При запуске последних CureIT
Win2003 вылетает в синий экран с ошибкой
0x0000008e (0xc0000005, 0xb50ac1a8, 0xb7b47ba0, 0x00000000).
Запуск более старых CureIT такой ошибки не дает
(у меня осталась версия от 17 августа 2007 г.)
На рабочих станциях работает без ошибок.
Что может быть?
При запуске CureIT выдает синий экран 0x0000008e
Автор
VovanM
, мар 14 2008 14:43
10 ответов в этой теме
#2
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 14 Март 2008 - 17:40
Падает стабильно? На каком модуле падает - видно? Если минидамп/дамп памяти ядра?Win2003 вылетает в синий экран с ошибкой 0x0000008e
#3
VovanM
-
- Members
- 2 Сообщений:
Newbie
Отправлено 17 Март 2008 - 10:07
Стабильней никуда.
При запуске успевает появиться окошко на запуск быстрой проверки с кнопками "пуск" и "отмена".
При нажатии "пуск" - синий экран.
Дамп есть - 200 мб
Что с ним можно сделать?
Есть подозрение - что система падает из-за последствий вируса.
Что-то могло остаться, хотя проявлений никаких.
При запуске успевает появиться окошко на запуск быстрой проверки с кнопками "пуск" и "отмена".
При нажатии "пуск" - синий экран.
Дамп есть - 200 мб
Что с ним можно сделать?
Есть подозрение - что система падает из-за последствий вируса.
Что-то могло остаться, хотя проявлений никаких.
#4
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 17 Март 2008 - 13:32
Спросить сюда: http://support.drweb.com/requestДамп есть - 200 мб
Что с ним можно сделать?
В комментариях обратить внимание Суппорта на http://bugs.drweb.com/bug_view_advanced_pa...?bug_id=0018041
ЗЫЖ 200 метров в архиве!?
#5
vovans
-
- Posters
- 64 Сообщений:
Newbie
Отправлено 23 Апрель 2008 - 15:45
не знаю как там с серверами, но последний курвит отправил в ребут две машины из ~20 :(
Сначала не поверил. Раз пять перегружали одну из них. Таки убедился!
По описанию ситуация похожая.
--
% uname -a
Linux gw 2.6.20-xen-r6 #1 SMP Thu Jan 17 16:45:01 MSK 2008 i686 GNU/Linux
Сначала не поверил. Раз пять перегружали одну из них. Таки убедился!
По описанию ситуация похожая.
--
% uname -a
Linux gw 2.6.20-xen-r6 #1 SMP Thu Jan 17 16:45:01 MSK 2008 i686 GNU/Linux
#6
Konstantin Yudin
-
- Dr.Web Staff
-
- 19 552 Сообщений:
Смотрящий
Отправлено 23 Апрель 2008 - 17:47
дамп есть возможность получить с этих машин?не знаю как там с серверами, но последний курвит отправил в ребут две машины из ~20 :(
--
With best regards, Konstantin Yudin
TestLab, Doctor Web, Ltd.
#7
vovans
-
- Posters
- 64 Сообщений:
Newbie
Отправлено 24 Апрель 2008 - 14:56
да за ними всё время работают :( Как появится возможность, так сдедаю дамп...
--
% uname -a
Linux gw 2.6.20-xen-r6 #1 SMP Thu Jan 17 16:45:01 MSK 2008 i686 GNU/Linux
--
% uname -a
Linux gw 2.6.20-xen-r6 #1 SMP Thu Jan 17 16:45:01 MSK 2008 i686 GNU/Linux
#8
vovans
-
- Posters
- 64 Сообщений:
Newbie
Отправлено 13 Май 2008 - 10:46
Короче, дело было вот в чём. Опытным путём было установленно, что CureIT вешает (ребутит) только два компа. На шлюзе именно у этих двух компов была обнаружена активность по 25-му порту. Для примера:
cat /var/log/syslog | grep "SMTP-OUT" | awk '{print $11}' | sed 's/SRC=//' | sort| uniq -c | sort -r
34842 192.168.0.35
18695 192.168.0.94
19 192.168.0.36
12 192.168.0.98
поясняю. Идёт обработка данных с фаерволла. Считаются только те запросу, которые идут по 25-му порту из локалки наружу. На самом деле этот обход закрыт, но все подобные запросы фиксируются. Есть - ~50-70 компов. Сами понимаете что 35 тысяч попыток отправить письмо за пол дня - это как-то слишком.
Итак, выяснилось, что именно эти два верхних ip-шника со зверушками, но живущий там АВГ ничего не видит, а CureIT ребутит сии машины (и только их!) Установка свежего др веба дала тот же результат. А вот бесплатный Каспер нашёл вирусняк в winsystem32drivers. Инфицированные файлы оказались загруженными в память и удалились лишь после ребута, после чего винда вообще перестала загружаться. То есть это были реальные дрова ))))
Всё удалось восстановить, от зверинца избавился. Жаль только что Каспером :(
Короче, этот "жжжжжж" был неспроста!
--
% uname -a
Linux gw 2.6.20-xen-r6 #1 SMP Thu Jan 17 16:45:01 MSK 2008 i686 GNU/Linux
cat /var/log/syslog | grep "SMTP-OUT" | awk '{print $11}' | sed 's/SRC=//' | sort| uniq -c | sort -r
34842 192.168.0.35
18695 192.168.0.94
19 192.168.0.36
12 192.168.0.98
поясняю. Идёт обработка данных с фаерволла. Считаются только те запросу, которые идут по 25-му порту из локалки наружу. На самом деле этот обход закрыт, но все подобные запросы фиксируются. Есть - ~50-70 компов. Сами понимаете что 35 тысяч попыток отправить письмо за пол дня - это как-то слишком.
Итак, выяснилось, что именно эти два верхних ip-шника со зверушками, но живущий там АВГ ничего не видит, а CureIT ребутит сии машины (и только их!) Установка свежего др веба дала тот же результат. А вот бесплатный Каспер нашёл вирусняк в winsystem32drivers. Инфицированные файлы оказались загруженными в память и удалились лишь после ребута, после чего винда вообще перестала загружаться. То есть это были реальные дрова ))))
Всё удалось восстановить, от зверинца избавился. Жаль только что Каспером :(
Короче, этот "жжжжжж" был неспроста!
--
% uname -a
Linux gw 2.6.20-xen-r6 #1 SMP Thu Jan 17 16:45:01 MSK 2008 i686 GNU/Linux
#9
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 13 Май 2008 - 12:40
Да, бывает такое. :(Короче, этот "жжжжжж" был неспроста!
---
С уважением,
Borka.
#10
Konstantin Yudin
-
- Dr.Web Staff
-
- 19 552 Сообщений:
Смотрящий
Отправлено 13 Май 2008 - 18:07
это руткиты так защищаются, как только их тронешь они в ребут машину. скоро все будет иначе :)
--
With best regards, Konstantin Yudin
TestLab, Doctor Web, Ltd.
#11
vovans
-
- Posters
- 64 Сообщений:
Newbie
Отправлено 14 Май 2008 - 08:46
хорошо бы =)))
--
% uname -a
Linux gw 2.6.20-xen-r6 #1 SMP Thu Jan 17 16:45:01 MSK 2008 i686 GNU/Linux
--
% uname -a
Linux gw 2.6.20-xen-r6 #1 SMP Thu Jan 17 16:45:01 MSK 2008 i686 GNU/Linux
Читают тему: 1
0 пользователей, 1 гостей, 0 скрытых
