[решено] Проблемы с работой сети в следствии повреждения службы AFD
 

Добрый день.
Имеется жутко интригующая проблема следующего содержания:
ПК под управлением Windows 7 Professional SP1 x86, состоящий в домене одного учебного заведения с 1000+ машин в сети. Имеет непосредственный контакт с разносчиками вирусов, так как стоит в библиотеке, и на нем заминаются студенты. Отбивается от них при помощи корпоративного антивируса Касперского для рабочих станций 6.0.4.1424. ПК максимально защищен: у пользовательских учетных записей нет прав даже на открытие контекстного меню на рабочем столе, не говоря уже о всяких автозапусках со съемных носителей, установке/запуска стороннего ПО и тому подобном. Однако интернет на компьютерах никак не ограничен: ни по типу трафика, ни по его содержанию - требование руководства учебного заведения, поэтому вне зависимости от усилий тех поддержки периодически всплывают некоторые проблемы, в том числе с вирусами.
Так же получилось и в данном случае.
Проблема в следующем: после воздействия вируса на компьютере полностью перестала работать сеть. В свойствах соединения отображаются входящие пакеты, однако в исходящих всегда стоит гордый 0.
Неделя рысканий привела к следующим результатам: из памяти ПК удалено 2 тела вируса (Trojan.DownLoader6.6678). Обнаружено около 50 "мусорных" служб, созданных вирусом, но в корне прирезанных касперским, так и не включившись. И, что самое главное, полное не желание запускаться у половины системных служб, ссылаясь на "1068: не удалось запустить дочернюю службу, так как она была удалена, или отмечена для удаления". Опускаясь все ниже и ниже по дочерним службам нашел 2 "корня зла": служба "сервер" и "DHCP-клиент". Ошибка при запуске возвращается все та же - 1068, однако сходив в обе стороны "дерева служб" со стороны службы "сервер" мы видим: служба "диспетчер учетных записей безопасности", и вся ее ветвь работают исправно. Служба браузер компьютеров, у которой нет дочерних служб, не запускается по той же причине, что и все остальные (1068). У "сервера" есть еще одна зависимость - "драйвер сервера server SMB 1.xxxx", во всей прилегающей к ней веткой. Пробовал идти в эту сторону - добрался до файлов драйвера, нашел несовпадение в размерах в эталоном, заменил, не помогло. Переустановил - не помогло. Вернул драйвера к состоянию нового ПК - не помогло. Службы так и не запускаются, сети так и нет.
Примерно такая же картина наблюдается и в ветке "DHCP-клиент" - все зависимые, или зависящие службы либо работают, либо не запускаются с тем же кодом 1068. В этой ветке так же живет протокол TCP/IP, который так же был переустановлен в ходе разбирательств, все с тем же нулевым результатом.
О действиях вроде отката системы (1068 - дочерняя служба... ну, вы поняли), переустановки неработающих служб, SFC, проверках диска, огрехах железа, и прочего подобного рассказывать не буду - все пробовал, все в нулевым результатом.
Вариант переустановить ОС не подходит, как в корне не верный способ решения проблемы - на машине уже давно развернут стандартный образ, и отдан обратно на растерзание студентам, вопрос стоит именно в решении данной проблемы.
Образ калеки развернут на аналогичном по оборудованию ПК.

У кого - нибудь есть мысли на этот счет, или, возможно, кто то имел "счастье" сталкиваться с таким?
Все логи/дополнительная информация/ответы на дополнительные вопросы - по первому требованию.

P.S. конфигурация оборудования в данном случае не критична, так как наличие подобных проблем подтверждено в соседних доменах леса.

Где-то тут что-то не сходится.

Как раз таки лечить то не знаю что - неверный способ решения проблемы. Точнее даже если вы и знаете, то после вмешательства вирусов это как правило дохлый номер и не факт что загрузчик вам в систему еще 100500 руткитов не установил.

CEBEP37,
Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.


2mods: верните в 7 после лечения, если проблема не исправится.

К сожалению даже при отсутствии автозапуска со съемных носителей, принудительном отображении скрытых и системных файлов и запрете на установку стороннего ПО, ничто не заставит пользователя, при наличии на его флешке не скрытого %mydoc%.exe и скрытого (пусть и отображаемого) %mydoc%.doc, запускать именно exe(( А если один из сотни сможет таки сделать какие-либо изменения в системе, то швах всему.

Так вот к чему это я:
Ларчик довольно просто открывается. Процесс Ancillary Function Driver for WinSock или AFD принадлежит программе Microsoft Windows Operating System или AFD Networking Support Environment или Ancillary Function Driver for Winsock или Ancilliary Function Driver for Winsock от Microsoft. Путем несложных манипуляций с переводчиком получаем что AFD это Вспомогательные функции драйвера для WinSock. То есть необходимо было спуститься еще на одну ступень ниже протокола TCP/IP.
Путем еще более простых манипуляций с реестром и жестким диском аналогичной по ПО машины получаем 2 файла (которые я прикрепил во вложении на случай, если у кого-то будут такие же проблемы), составляющие собой все необходимое для восстановления работы службы.
Afd.sys - файл драйвера. Ложится в %windir%\system32\drivers.
Afd.reg - ветка реестра, отвечающая за службу AFD. Ложится в реестр двойным кликом.

После выполнения вышеописанных действий и перезагрузки ПК начинает работать в штатном режиме - все службы запускаются когда и как надо, домен рад приветствовать доверенный ПК.

И напоследок, не холивара ради, а утверждения жизненной позиции для: IMHO - переустановка ОС всегда плохое решение, так как в корпоративной среде it отдел - исключительно обслуживающий персонал. И клиенту плевать (и так должно быть) как it отделу удобнее его обслуживать. Клиенту надо, чтобы его ПК как минимум 99% времени работал, чтобы там все было привычно и удобно для него. Именно для того, чтобы решить его проблему за этот оставшийся 1% времени, я и трачу порой по неделе, чтобы отловить все деструктивные последствия того, или иного инцидента.

Тема исчерпана и может быть закрыта или удалена, если описанной мной решение не посчитается полезным.

P.S. вирусов, на момент создания темы с системе не было, так что тема сейчас находится в не совсем правильной ветке.

CEBEP37, Проблема решена или нет?

Да. Решена.