Исчезло всё из сетевых подключений

История такая.

Пытался разорвать соединение с интернетом. Иконка около часов никак не реагировала на клики. Пошёл в «Сетевые подключения», оттуда тоже ничего не получалось. Странно.

Решил перезагрузиться.

После перезагрузки в «Сетевых подключениях» не отображается ничего. Ни одного ярлыка, включая «Создать новое подключение». Странно.

Перезагрузился ещё раз для надёжности — ничего.

Если нажать Файл/Новое подключение, то появляется окно «Мастер новых подключений», ля-ля-ля... и через посекунды просто исчезает.

Пошёл в «Службы». Служба Network Connections не запущена. Workstation тоже. И Remote Access Connection Manager. И что там ещё. Пытаюсь их запускать — пока запускаю одни, предыдущие отваливаются.

Иду в «Просмотр событий». После запуска системы первые событий 20 — сбои разных служб. Не удалось запустить то, неожиданно прервано сё. Помимо сетевых и околосетевых служб, не работают и всякие Windows Audio, Task Scheduler. Хреново.

В списке задач (taskmgr.exe, tasklist.exe, Process Explorer) ничего подозрительного, кажется, нет. С другой стороны, svchost’ов аж семь. Вроде обычно было меньше.

Перезапускаюсь в режиме защиты от сбоев с сетью. В «Сетевых подключениях» отображаются только «физические» соединения (т. е. адаптеры, а всяких диалапов и VPN’ов нет. Огляделся — вроде ничего интересного.

Windows Server 2003, восстановления системы нет.

Это написал с ноутбука.

Есть идеи?

Дальше
15 комментариев
OnyX@Work 2007

Вирус?
Апдейт дров для сетевых карт?
Апдейт винды (KB всяких)?

И к слову:
Бэкапить систему надо, и тогда проблем не будет. ;) И ваще ставь линукс, там у тебя будут другие проблемы, и не до сети будет.

Sanja 2007

http://www.microsoft.com/technet/sysinternals/Security/RootkitRevealer.mspx — это раз
http://www.microsoft.com/technet/sysinternals/Security/ProcessExplorer.mspx — это два, чтобы внимательно рассмотреть список процессов

Ещё крайне полезно запустить http://www.microsoft.com/technet/sysinternals/Security/Autoruns.mspx — потому как вирусы могут прописываться много куда помимо секций Run и RunOnce реестра.

P.S. Что это за процесс taskkill.exe?

Илья Бирман 2007

Спасибо!

Попробовал Руткит Ревилер — он обнаружил несколько ключей с embedded nulls по адресу HKLM\SECURITY\Policy\Secrets\и дальше какая-то вата. Интересно, что Регедит вообще не видит никаких подразделов в HKLM\SECURITY. Скачал RegDelNull, а он тоже этих ключей не видит. И как же их удалить? ;-)

taskkill — это удаление процессов из командной строки. Тут имелся в виду tasklist, а не taskkill, щас исправлю.

Иван 2007

Что с сетевыми устройствами в диспетчере?

Илья Бирман 2007

Когда смотрел после первой перезагрузки, все сетевые адаптеры были почему-то в отключенном состоянии. Я их «Задействовал», с тех пор они как бы включены.

Это ни на что не повлияло.

A!e% 2007

Просто пробежаться восстановителем винта. Чуйствуется, что в результате чегой-то свалился либо какой-то файл, либо часть реестра. Винда попробовала восстановить, но не особо успешно.

То есть: проверить винт на наличие плохих данных, проверить реестр на то же самое. Больше ничего советовать не буду, не знаю, что бы делал. Никогда такого не было. Похожее было — делал что сказал.

Александр Ивлев 2007

Обратил внимание на несколько svhost’ов... Несколько лет назад была аналогичная история. Обычно количество данных служб не превышаетшает четырех, и только когда тебя кто-то рутует их количество начинает неконтролируемо расти. После 7-8 система становится неуправляемой и не реагирует на все обычные процедуры контроля. Антивирус как правило не помогает, поскольку время его работы стремиться к бесконечности. Проверяли программные файрволы (в час. Outpost и ZoneAlarm) — результат нулевой. Так же как и запускать антивирус становиться бесполезно пытаться проконтролировать процессы и исходящий трафик. Загрузка памяти и процессора близка к 100%, а все программные анализаторы тупо молчат. До тех пор, пока провайдер не отрубит за генерацию трафика. :)

Установка свежих Виндов или откат не помогают — слишком быстро происходит захват. Помучившись месяц с переустановкой и программными файрволами плюнули, установили аппаратный файвол и перевели часть машин на Linux.

IMHO, Илья, вы стали жертвой целенаправленной атаки, и если это не непрягает материально — ставте аппаратный файвол, у Зикселя сейчас есть неплохая модель «для дома и семьи». :)

monIToringe 2007

Чесно говоря не понимаю паники по поводу вирусов/целенаправленных атак. Так сильно все зашуганы, или были преценденты?

У меня примерно такая же ерунда была когда в инет-кафе работал, отвалились службы «Plug and Play» и «RPC (Remote Procedure Call)». Запустил — всё заработало, однако после перезагрузки отвалились снова. Оказалось это Nod32 их зачем-то валит.

Александр Ивлев 2007

Я говорю о прецеденте. Когда в подсетке более 2-х десятков машин под Виндой, и у всех одинаковые проблемы.

Хотя на них еще до событий были установлены и обновляемые антивирусы, и программные файрволы, в самом начале этой каши все они оказались бесполезны. А выглядело это так: от момента полной переустановки системы до её ухода «в даун» со стопроцентной загрузкой процессора и 7-10 svchost’ами не проходит от 1-2 минут до получаса после подключения её к сетевой «соске». Первое сообщение: «Подключение к сети отсутствует или ограничено», потом падает штатный VPN (читай «сетевое подключение»). Штатный персонал не успевает разобраться откуда ползет гадость и комп оказывается блокированным для каких бы то ни было спасательных операций. Размышлять особо не приходится. Тем более, что провайдер через полтора-два часа блокирует весь отдел отрубая его от внешней среды с формулировкой «Генерация трафика». А полноценный вызов специалиста влетает в копейку и требует времени.

А вот после установки аппаратного файрвола наступила тишина. Файрвол копил логи, по логам выяснилось, что долбили сеть извне, провайдер отмазался, даже не извинился, зато теперь ни каких проблем. Понимаю, это не факт, как и железный файрвол — не панацея. Просто я сталкивался с аналогичными симптомами.

Максим Вуец 2007

Один из верных и быстрых способов — переустановить ОС поверх старой. Если были повреждены системный файлы, то таким образом удасться их восстановить.

Относительно scvhost.exe: под видом этой службы любят прятаться зловредные программы. Посмотри, например, при помощи плугина Process List (для FAR-а) реальное место расположения запущенных svchost-ов. Настоящий должен находиться в %windir%\system32\svchost.exe. Все остальные — самозванцы.

Илья Бирман 2007

На уровне месторасположения я посмотрел, конечно; svchost’ы похожи на настоящие.

Марат 2007

Кстати, «изобретение и введение в эксплуатацию» буквы «ё» традиционно приписывается Карамзину.

Илья Бирман 2007

Вот уж действительно, «кстати» :-)

Марат 2007

Так, вспомнилось ))

Александр Ивлев 2007

По другим данным только «введение в эксплуатацию», поскольку до него была Воронцова-Дашкова, которая на заседаниях т.с. «озвучила» букву среди поэтов и литераторов, а Карамзин — первый, кто её «технически» потребовал вставить в типографские оттиски своих виршей.

Марат 2007

Про Воронцову-Дашкову не знал, да. А источник сведений не подкините (если такой вообще может быть)?

Александр Ивлев 2007

По технике типографики куда-то затерялся, а из суждений

от народного
http://chgk.zaba.ru/questions/tel01sup_10_1.html

до академического
http://www.speakrus.ru/18/f1825.htm#8

пжлуста :)

Марат 2007

О! Премного благодарен!

Александр Ивлев 2007

а кстати, вот ещё претенденты

http://www.minp.ru/wiki/Ё_(кириллица)

Мои книги