Перейти к содержимому


Фото
- - - - -

SpIDer Gate и SpIDer Mail для Windows не запущен


  • Please log in to reply
94 ответов в этой теме

#41 zirro.s

zirro.s

    Member

  • Posters
  • 132 Сообщений:

Отправлено 24 Декабрь 2015 - 15:24

Надеюсь сделал всё правильно, логи прикладываю. 



#42 zirro.s

zirro.s

    Member

  • Posters
  • 132 Сообщений:

Отправлено 24 Декабрь 2015 - 15:41

Ой, а логи и не приложил  :facepalm:

Прикрепленные файлы:

  • Прикрепленный файл  logs.ZIP   1020,12К   2 Скачано раз


#43 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 351 Сообщений:

Отправлено 25 Декабрь 2015 - 10:40

Какая-то, действительно, непонятная ерунда. По логу нетфильтра, он, действительно, скорее мёртв, чем жив, но не понятна причина. По логу сервиса тоже не понять, что-то упускаем.

 

Напомните, пожалуйста, сколько таких проблемных станций из общего числа? Это всё win 7 x86?

 

Наверно, все же, придется снимать drwsysinfo с такой машины и либо в личку, либо через наш саппорт. Можно и прям сюда, если уверены, что там нет ничего приватного.


(exit 0)

#44 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 351 Сообщений:

Отправлено 25 Декабрь 2015 - 10:42

Погодите-ка, а в логе нетфильтра он 24-го вообще ничего не пишет. Скопируйте-ка его еще разок сюда, пожалуйста.

Вы же включили для Gate и Mail "Вести подробный журнал"?


Сообщение было изменено Kirill Polubelov: 25 Декабрь 2015 - 10:43

(exit 0)

#45 zirro.s

zirro.s

    Member

  • Posters
  • 132 Сообщений:

Отправлено 25 Декабрь 2015 - 11:26

Погодите-ка, а в логе нетфильтра он 24-го вообще ничего не пишет. Скопируйте-ка его еще разок сюда, пожалуйста.

Вы же включили для Gate и Mail "Вести подробный журнал"?

Да, включил (см. скрин) . Меня самого удивило что в логе нетфильтра нет информации позднее 24-го. Повторно его выкладываю.

P.S. если что - netfilter.log скопирован со станции сегодня (25-го)

Прикрепленные файлы:


Сообщение было изменено zirro.s: 25 Декабрь 2015 - 11:29


#46 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 351 Сообщений:

Отправлено 25 Декабрь 2015 - 12:01

Да, нетфильтр приказал долго жить... Но в логе сервиса, типа, все хорошо:

 

 

2015-Dec-24 17:14:24.886533 [996] [DBG] [services_task::check_service] DrWebNetFilter is 'Running', pid: 2264

2015-Dec-24 17:14:54.889249 [996] [DBG] [services_task::check_service] DrWebNetFilter is 'Running', pid: 2264

2015-Dec-24 17:15:24.890965 [996] [DBG] [services_task::check_service] DrWebNetFilter is 'Running', pid: 2264

2015-Dec-24 17:15:54.892681 [996] [DBG] [services_task::check_service] DrWebNetFilter is 'Running', pid: 2264

2015-Dec-24 17:16:24.893397 [996] [DBG] [services_task::check_service] DrWebNetFilter is 'Running', pid: 2264

2015-Dec-24 17:16:54.895113 [996] [DBG] [services_task::check_service] DrWebNetFilter is 'Running', pid: 2264

2015-Dec-24 17:17:24.896829 [996] [DBG] [services_task::check_service] DrWebNetFilter is 'Running', pid: 2264

2015-Dec-24 17:17:54.899545 [996] [DBG] [services_task::check_service] DrWebNetFilter is 'Running', pid: 2264

2015-Dec-24 17:18:24.901261 [996] [DBG] [services_task::check_service] DrWebNetFilter is 'Running', pid: 2264

2015-Dec-24 17:18:54.901977 [996] [DBG] [services_task::check_service] DrWebNetFilter is 'Running', pid: 2264

2015-Dec-24 17:19:24.904693 [996] [DBG] [services_task::check_service] DrWebNetFilter is 'Running', pid: 2264

2015-Dec-24 17:19:54.906409 [996] [DBG] [services_task::check_service] DrWebNetFilter is 'Running', pid: 2264

2015-Dec-24 17:20:24.907125 [996] [DBG] [services_task::check_service] DrWebNetFilter is 'Running', pid: 2264

2015-Dec-24 17:20:54.908841 [996] [DBG] [services_task::check_service] DrWebNetFilter is 'Running', pid: 2264

2015-Dec-24 17:21:24.912557 [996] [DBG] [services_task::check_service] DrWebNetFilter is 'Running', pid: 2264

и т.д., если он и "падает", то воскресает с тем же PID.

Без сисинфо не понять, что происходит.


Сообщение было изменено Kirill Polubelov: 25 Декабрь 2015 - 12:01

(exit 0)

#47 zirro.s

zirro.s

    Member

  • Posters
  • 132 Сообщений:

Отправлено 25 Декабрь 2015 - 13:52

Собрал лог.

https://www.dropbox.com/s/abk020itaatvtmu/OLGA-COMP_Olga_251215_150359.zip?dl=0



#48 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 351 Сообщений:

Отправлено 25 Декабрь 2015 - 14:34

От блин, куда я раньше смотрел :) Сисинфо было же уже.

 

Вообщем, там, похоже, системные проблемы. Все журналы событий ОС забиты ошибками некоего USB устройства (Infocrypt?), падают, чуть менее, чем все сетевые приложения (ИЕ, 2ГИС и т.д.) и в довершение всего, ругань на The driver detected a controller error on \Device\Harddisk1\DR1

 

Надо бы со всем этим разобраться.


Кстати, там должно быть полно дампов.


Сообщение было изменено Kirill Polubelov: 25 Декабрь 2015 - 14:34

(exit 0)

#49 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 351 Сообщений:

Отправлено 25 Декабрь 2015 - 14:37

Ну и в довесок, что-то с системным временем, на сутки разнится, из-за чего ругань на сертификаты, а Time-Service рекомендует Run 'w32tm /resync' to force an instant time synchronization.


(exit 0)

#50 zirro.s

zirro.s

    Member

  • Posters
  • 132 Сообщений:

Отправлено 25 Декабрь 2015 - 14:42

Уже есть за что зацепиться. Покопаемся.



#51 zirro.s

zirro.s

    Member

  • Posters
  • 132 Сообщений:

Отправлено 25 Декабрь 2015 - 14:48

Время синхронизировано по ntp и не может на сутки расходиться. Прямо сейчас там точнейшее время до секунды (и я ничего не подводил). Упс, обманул - не настроен ntp и забегало на 4 минуты, но всё равно не на сутки.


Сообщение было изменено zirro.s: 25 Декабрь 2015 - 14:50


#52 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 351 Сообщений:

Отправлено 25 Декабрь 2015 - 14:51

Да, оно, таки, потом синхронизируется, но периодически такое уведомление от Time-Service приходит, то есть такое отставание возникает, может с батарейкой что-то?


Но, время тут не главное, проверить диск надо и попытаться понять, что за USB устройство ругается так много в журналы.


(exit 0)

#53 zirro.s

zirro.s

    Member

  • Posters
  • 132 Сообщений:

Отправлено 25 Декабрь 2015 - 15:25

Да, оно, таки, потом синхронизируется, но периодически такое уведомление от Time-Service приходит, то есть такое отставание возникает, может с батарейкой что-то?


Но, время тут не главное, проверить диск надо и попытаться понять, что за USB устройство ругается так много в журналы.

Устройство - это скорее всего Amikon VPN-Key storage Drive USB, необходимое для работы сбербанк-онлайн

Отвечая на предыдущий вопрос: компьютеров с такой проблемой две штуки. На обоих стоит эта "флешка", но насколько я вижу, на втором нет никаких ошибок, связанных с \Device\Harddisk1\DR1


Сообщение было изменено zirro.s: 25 Декабрь 2015 - 15:28


#54 zirro.s

zirro.s

    Member

  • Posters
  • 132 Сообщений:

Отправлено 25 Декабрь 2015 - 15:39

Если поможет, могу сформировать отчёт по второму компьютеру.



#55 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 351 Сообщений:

Отправлено 25 Декабрь 2015 - 15:50

Если второй комп -- Лены, то уже есть. Думаю, мы угадали верно -- вокруг Амикона дело вращается.


(exit 0)

#56 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 351 Сообщений:

Отправлено 25 Декабрь 2015 - 15:55

Клиент сберовский, при этом, работает нормально, без проблем и доп. манипуляций?


(exit 0)

#57 zirro.s

zirro.s

    Member

  • Posters
  • 132 Сообщений:

Отправлено 25 Декабрь 2015 - 17:06

Клиент сберовский, при этом, работает нормально, без проблем и доп. манипуляций?

Да, второй комп Лены. И если б не работал сбербанк-онлайн, я бы первый об этом узнал по непрекращающимся телефонным звонкам.


Сообщение было изменено zirro.s: 25 Декабрь 2015 - 17:07


#58 Vladimir K.

Vladimir K.

    Member

  • Posters
  • 203 Сообщений:

Отправлено 14 Январь 2016 - 09:53

Проверьте, пожалуйста, поиском, присутствует ли на проблемных машинах файл _ftcgpk.dll. Если таковой найдется, переименуйте его и перезагрузитесь. Проблема должна исчезнуть. Если файл не найдется, то нужно будет снять дамп памяти процесса dwnetfilter.exe утилитой procdump
Запустить так:
procdump -ma dwnetfilter
dmp-файл будет создан рядом с procdump.exe , в том же каталоге. После чего дамп с описанием проблемы зашлите в техподдержку. Это поможет.
 



#59 zirro.s

zirro.s

    Member

  • Posters
  • 132 Сообщений:

Отправлено 15 Январь 2016 - 11:09

Всё никак нет времени отчитаться. Я немного пораньше чем Вы разобрался с проблемой (правда в связи с не очень приятными событиями) и как раз вашим способом. В понедельник 11.01 мне позвонили из этого филиала и сказали, что на файловой шаре сервера, начали исчезать документы *.doc, *.xls ... и меняться на файлы с расширением *.neitrino (если что, на всех компьютерах, включая сам сервер, установлен Drweb ES 10 с актуальными базами). Ясно - вирус-шифровальщик. Сервер и все станции отключили от сети и стали включать по одной, я смотрел список процессов (Process Explorer), и список автозапуска (Autoruns) а потом запускал полное антивирусное сканирование, а так же делал поиск файлов с расширением *.neitrino на локальных дисках раб. станций. В общем ни на одной станции ничего не нашлось (на файлов, ни процессов, ни вирусов...), за исключением тех двух станций на которых не запускались SpiDer Gate и Spider Mail. Как раз на них я обнаружил странный процесс _ftcgpk с перепугу приняв его за вирус. Я прибил этот процесс и практически моментально значки "паучка" в правом нижнем углу приняли нормальный вид. Через управлялку я убедился что теперь на этих станциях запущены все компоненты. Чтоб этот процесс больше не запускался переименовал файлы c:\windows\system32\_ftcgpk.exe и c:\windows\system32\_ftcgpk.dll.

В общем с проблемой SpiDer Gate и Spider Mail разобрался, но вот что привело к шифрованию файлов ТОЛЬКО на шаре (в остальных "нерасшаренных" папках сервера файлы были не зашифрованы) мне непонятно. Шифровка прекратилась практически "сама собой" через какое-то время после перезагрузки сервера и включения его в сеть.

P.S. если кому интересно могу выложить _ftcgpk.exe и _ftcgpk.dll.


Сообщение было изменено zirro.s: 15 Январь 2016 - 11:12


#60 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 351 Сообщений:

Отправлено 15 Январь 2016 - 11:49

"но вот что привело к шифрованию файлов ТОЛЬКО на шаре (в остальных "нерасшаренных" папках сервера файлы были не зашифрованы) мне непонятно."

Какой-то пораженный ПК имел доступ к этим шарам. Возможно, кто-то пришлый, с ноутбука?

Всунутая флэшка тоже могла помочь.


(exit 0)


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых