CEBEP37
18-05-2012, 10:52
Добрый день.
Имеется жутко интригующая проблема следующего содержания:
ПК под управлением Windows 7 Professional SP1 x86, состоящий в домене одного учебного заведения с 1000+ машин в сети. Имеет непосредственный контакт с разносчиками вирусов, так как стоит в библиотеке, и на нем заминаются студенты. Отбивается от них при помощи корпоративного антивируса Касперского для рабочих станций 6.0.4.1424. ПК максимально защищен: у пользовательских учетных записей нет прав даже на открытие контекстного меню на рабочем столе, не говоря уже о всяких автозапусках со съемных носителей, установке/запуска стороннего ПО и тому подобном. Однако интернет на компьютерах никак не ограничен: ни по типу трафика, ни по его содержанию - требование руководства учебного заведения, поэтому вне зависимости от усилий тех поддержки периодически всплывают некоторые проблемы, в том числе с вирусами.
Так же получилось и в данном случае.
Проблема в следующем: после воздействия вируса на компьютере полностью перестала работать сеть. В свойствах соединения отображаются входящие пакеты, однако в исходящих всегда стоит гордый 0.
Неделя рысканий привела к следующим результатам: из памяти ПК удалено 2 тела вируса (Trojan.DownLoader6.6678). Обнаружено около 50 "мусорных" служб, созданных вирусом, но в корне прирезанных касперским, так и не включившись. И, что самое главное, полное не желание запускаться у половины системных служб, ссылаясь на "1068: не удалось запустить дочернюю службу, так как она была удалена, или отмечена для удаления". Опускаясь все ниже и ниже по дочерним службам нашел 2 "корня зла": служба "сервер" и "DHCP-клиент". Ошибка при запуске возвращается все та же - 1068, однако сходив в обе стороны "дерева служб" со стороны службы "сервер" мы видим: служба "диспетчер учетных записей безопасности", и вся ее ветвь работают исправно. Служба браузер компьютеров, у которой нет дочерних служб, не запускается по той же причине, что и все остальные (1068). У "сервера" есть еще одна зависимость - "драйвер сервера server SMB 1.xxxx", во всей прилегающей к ней веткой. Пробовал идти в эту сторону - добрался до файлов драйвера, нашел несовпадение в размерах в эталоном, заменил, не помогло. Переустановил - не помогло. Вернул драйвера к состоянию нового ПК - не помогло. Службы так и не запускаются, сети так и нет.
Примерно такая же картина наблюдается и в ветке "DHCP-клиент" - все зависимые, или зависящие службы либо работают, либо не запускаются с тем же кодом 1068. В этой ветке так же живет протокол TCP/IP, который так же был переустановлен в ходе разбирательств, все с тем же нулевым результатом.
О действиях вроде отката системы (1068 - дочерняя служба... ну, вы поняли), переустановки неработающих служб, SFC, проверках диска, огрехах железа, и прочего подобного рассказывать не буду - все пробовал, все в нулевым результатом.
Вариант переустановить ОС не подходит, как в корне не верный способ решения проблемы - на машине уже давно развернут стандартный образ, и отдан обратно на растерзание студентам, вопрос стоит именно в решении данной проблемы.
Образ калеки развернут на аналогичном по оборудованию ПК.
У кого - нибудь есть мысли на этот счет, или, возможно, кто то имел "счастье" сталкиваться с таким?
Все логи/дополнительная информация/ответы на дополнительные вопросы - по первому требованию.
P.S. конфигурация оборудования в данном случае не критична, так как наличие подобных проблем подтверждено в соседних доменах леса.
Имеется жутко интригующая проблема следующего содержания:
ПК под управлением Windows 7 Professional SP1 x86, состоящий в домене одного учебного заведения с 1000+ машин в сети. Имеет непосредственный контакт с разносчиками вирусов, так как стоит в библиотеке, и на нем заминаются студенты. Отбивается от них при помощи корпоративного антивируса Касперского для рабочих станций 6.0.4.1424. ПК максимально защищен: у пользовательских учетных записей нет прав даже на открытие контекстного меню на рабочем столе, не говоря уже о всяких автозапусках со съемных носителей, установке/запуска стороннего ПО и тому подобном. Однако интернет на компьютерах никак не ограничен: ни по типу трафика, ни по его содержанию - требование руководства учебного заведения, поэтому вне зависимости от усилий тех поддержки периодически всплывают некоторые проблемы, в том числе с вирусами.
Так же получилось и в данном случае.
Проблема в следующем: после воздействия вируса на компьютере полностью перестала работать сеть. В свойствах соединения отображаются входящие пакеты, однако в исходящих всегда стоит гордый 0.
Неделя рысканий привела к следующим результатам: из памяти ПК удалено 2 тела вируса (Trojan.DownLoader6.6678). Обнаружено около 50 "мусорных" служб, созданных вирусом, но в корне прирезанных касперским, так и не включившись. И, что самое главное, полное не желание запускаться у половины системных служб, ссылаясь на "1068: не удалось запустить дочернюю службу, так как она была удалена, или отмечена для удаления". Опускаясь все ниже и ниже по дочерним службам нашел 2 "корня зла": служба "сервер" и "DHCP-клиент". Ошибка при запуске возвращается все та же - 1068, однако сходив в обе стороны "дерева служб" со стороны службы "сервер" мы видим: служба "диспетчер учетных записей безопасности", и вся ее ветвь работают исправно. Служба браузер компьютеров, у которой нет дочерних служб, не запускается по той же причине, что и все остальные (1068). У "сервера" есть еще одна зависимость - "драйвер сервера server SMB 1.xxxx", во всей прилегающей к ней веткой. Пробовал идти в эту сторону - добрался до файлов драйвера, нашел несовпадение в размерах в эталоном, заменил, не помогло. Переустановил - не помогло. Вернул драйвера к состоянию нового ПК - не помогло. Службы так и не запускаются, сети так и нет.
Примерно такая же картина наблюдается и в ветке "DHCP-клиент" - все зависимые, или зависящие службы либо работают, либо не запускаются с тем же кодом 1068. В этой ветке так же живет протокол TCP/IP, который так же был переустановлен в ходе разбирательств, все с тем же нулевым результатом.
О действиях вроде отката системы (1068 - дочерняя служба... ну, вы поняли), переустановки неработающих служб, SFC, проверках диска, огрехах железа, и прочего подобного рассказывать не буду - все пробовал, все в нулевым результатом.
Вариант переустановить ОС не подходит, как в корне не верный способ решения проблемы - на машине уже давно развернут стандартный образ, и отдан обратно на растерзание студентам, вопрос стоит именно в решении данной проблемы.
Образ калеки развернут на аналогичном по оборудованию ПК.
У кого - нибудь есть мысли на этот счет, или, возможно, кто то имел "счастье" сталкиваться с таким?
Все логи/дополнительная информация/ответы на дополнительные вопросы - по первому требованию.
P.S. конфигурация оборудования в данном случае не критична, так как наличие подобных проблем подтверждено в соседних доменах леса.