2021-08-10 10:36 - 000090112 _____ C:\WINDOWS\Minidump\Mini081021-01.dmp

 

[Chezy]

По логу FRST.txt точно есть как минимум два дампа

Если есть дамп падения, упакуйте в архив и прикрепите к следующему сообщению.

 

[Sandor]

Если не ошибаюсь, похоже на сбой памяти.

 

[Chezy]

Если не ошибаюсь, похоже на сбой памяти.

Вчера после нескольких перезагрузок после синего экрана, всю ночь работал нормально. СУДОС тоже не вылетал. Мониторим весь день, если будет без происшествий, вечером можно закрыть тему

 

[thyrex]

Расширенная поддержка закончилась 08.04.2014, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 7.0.5730.13 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Автоматическое обновление отключено
Восстановление системы отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB2347290 Внимание! Скачать обновления
HotFix KB3197835 Внимание! Скачать обновления
HotFix KB4012598 Внимание! Скачать обновления
HotFix KB4012583 Внимание! Скачать обновления
HotFix KB4022747 Внимание! Скачать обновления
HotFix KB4024323 Внимание! Скачать обновления
HotFix KB4025218 Внимание! Скачать обновления
HotFix KB4500331 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 1.1 Данная программа больше не поддерживается разработчиком.
Microsoft Silverlight v.3.0.50106.0 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java(TM) 6 Update 18 v.6.0.180 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u291-windows-i586.exe).
Java 7 Update 45 v.7.0.450 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u291-windows-i586.exe).
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 10 ActiveX v.10.0.45.2 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Flash Player 10 Plugin v.10.0.45.2 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Shockwave Player 11.5 + Authorware Player v.11.5.6.606 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Reader XI MUI v.11.0.00 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.

По возможности выполните данные рекомендации

 

[Chezy]

Большое спасибо. Все в работе!!

 

[Chezy]

Проблема появилась снова. Прикрепляю новые логи