Войти

Показать полную графическую версию : ОС сама завершает работу


BOBKAMat
29-08-2012, 15:13
С недавних пор стали сами отключаться сервера и мой рабочий компьютер. И нет бы резкий уход в ребут или синий экран, а инициированное завершение работы.. о чем говорит запись в событиях:
"Процесс winlogon.exe инициировал действие "Выключение питания" для компьютера VPN от имени пользователя DOMAIN\Администратор по причине: Причина на перечислена
Код причины: 0x840000ff
Тип выключения: Выключение питания"

Перед завершением работы выскакивает окошко на пару секунд с отсчетом времени(такое же выскакивало много лет назад на ХР когда в ней была дыра). Опять же об этом тоже есть запись в событиях.

Сервера отключаются не все - один из них постоянно, остальное рандомно, включая и мой компьютер - как правило 2-3 машины. Отключаются одновременно с точностью до минуты. Раза 2-3 в неделю, определенно только днем. Включать их после этого уже приходится вручную.

Стоят антивирусы Endpoint Protection(также отдельно проверял каспером), в заданиях пусто, PowerShute не настроен на отключение, обновления все установлены, админский пароль никто кроме меня не знает. Поставил себе на комп файрволл, он никаких странных соединений на время отключений не обнаружил. Я в замешательстве.

Помогите хорошим советом, куда лезть, как отследить? Быть может существует все таки какой-нибудь нераспространенный эксплоит для узкого круга людей, который еще не фиксируют антивиры и файрволы? (есть подозрение на одних товарищей)

У меня щас остается пока только одно решение проблемы - смена админского пароля, но пока не хочется делать этого в силу некоторого рода причин. А вдруг и это не поможет? А если поможет и окажется что кто-то правда баловался, то хотелось бы отследить кто именно.

На серверах Windows Server 2003, на компе XP

Добавлю.
На моем компе в событиях не пишется кем именно инициировано отключение:
"Процесс winlogon.exe инициировал перезапуск IT1, по причине: Причина на перечислена
Вспомогательный номер причины: 0xff
Тип выключения: Завершить работу"
Быть может мой комп команду рассылает на сервера?) Правда на своем компе я сижу не под "Администратор", а под своей учеткой. И еще - компьютеры сотрудников не отключаются, хотя также много кто сидит на ХР

Petya V4sechkin
29-08-2012, 18:46
в заданиях пусто
Смотрели на всех компьютерах?

BOBKAMat
30-08-2012, 10:02
Да, на всех.

Еще нашел одну вещь. На всех серверах за секунду до завершения работы был произведен вход от Администратора-

"Успешный сетевой вход в систему:
Пользователь: Администратор
Домен: DOMAIN
Код входа: (0x0,0x5BB8CC1)
Тип входа: 3
Процесс входа: Kerberos
Пакет проверки: Kerberos
Рабочая станция:
Код GUID: {ebbd2e07-2916-29c7-d97e-6d236de6ad4f}
Имя вызывающего пользователя: -
Домен вызывающего: -
Код входа вызывающего: -
Код процесса вызывающего: -
Промежуточные службы:-
Адрес сети источника: 10.1.3.1
Порт источника: 0"

Запись в безопасности о входе и в это же время запись в системе о завершении работы. Как это? Кто ломанул? Не ломанут ли еще раз? Да и кому вообще понадобилось ломать пароль админа для того чтоб тупо вырубить сервера....
Вобщем сменил пароль админа, будем глядеть как дальше пойдет дело

Petya V4sechkin
30-08-2012, 10:09
Адрес сети источника: 10.1.3.1
Вот на этом компе и копайте.

BOBKAMat
30-08-2012, 10:27
Это контроллер домена. Авторизация по сути на нем происходит. И этот адрес будет там прописан независимо от того с какого компа заходить. На нем также в заданиях ничего нет, нет никаких лишних процессов

BOBKAMat
30-08-2012, 14:33
Смена пароля админа не помогла((( На этот раз сервера не затронуло, вырубился мой комп и компьютер сотрудницы...а может и еще чей-то, но пока молчат

BOBKAMat
30-08-2012, 15:05
Не прошло и часа и вырубило 2 сервера и опять 2 компа.... странная активность какая-то. То 2 раза в неделю, то теперь 2 раза за час

Petya V4sechkin
30-08-2012, 15:11
Смена пароля админа не помогла
Это сужает круг поисков. Назначенные задания отпадают.
Остаются процессы, выполняющиеся где бы то ни было после входа в систему (локального или терминального) под доменным администратором. Например вирус.

Вспоминайте, кто куда заходил под админом после смены пароля.

BOBKAMat
30-08-2012, 15:30
Кроме меня больше некому заходить под ним. Заходил на сам контроллер домена, и на пару других серверов. На локальные компы под админом не захожу. Сейчас проверяю на руткиты контроллер, пока пусто

Petya V4sechkin
30-08-2012, 15:41
BOBKAMat, выложите логи RSIT (http://safezone.cc/forum/showthread.php?t=389) с контроллера.

BOBKAMat
30-08-2012, 17:13
Вызывает подозрение данный файлик - c:\windows\system32\qedrv.sys
Из реестра его имя - Maxapt QuickEye Agent Driver. Такой файлик есть на нескольких серверах. У нас вроде бы никогда не использовались системы слежки




© OSzone.net 2001-2012