Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - Как узнать что именно отключает диспетчер задач?

Ответить
Настройки темы
2008 R2 - Как узнать что именно отключает диспетчер задач?

Пользователь


Сообщения: 109
Благодарности: 0

Профиль | Отправить PM | Цитировать

Всем доброго времени суток!
Возникла такая проблема, от которой уже мозг взрывается. Недавно один из наших серверов подвергся атаке, в результате которой на него установили шпионскую прогу от Mipko и еще парочку мелких вредителей. Я это быстро обнаружил и всех шпионов посносил. Обновил систему, антивурус и закрыл к серваку доступ с внешки. Но одна мелкая проблема осталась. Какая-то пакость по-прежнему отключает в реестре диспетчер задач. Я уже весь реестр обшарил, ну нет ничего подозрительного в автозапуске. Проверил все системные задания, тоже ничего не обнаружил. В процессах тоже ничего подозрительного не висит (проверял через AnVir Task Manager). И тут я уже просто зашел в тупик. Что-то ведь его отключает Оо. Причем это происходит не в момент загрузки системы, и даже не в момент логина. Такое впечатление, что это происходит по какому-то таймеру. Но как выцепить "гада"?

Отправлено: 06:55, 09-12-2014

 

ИО Капитана Очевидности


Contributor


Сообщения: 5383
Благодарности: 1105

Профиль | Отправить PM | Цитировать

Цитата goodguy:
Причем это происходит не в момент загрузки системы, и даже не в момент логина. Такое впечатление, что это происходит по какому-то таймеру. »
Может быть, по таймеру применения групповых политик?
Что показывает rsop.msc?

1) Запустите procmon из пакета sysinternalsuite
2) Настройте фильтр событий - изменение нужного ключа реестра
3) ...
4) PROFIT!!!!


P.S.
Многие антивирусы (тот же Касперский), имеют "активную защиту", которая позволяет контролировать обращение к разделам реестра.
Пропишите правило контроля данного раздела и настройте отправку уведомлений на электронную почту.

-------
Самое совершенное оружие, которым забиты арсеналы богатых и процветающих наций, может легко уничтожить необразованного, больного, бедного и голодного. Но оно не может уничтожить невежество, болезнь, нищету и голод. (Фидель Кастро)

Почему всех осужденных за измену Родине при Сталине реабилитировали при Горбачёве по отсутствию состава преступления? Потому что при Горбачёве измену Родине перестали считать преступлением.

Это сообщение посчитали полезным следующие участники:

Отправлено: 07:26, 09-12-2014 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Пользователь


Сообщения: 109
Благодарности: 0

Профиль | Отправить PM | Цитировать

Цитата El Scorpio:
Может быть, по таймеру применения групповых политик? »
Не исключаю.
Цитата El Scorpio:
1) Запустите procmon из пакета sysinternalsuite
2) Настройте фильтр событий - изменение нужного ключа реестра
3) ...
4) PROFIT!!!! »
Спасибо за совет Уже пробую. Только не понятно как настроить procmon именно на мониторинг события по изменению ключа DisableTaskMgr. Он по-любому мониторит все возможные события, коих там просто гора
Цитата El Scorpio:
Что показывает rsop.msc? »
Опа! А это уже интереснее. Есть пункт "удалить диспетчер задача" - включено.
Только как убрать? Кнопки не доступны

Последний раз редактировалось goodguy, 09-12-2014 в 08:10.

Отправлено: 07:56, 09-12-2014 | #3


Пользователь


Сообщения: 109
Благодарности: 0

Профиль | Отправить PM | Цитировать

Все, разобрался ) Это я туплю. Надо же было через gpedit. Отключил эту фигню.
El Scorpio огромное спасибо за помощь!

Отправлено: 08:16, 09-12-2014 | #4


ИО Капитана Очевидности


Contributor


Сообщения: 5383
Благодарности: 1105

Профиль | Отправить PM | Цитировать

Цитата goodguy:
Только не понятно как настроить procmon именно на мониторинг события по изменению ключа DisableTaskMgr. Он по-любому мониторит все возможные события, коих там просто гора »
Капитан Очевидность говорит, что для фильтрации отображаемых событий нужно использовать функцию "фильтр". Так то!

Фильтры можно задавать на сокрытие лишних событий и на показ только конкретных событий.
Условия можно придумывать любые - по PID процеса, по имени программы, по тексту значения (имя файла или ключа реестра), по типу операции (чтение, изменение).
В вашем случае нужно мониторить запросы на изменение данного ключа реестра.

-------
Самое совершенное оружие, которым забиты арсеналы богатых и процветающих наций, может легко уничтожить необразованного, больного, бедного и голодного. Но оно не может уничтожить невежество, болезнь, нищету и голод. (Фидель Кастро)

Почему всех осужденных за измену Родине при Сталине реабилитировали при Горбачёве по отсутствию состава преступления? Потому что при Горбачёве измену Родине перестали считать преступлением.

Отправлено: 08:23, 09-12-2014 | #5


Пользователь


Сообщения: 109
Благодарности: 0

Профиль | Отправить PM | Цитировать

Цитата El Scorpio:
Капитан Очевидность говорит, что для фильтрации отображаемых событий нужно использовать функцию "фильтр". Так то! »
Да это-то понятно. Но, PID процесса отпадает. Я же не знаю какой процесс мне нужен, имя программы так же. А вот как там выбрать мониторинг именно ключа реестра, ума не приложу. Указать тип фильтра Path?

Отправлено: 08:31, 09-12-2014 | #6


ИО Капитана Очевидности


Contributor


Сообщения: 5383
Благодарности: 1105

Профиль | Отправить PM | Цитировать

Цитата goodguy:
Указать тип фильтра Path? »
Угу.
Или указать полный путь, или "заканчивается на" имя нужного ключа.

-------
Самое совершенное оружие, которым забиты арсеналы богатых и процветающих наций, может легко уничтожить необразованного, больного, бедного и голодного. Но оно не может уничтожить невежество, болезнь, нищету и голод. (Фидель Кастро)

Почему всех осужденных за измену Родине при Сталине реабилитировали при Горбачёве по отсутствию состава преступления? Потому что при Горбачёве измену Родине перестали считать преступлением.

Это сообщение посчитали полезным следующие участники:

Отправлено: 08:44, 09-12-2014 | #7



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - Как узнать что именно отключает диспетчер задач?

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Firewall - [решено] Как определить, что именно блокирует интеренет. Lenin_13 Сетевые технологии 3 06-11-2013 08:59
Диспетчер задач не видит что жрёт ОЗУ. Sozdatel1989 Материнские платы и память 10 18-10-2011 02:29
Интерфейс - [решено] Диспетчер задач что показывает? llVKll Microsoft Windows 7 5 31-03-2010 14:57
Отключен диспетчер задач, как включить? satori Microsoft Windows 2000/XP 2 16-09-2006 16:51
Подскажите как узнать куда именно трян отправляет собранные данные Molchun78 Хочу все знать 2 20-04-2006 18:26


« Предыдущая тема | Следующая тема »


 
Переход