Архив форумов ЦИТФорума

[Bigfoot]

Господа. Огромная нерешаемая проблема с Win2000. Компы в сети в домене. Несколько а точнее 15 компов внезапно одновременно выдают табличку о том что будут перезагружены через 1 мин и начинается обратный отсчет. Пишет что возникла ошибка в services.exe с кодом 128. На всех стоит IE6.0 + все последние апдейты + антивирус в режиме real-scan + RPC cumulative patch. Вирусов на них нет 100%. Проверял разными утилитами на предмет червей типа Blaster и подобных не чего нет. В журналах одинаковых записей об ошибках нет. 5 компьютеров с точно такойже конфигурацией не перезагружаются и работают нормально. Ставил network monitor чтоб проверить может поступает какой нибудь специфический пакет который подвешивает службу - ни чего подозрительного не обнаружил brodcast с контроллера домена по 67 порту но это я подозреваю DHCP служба. По времени перезагрузки ни какой закономерности нет (может 1 раз в день а может и 5 раз перезагрузится). Все происходит с понедельника 26.04.04.
Помогите ... не знаю к кому обратиться.... связывался с головной организацией там есть Netcenter (центр экспертизы) - тоже не нашли решения сказали открывать trouble ticket в microsoft. Может есть какие идеи. Вышлю любую доп информацию. HELP!!!!

[mariner]

а какая связь есть между этими 15 компами. Почему они, а не другие. Может они в одной подсети, а может... Локализуй поблему. Поставь глючный комп на место неглючного и посмотри, лучше если в другой подсети, еще зайди локально и смотри на перезагрузку, еще вообще от сети отключи, короче действуй...
_________________
надежда на помощь - неуверенность в своих силах.

[ALEX_SE]

Слышал уже подобные вопросры.
Но про SP2. У тебя какой?
Из рекомендаций которые помогли, были:
1. Смена дистрибутива
2. Смена дров на материнку, или их установка.
3. Переустановка SP, и установка дров ПОСЛЕ него.

На MS рекомендация только одна - ставить последний SP.

[And]

Посмотри в задачах на глючных машинах есть ли там процесс explore да да именно explore. Еще меня пугает дата 26.04.2004 это попахивает Чернобылем, а точнее группой вирусов приуроченных к этой дате. Я за то, что это вирус, а вы!?

[ALEX_SE]

1. В вирусных доках я не нашел ничего, что активизируется 26 апреля под вин 2000 и вызывает эти ошибки.
2. Вирус который вызывал процесс explore я немного тестировал. У меня подобных приколов небыло.
3. Почему именно 15 тачек? Чем они схожи, и в тоже время отличны от других? Может доступом в инет, может другим дистрибутивом, может пришли откуда-нить...? Может на них работали с программами на которых не работали на других?
4. Сравни разделы автозапуска в реестре с другими компами, сравни список запущенных процессов.
5. Дает ли эффект переустановка ОС на одном из компов?
6. Намного ли отличается конфиг этих компов? Друг от друга и от тех которые не глючат?
7. Как все компы присоединены к сети?

Больше всего смущает - одновременная перезагрузка.

[ALEX_SE]

Еще вопрос.
Происходит ли эта хрень если один из компов отключить от сети?
Происходит ли это если поставить файрвол и перекрыть доступ по виндуз-портам?

Если эта служба выдает такую ошибку, значит что она обнаружила вмешательство в своюработу, и в целях безопасности выключается и ребутит комп... Поставь файрвол, посмотри логи.

Чем-то ведь эти 15 компов сходны между собой, и в тоже время чем-то отличаются от других. ЧЕМ?

[Bigfoot]

Все эти компы в одной сети. подсеть одна, все настройки с DHCP одинаковые, в инет выходят через мощный файрвол (находится во франции) находится во франции доступа туда ессесно нету. Найти какуюто закономерность в конфигурации компов не удается... процессы вроде все одинаковые...какихто аномальных незнакомых нет, думал sasser worm проставил все апдейты, просканил всякими лечилками ничего. Ставил Kerio Network monitor смотрел трафик тоже ничего подозрительного. Выключал выборочно машины все равно работающие перезапускаются. Поимать момент (может кто то что то запускает) не удается. Бывает когда все на обеде и за компами ваще ни кого - тут херакс!... и все курят гвозди.....
Почитал уже на какомто форуме про такуюже проблему тоже ни чего конкретного.
Переставил винду на одной машине вроде пока не глючит... но это только пока.
Одна машина перестала перезагружаться сама собой после установки апдейта KB835732. На всех тачках последние апдейты эксплорера и винды.
Мля помогите кто нить. Должен же быть какой то вариант.
Все сносить и возвращаться на 98 это полная шляпа!!!!!!!!1

[ALEX_SE]

"Мощный файрвол во Франции" - это мощно сказано! А до Франции-то Вы (и к Вам) как добираетесь?

[and3008]

Я бы включил аудит на все, что можно и внимательно изучал системные журналы.

Очень вероятно, что на компах стоит какой-то софт. Возможно он даже правильный. Что-то типа клиента от SMS-сервер (не путать с мобильной связью).
Возможно на компы это ПО было заранее установлено. Потом компы приехали в другую контору, а ПО осталось. Осталась и возможность сетевого доступа. Вот и перезагружаются две группы компов по разные стороны нашей маленькой планеты...

Так же вероятно стоит троянская лошадка. Мало шансов, но вдруг!

[Bigfoot]

Alex_SE - До Франции по арендованным каналам AT&T.

And3008 - Машины все сам ставил софт стоит один и тот же и только стандартный проверенный временем и авторизованный головным офисом. Ни каких посторонних клиентов и прг нету - 100 %.
Щас экспериментирую с апдейтами всякими ужевсе что только можно понакачал. Если чего то добьюсь отпишу.
Троянцы врядли. Почтовый антивирус использует базы 5 фирм производителей и ежедневно их скачивает. У каждого стоит real-time клиент.

[Bigfoot]

Да кстати в журналах вообще ни каких записей по причине перезагруза не возникает
Блин аномалия какая-то
1,5 недели уже эта хрень и никак не выводится

[watcher]

пока есть одно подозрение
(либо вирусы разные...валят удаленно машины)
либо стоит пунктик насчет немедленной перезагрузки при невозможности записи в журнал безопасности.
проверить не мешало бы настройки и применение политик безопасности,включить полный аудит системы и посмтреть тот же
netlogon.log

[ALEX_SE]

Он бы сообщил про то, что нет места в журнале.
Я бы в настройках моего компьютера вырубил галку "автоматическая перезагрузка" при проблемах.

[and3008]

Неужели в журнале событий нет ничего?
Не верю! (Станиславский (с) )

[watcher]

ALEX_SE,вам пришло бы такое сообщение если журнал безопасности
переполнен. я же описываю пункт в политиках насчет невозможности
(взлом или сбой...)в журнал сведений.
а насчет пустых логов я тоже не верю!

[ALEX_SE]

Блин, кто мешает автору сохранить логи да выложить их куда-нить? А мы посмотрим

[watcher]

еще не мешало бы показать раздел CrashControl из HKLM\System

[lui]

zaidi na microsoft.com i naidi ta patch dlia os kakoi u tebia est
i bolshe ni kokix problem

[ALEX_SE]

Lui, а можно вопросик - а какой именно патч, из полусотни минимум?..

[and3008]

Это супер-секретный патч!
Находится под спрятанной ссылкой.
Гоша знает где. Спроси у него.

[Bigfoot]

Все парни решил
Короче как оказалось какой то компьютер (не из нашей подсети) посылал на 445 порт пакеты. После непродолжительного исследования аказалось что действительно в винде есть такая дыра как buffer overrun в Workstation service и все это дело попадало под update KB828749.
Установил апдейт и проблема решилась. В логах реально ни чего нет
Оказалось что эти ошибки пишутся в лог netsetup.log где я и нашел все указания о датах и времени перезагрузок.
Так что все ставьте этот патч

Всем спасибо кто учавствовал
!!!!
С уважением

[ALEX_SE]

Молодес!
Но как тогда понимать твою фразу в первом посте "все последние патчи стоят"? Не надо так сильно быть во всем увереным

[and3008]

Граждане! Пользуйте SUS и ваш кислотно-щелочной баланс будет великолепен без всякой рекламы.

[--= Eagle =--]

Не SUS, a SUXX
_________________
Информация должна быть общедоступной!

[Гость]

У вас абсолютно точно червяк I-Worm MsBlast. Просто убейте его в реестре - RUN и само тело червя в WINNT/SYStem32 и все будет нормально. Он использует уязвимость RPC. Гляньте докумментацию на http://www.ampula.ru/text4.htm

[ALEX_SE]

Гоша?

[and3008]

- Мама?

- Вовочка!!!


)))