Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   Проблема с RRAS, IAS, WiNS после атаки некой дряни DrSch.exe (http://forum.oszone.net/showthread.php?t=136521)

Sinya 01-04-2009 17:49 1081247
Проблема с RRAS, IAS, WiNS после атаки некой дряни DrSch.exe
 
На сервера 2000 попал некий вирус. Подлез под антивирус, потому как еще вчера он не замечал его в упор по своим базам. Только панда онлайновая замечала, но без бабок лечить отказывалась. Вирус вписывал этот файл в с:\winnt\system32\drivers\DrSch.exe и ставил как сервис DrSch без возможности останова. Притом вирус спокойно скачет по серверам с разными паролями через какую-то мелкософтовскую дыру в DCOM, так как фиксировалась касперским такая неизвестная атака на машины сети. В конце-концов выбил его. После лечения отказали RRAS, IAS, WiNS Последние два не лечатся даже переустановкой, первый и из виндюка не выковырять вообще. При том сервисы как будто работают, а вот консоли управления их не видят! При том в консолях горят серым, как не активные главные пункты для конфигурации. Лечить пробовал RRAS так как мелкософт рекомендует
http://support.microsoft.com/kb/840686
но то самое же самое, не помогает. Помогите советом, как переустановить и восстановить хоть RRAS, а то сервера почти непереставляемые. Нужен еще WINS, но первый самый важный.

Petya V4sechkin 02-04-2009 12:38 1081828
Sinya, вирусы часто прописывают себя в параметр ImagePath уже существующих служб, проверьте в разделах реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess
ImagePath = %SystemRoot%\system32\svchost.exe -k netsvcs

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IAS
ImagePath = %SystemRoot%\System32\svchost.exe -k netsvcs

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WINS
ImagePath = %SystemRoot%\System32\wins.exe

Цитата:
Цитата Sinya
Последние два не лечатся даже переустановкой
А это хуже (ведь переустановка служб должна была все исправить в реестре).
При наличии ошибок в журнале событий приведите их в соответствии с этими инструкциями.

Вирус может быть не долечен, советую провериться в разделе форума Лечение систем от вредоносных программ, выполнив эти требования.

Цитата:
Цитата Sinya
как переустановить и восстановить хоть RRAS
Можно попробовать:
Код:
Rundll32 setupapi,InstallHinfSection Ndi-Steelhead 132 %windir%\inf\netrass.inf
(при этом устанавливаются RemoteAccess, IpFilterDriver, IpInIp, IpNat, NwlnkFlt, NwlnkFwd, Ip6Fw).

Sinya 08-04-2009 10:37 1087647
В общем то сделал новый сервер для RRAS.
То, что от вируса что-то осталось - крайне мало вероятно, я его долго искал и сервис вирусный тоже больше не воскресал. Машину-источник тоже уничтожил. Как говорят медики, контрольный посев тоже штамма не выявил, спустя время. Единственно непонятно, какую дыру он использует, чтобы с легкостью переползать по серверам, но не трогая XP и NT 4 сервер. Так что там где-то что-то в настройках великой помойки - реестра повреждено.
Сервера эти надо на 2003 все равно переставлять, только неохота возиться, охота дожить с этими до получения другой должности.
В общем, сеть не отвалилась и прочее от машин - и этого достаточно пока. Исправления сеть не повредят, сделав ее невидимой вообще этой машиной? А то там еще чертовы SQL и IIS крутятся, больше ничего ценного.
А это
Rundll32 setupapi,InstallHinfSection Ndi-Steelhead 132 %windir%\inf\netrass.inf
удалит и восстановит службы или только восстановит, а удалять надо еще как-то до этого?
Пробовал RRAS уудалить и поставить XPLite, так он вообще перестал запускаться сервис, на втором уже не стал трогать.

Sinya 08-04-2009 14:52 1087931
Event Type: Warning
Event Source: RemoteAccess
Event Category: None
Event ID: 20192
Date: 08.04.2009
Time: 14:44:16
User: N/A
Computer: SRV1
Description:
A certificate could not be found. Connections that use the L2TP protocol over IPSec require the installation of a machine certificate, also known as a computer certificate. No L2TP calls will be accepted.

Event Type: Error
Event Source: RemoteAccess
Event Category: None
Event ID: 20052
Date: 08.04.2009
Time: 14:44:16
User: N/A
Computer: SRV1
Description:
The NetBIOS gateway has been configured to access the network but there are no network adapters available. Remote clients connecting with the NBF protocol will only be able to access resources on the local machine.

Это все собственно, что выдается сервисом RRAS при старте на той машине, где не пробовал его удалять -восстанавливать. То есть ничего, собственно. Сервис работает, но при этом в оснастке консоли управления часть жизненно важных пунктов серая, а свойств протоколов разворачиваемых по плюсу, как и самого плюса, ниже уровня показываемой машины нет вовсе.

На другой машине, где пробовал исправлять - сервис не запускается и дает ошибку

Event Type: Error
Event Source: Service Control Manager
Event Category: None
Event ID: 7024
Date: 08.04.2009
Time: 15:02:35
User: N/A
Computer: SRV4
Description:
The Routing and Remote Access service terminated with service-specific error 127.


Указанные выше значения реестровой мусорницы тоже не имеют ни малейшего отклонения от указанных выше!

Petya V4sechkin 08-04-2009 17:25 1088079
Sinya, посмотрите еще результаты выполнения:
Код:
netdiag.exe /v /fix
Цитата:
Цитата Sinya
The Routing and Remote Access service terminated with service-specific error 127.
KB940231

Sinya 09-04-2009 17:19 1089037
C:\>netdiag.exe /v /fix
'netdiag.exe' is not recognized as an internal or external command,
operable program or batch file.

C:\>


Пишет Oledb32.dll не найден. А куда его надо распаковать, там KB940231 не сказано

Petya V4sechkin 09-04-2009 17:23 1089040
Sinya, возьмите из дистрибутива \SUPPORT\TOOLS\support.cab


Время: 02:04.

Время: 02:04.
© OSzone.net 2001-