Исчезло всё из сетевых подключений
История такая.
Пытался разорвать соединение с интернетом. Иконка около часов никак не реагировала на клики. Пошёл в «Сетевые подключения», оттуда тоже ничего не получалось. Странно.
Решил перезагрузиться.
После перезагрузки в «Сетевых подключениях» не отображается ничего. Ни одного ярлыка, включая «Создать новое подключение». Странно.
Перезагрузился ещё раз для надёжности — ничего.
Если нажать Файл/Новое подключение, то появляется окно «Мастер новых подключений», ля-ля-ля... и через посекунды просто исчезает.
Пошёл в «Службы». Служба Network Connections не запущена. Workstation тоже. И Remote Access Connection Manager. И что там ещё. Пытаюсь их запускать — пока запускаю одни, предыдущие отваливаются.
Иду в «Просмотр событий». После запуска системы первые событий 20 — сбои разных служб. Не удалось запустить то, неожиданно прервано сё. Помимо сетевых и околосетевых служб, не работают и всякие Windows Audio, Task Scheduler. Хреново.
В списке задач (taskmgr.exe, tasklist.exe, Process Explorer) ничего подозрительного, кажется, нет. С другой стороны, svchost’ов аж семь. Вроде обычно было меньше.
Перезапускаюсь в режиме защиты от сбоев с сетью. В «Сетевых подключениях» отображаются только «физические» соединения (т. е. адаптеры, а всяких диалапов и VPN’ов нет. Огляделся — вроде ничего интересного.
Windows Server 2003, восстановления системы нет.
Это написал с ноутбука.
Есть идеи?
Вирус?
Апдейт дров для сетевых карт?
Апдейт винды (KB всяких)?
И к слову:
Бэкапить систему надо, и тогда проблем не будет. ;) И ваще ставь линукс, там у тебя будут другие проблемы, и не до сети будет.
http://www.microsoft.com/technet/sysinternals/Security/RootkitRevealer.mspx — это раз
http://www.microsoft.com/technet/sysinternals/Security/ProcessExplorer.mspx — это два, чтобы внимательно рассмотреть список процессов
Ещё крайне полезно запустить http://www.microsoft.com/technet/sysinternals/Security/Autoruns.mspx — потому как вирусы могут прописываться много куда помимо секций Run и RunOnce реестра.
P.S. Что это за процесс taskkill.exe?
Спасибо!
Попробовал Руткит Ревилер — он обнаружил несколько ключей с embedded nulls по адресу HKLM\SECURITY\Policy\Secrets\и дальше какая-то вата. Интересно, что Регедит вообще не видит никаких подразделов в HKLM\SECURITY. Скачал RegDelNull, а он тоже этих ключей не видит. И как же их удалить? ;-)
taskkill — это удаление процессов из командной строки. Тут имелся в виду tasklist, а не taskkill, щас исправлю.
Что с сетевыми устройствами в диспетчере?
Когда смотрел после первой перезагрузки, все сетевые адаптеры были почему-то в отключенном состоянии. Я их «Задействовал», с тех пор они как бы включены.
Это ни на что не повлияло.
Просто пробежаться восстановителем винта. Чуйствуется, что в результате чегой-то свалился либо какой-то файл, либо часть реестра. Винда попробовала восстановить, но не особо успешно.
То есть: проверить винт на наличие плохих данных, проверить реестр на то же самое. Больше ничего советовать не буду, не знаю, что бы делал. Никогда такого не было. Похожее было — делал что сказал.
Обратил внимание на несколько svhost’ов... Несколько лет назад была аналогичная история. Обычно количество данных служб не превышаетшает четырех, и только когда тебя кто-то рутует их количество начинает неконтролируемо расти. После 7-8 система становится неуправляемой и не реагирует на все обычные процедуры контроля. Антивирус как правило не помогает, поскольку время его работы стремиться к бесконечности. Проверяли программные файрволы (в час. Outpost и ZoneAlarm) — результат нулевой. Так же как и запускать антивирус становиться бесполезно пытаться проконтролировать процессы и исходящий трафик. Загрузка памяти и процессора близка к 100%, а все программные анализаторы тупо молчат. До тех пор, пока провайдер не отрубит за генерацию трафика. :)
Установка свежих Виндов или откат не помогают — слишком быстро происходит захват. Помучившись месяц с переустановкой и программными файрволами плюнули, установили аппаратный файвол и перевели часть машин на Linux.
IMHO, Илья, вы стали жертвой целенаправленной атаки, и если это не непрягает материально — ставте аппаратный файвол, у Зикселя сейчас есть неплохая модель «для дома и семьи». :)
Чесно говоря не понимаю паники по поводу вирусов/целенаправленных атак. Так сильно все зашуганы, или были преценденты?
У меня примерно такая же ерунда была когда в инет-кафе работал, отвалились службы «Plug and Play» и «RPC (Remote Procedure Call)». Запустил — всё заработало, однако после перезагрузки отвалились снова. Оказалось это Nod32 их зачем-то валит.
Я говорю о прецеденте. Когда в подсетке более 2-х десятков машин под Виндой, и у всех одинаковые проблемы.
Хотя на них еще до событий были установлены и обновляемые антивирусы, и программные файрволы, в самом начале этой каши все они оказались бесполезны. А выглядело это так: от момента полной переустановки системы до её ухода «в даун» со стопроцентной загрузкой процессора и 7-10 svchost’ами не проходит от 1-2 минут до получаса после подключения её к сетевой «соске». Первое сообщение: «Подключение к сети отсутствует или ограничено», потом падает штатный VPN (читай «сетевое подключение»). Штатный персонал не успевает разобраться откуда ползет гадость и комп оказывается блокированным для каких бы то ни было спасательных операций. Размышлять особо не приходится. Тем более, что провайдер через полтора-два часа блокирует весь отдел отрубая его от внешней среды с формулировкой «Генерация трафика». А полноценный вызов специалиста влетает в копейку и требует времени.
А вот после установки аппаратного файрвола наступила тишина. Файрвол копил логи, по логам выяснилось, что долбили сеть извне, провайдер отмазался, даже не извинился, зато теперь ни каких проблем. Понимаю, это не факт, как и железный файрвол — не панацея. Просто я сталкивался с аналогичными симптомами.
Один из верных и быстрых способов — переустановить ОС поверх старой. Если были повреждены системный файлы, то таким образом удасться их восстановить.
Относительно scvhost.exe: под видом этой службы любят прятаться зловредные программы. Посмотри, например, при помощи плугина Process List (для FAR-а) реальное место расположения запущенных svchost-ов. Настоящий должен находиться в %windir%\system32\svchost.exe. Все остальные — самозванцы.
На уровне месторасположения я посмотрел, конечно; svchost’ы похожи на настоящие.
Кстати, «изобретение и введение в эксплуатацию» буквы «ё» традиционно приписывается Карамзину.
Вот уж действительно, «кстати» :-)
Так, вспомнилось ))
По другим данным только «введение в эксплуатацию», поскольку до него была Воронцова-Дашкова, которая на заседаниях т.с. «озвучила» букву среди поэтов и литераторов, а Карамзин — первый, кто её «технически» потребовал вставить в типографские оттиски своих виршей.
Про Воронцову-Дашкову не знал, да. А источник сведений не подкините (если такой вообще может быть)?
По технике типографики куда-то затерялся, а из суждений
от народного
http://chgk.zaba.ru/questions/tel01sup_10_1.html
до академического
http://www.speakrus.ru/18/f1825.htm#8
пжлуста :)
О! Премного благодарен!
а кстати, вот ещё претенденты
http://www.minp.ru/wiki/Ё_(кириллица)