Надеюсь сделал всё правильно, логи прикладываю.
SpIDer Gate и SpIDer Mail для Windows не запущен
#41
Отправлено 24 Декабрь 2015 - 15:24
#42
Отправлено 24 Декабрь 2015 - 15:41
Ой, а логи и не приложил
Прикрепленные файлы:
#43
Отправлено 25 Декабрь 2015 - 10:40
Какая-то, действительно, непонятная ерунда. По логу нетфильтра, он, действительно, скорее мёртв, чем жив, но не понятна причина. По логу сервиса тоже не понять, что-то упускаем.
Напомните, пожалуйста, сколько таких проблемных станций из общего числа? Это всё win 7 x86?
Наверно, все же, придется снимать drwsysinfo с такой машины и либо в личку, либо через наш саппорт. Можно и прям сюда, если уверены, что там нет ничего приватного.
#44
Отправлено 25 Декабрь 2015 - 10:42
Погодите-ка, а в логе нетфильтра он 24-го вообще ничего не пишет. Скопируйте-ка его еще разок сюда, пожалуйста.
Вы же включили для Gate и Mail "Вести подробный журнал"?
Сообщение было изменено Kirill Polubelov: 25 Декабрь 2015 - 10:43
#45
Отправлено 25 Декабрь 2015 - 11:26
Погодите-ка, а в логе нетфильтра он 24-го вообще ничего не пишет. Скопируйте-ка его еще разок сюда, пожалуйста.
Вы же включили для Gate и Mail "Вести подробный журнал"?
Да, включил (см. скрин) . Меня самого удивило что в логе нетфильтра нет информации позднее 24-го. Повторно его выкладываю.
P.S. если что - netfilter.log скопирован со станции сегодня (25-го)
Прикрепленные файлы:
Сообщение было изменено zirro.s: 25 Декабрь 2015 - 11:29
#46
Отправлено 25 Декабрь 2015 - 12:01
Да, нетфильтр приказал долго жить... Но в логе сервиса, типа, все хорошо:
2015-Dec-24 17:14:24.886533 [996] [DBG] [services_task::check_service] DrWebNetFilter is 'Running', pid: 2264
2015-Dec-24 17:14:54.889249 [996] [DBG] [services_task::check_service] DrWebNetFilter is 'Running', pid: 2264
2015-Dec-24 17:15:24.890965 [996] [DBG] [services_task::check_service] DrWebNetFilter is 'Running', pid: 2264
2015-Dec-24 17:15:54.892681 [996] [DBG] [services_task::check_service] DrWebNetFilter is 'Running', pid: 2264
2015-Dec-24 17:16:24.893397 [996] [DBG] [services_task::check_service] DrWebNetFilter is 'Running', pid: 2264
2015-Dec-24 17:16:54.895113 [996] [DBG] [services_task::check_service] DrWebNetFilter is 'Running', pid: 2264
2015-Dec-24 17:17:24.896829 [996] [DBG] [services_task::check_service] DrWebNetFilter is 'Running', pid: 2264
2015-Dec-24 17:17:54.899545 [996] [DBG] [services_task::check_service] DrWebNetFilter is 'Running', pid: 2264
2015-Dec-24 17:18:24.901261 [996] [DBG] [services_task::check_service] DrWebNetFilter is 'Running', pid: 2264
2015-Dec-24 17:18:54.901977 [996] [DBG] [services_task::check_service] DrWebNetFilter is 'Running', pid: 2264
2015-Dec-24 17:19:24.904693 [996] [DBG] [services_task::check_service] DrWebNetFilter is 'Running', pid: 2264
2015-Dec-24 17:19:54.906409 [996] [DBG] [services_task::check_service] DrWebNetFilter is 'Running', pid: 2264
2015-Dec-24 17:20:24.907125 [996] [DBG] [services_task::check_service] DrWebNetFilter is 'Running', pid: 2264
2015-Dec-24 17:20:54.908841 [996] [DBG] [services_task::check_service] DrWebNetFilter is 'Running', pid: 2264
2015-Dec-24 17:21:24.912557 [996] [DBG] [services_task::check_service] DrWebNetFilter is 'Running', pid: 2264
и т.д., если он и "падает", то воскресает с тем же PID.
Без сисинфо не понять, что происходит.
Сообщение было изменено Kirill Polubelov: 25 Декабрь 2015 - 12:01
#47
Отправлено 25 Декабрь 2015 - 13:52
#48
Отправлено 25 Декабрь 2015 - 14:34
От блин, куда я раньше смотрел Сисинфо было же уже.
Вообщем, там, похоже, системные проблемы. Все журналы событий ОС забиты ошибками некоего USB устройства (Infocrypt?), падают, чуть менее, чем все сетевые приложения (ИЕ, 2ГИС и т.д.) и в довершение всего, ругань на The driver detected a controller error on \Device\Harddisk1\DR1
Надо бы со всем этим разобраться.
Кстати, там должно быть полно дампов.
Сообщение было изменено Kirill Polubelov: 25 Декабрь 2015 - 14:34
#49
Отправлено 25 Декабрь 2015 - 14:37
Ну и в довесок, что-то с системным временем, на сутки разнится, из-за чего ругань на сертификаты, а Time-Service рекомендует Run 'w32tm /resync' to force an instant time synchronization.
#50
Отправлено 25 Декабрь 2015 - 14:42
Уже есть за что зацепиться. Покопаемся.
#51
Отправлено 25 Декабрь 2015 - 14:48
Время синхронизировано по ntp и не может на сутки расходиться. Прямо сейчас там точнейшее время до секунды (и я ничего не подводил). Упс, обманул - не настроен ntp и забегало на 4 минуты, но всё равно не на сутки.
Сообщение было изменено zirro.s: 25 Декабрь 2015 - 14:50
#52
Отправлено 25 Декабрь 2015 - 14:51
Да, оно, таки, потом синхронизируется, но периодически такое уведомление от Time-Service приходит, то есть такое отставание возникает, может с батарейкой что-то?
Но, время тут не главное, проверить диск надо и попытаться понять, что за USB устройство ругается так много в журналы.
#53
Отправлено 25 Декабрь 2015 - 15:25
Да, оно, таки, потом синхронизируется, но периодически такое уведомление от Time-Service приходит, то есть такое отставание возникает, может с батарейкой что-то?
Но, время тут не главное, проверить диск надо и попытаться понять, что за USB устройство ругается так много в журналы.
Устройство - это скорее всего Amikon VPN-Key storage Drive USB, необходимое для работы сбербанк-онлайн
Отвечая на предыдущий вопрос: компьютеров с такой проблемой две штуки. На обоих стоит эта "флешка", но насколько я вижу, на втором нет никаких ошибок, связанных с \Device\Harddisk1\DR1
Сообщение было изменено zirro.s: 25 Декабрь 2015 - 15:28
#54
Отправлено 25 Декабрь 2015 - 15:39
Если поможет, могу сформировать отчёт по второму компьютеру.
#55
Отправлено 25 Декабрь 2015 - 15:50
Если второй комп -- Лены, то уже есть. Думаю, мы угадали верно -- вокруг Амикона дело вращается.
#56
Отправлено 25 Декабрь 2015 - 15:55
Клиент сберовский, при этом, работает нормально, без проблем и доп. манипуляций?
#57
Отправлено 25 Декабрь 2015 - 17:06
Клиент сберовский, при этом, работает нормально, без проблем и доп. манипуляций?
Да, второй комп Лены. И если б не работал сбербанк-онлайн, я бы первый об этом узнал по непрекращающимся телефонным звонкам.
Сообщение было изменено zirro.s: 25 Декабрь 2015 - 17:07
#58
Отправлено 14 Январь 2016 - 09:53
Проверьте, пожалуйста, поиском, присутствует ли на проблемных машинах файл _ftcgpk.dll. Если таковой найдется, переименуйте его и перезагрузитесь. Проблема должна исчезнуть. Если файл не найдется, то нужно будет снять дамп памяти процесса dwnetfilter.exe утилитой procdump
Запустить так:
procdump -ma dwnetfilter
dmp-файл будет создан рядом с procdump.exe , в том же каталоге. После чего дамп с описанием проблемы зашлите в техподдержку. Это поможет.
#59
Отправлено 15 Январь 2016 - 11:09
Всё никак нет времени отчитаться. Я немного пораньше чем Вы разобрался с проблемой (правда в связи с не очень приятными событиями) и как раз вашим способом. В понедельник 11.01 мне позвонили из этого филиала и сказали, что на файловой шаре сервера, начали исчезать документы *.doc, *.xls ... и меняться на файлы с расширением *.neitrino (если что, на всех компьютерах, включая сам сервер, установлен Drweb ES 10 с актуальными базами). Ясно - вирус-шифровальщик. Сервер и все станции отключили от сети и стали включать по одной, я смотрел список процессов (Process Explorer), и список автозапуска (Autoruns) а потом запускал полное антивирусное сканирование, а так же делал поиск файлов с расширением *.neitrino на локальных дисках раб. станций. В общем ни на одной станции ничего не нашлось (на файлов, ни процессов, ни вирусов...), за исключением тех двух станций на которых не запускались SpiDer Gate и Spider Mail. Как раз на них я обнаружил странный процесс _ftcgpk с перепугу приняв его за вирус. Я прибил этот процесс и практически моментально значки "паучка" в правом нижнем углу приняли нормальный вид. Через управлялку я убедился что теперь на этих станциях запущены все компоненты. Чтоб этот процесс больше не запускался переименовал файлы c:\windows\system32\_ftcgpk.exe и c:\windows\system32\_ftcgpk.dll.
В общем с проблемой SpiDer Gate и Spider Mail разобрался, но вот что привело к шифрованию файлов ТОЛЬКО на шаре (в остальных "нерасшаренных" папках сервера файлы были не зашифрованы) мне непонятно. Шифровка прекратилась практически "сама собой" через какое-то время после перезагрузки сервера и включения его в сеть.
P.S. если кому интересно могу выложить _ftcgpk.exe и _ftcgpk.dll.
Сообщение было изменено zirro.s: 15 Январь 2016 - 11:12
#60
Отправлено 15 Январь 2016 - 11:49
"но вот что привело к шифрованию файлов ТОЛЬКО на шаре (в остальных "нерасшаренных" папках сервера файлы были не зашифрованы) мне непонятно."
Какой-то пораженный ПК имел доступ к этим шарам. Возможно, кто-то пришлый, с ноутбука?
Всунутая флэшка тоже могла помочь.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых