Clever Geek Handbook

Windows 2003 / XPのネットワーク環境または悪意のあるキドウイルスの問題

この記事は、私が踏んだ熊手を子孫が踏まないように書かれています。

サーバー/ローカルコンピューターで、ネットワーク環境が「ネットワークアクセスサービスのいずれもネットワークパスを処理できません」というエラーで開かない場合は、ようこそ





症状



一般的に、ある晴れた日、ユーザーが私に電話して、サンバでメインサーバーに接続できなかったと言った(当然、彼は何か間違ったことを言ったが、本質は移された)私はコンピューターから\\サーバーを入力しようとしました。 ただし、サーバーは完全にpingを実行し、必要なポートはすべて開いていました。 サーバーを再起動した後(そして、これは就業日の真ん中に完全なahtungであることが知られています)、サーバーは約1時間働き、エラーが繰り返されました。 サーバー自体で、ネットワークを介して任意のコンピューターにアクセスしようとすると、\\ユーザーは「ネットワークアクセスサービスのいずれもネットワークパスを処理できません」というエラーを受け取りました



既往歴



前述のように、ポート445が開かれました。 「None of the services」というエラーは、問題がサービスにあるという考えを促しました:)

そのため、サービスに登ると、vskidkuで次のことがわかります。サービスサーバー、ワークステーション、コンピューターブラウザーが落ちています。 実行-10〜15分後に再び動作します。 アプリケーションログにエラーが表示される

「アプリケーションエラーsvchost.exe、バージョン5.2.3790.3959、kernel32.dllモジュール、バージョン5.2.3790.3959、アドレス0x0006beb8」

サービスが落ちる直後



鑑別診断1



Google ...



理由は、ポート445でネットワークコンピュータを攻撃する特定のキドウイルスであり、バッファオーバーフローエラーが発生するという明確な結論に達します。 解決策は、ネットワーク上のすべてのコンピューターでkk.exeを実行することです。 kk.exe-カスペルスキーのキドウイルス治療プログラム。 Kaspersky Anti-Virus自体は我慢できませんが、私はそれをしました-Kaspersky自体は脅威を検出しませんでした。



治療



ネットワーク上のすべてのコンピューターを調べてkkを実行した後、このウイルスの多くを見つけて駆除しました。 さらに、新たに感染したコンピューターを保護するために、監視モード「kk -m」でkkを起動し、スタートアップに追加しました。 これらのすべての操作の後、彼らは自由にため息をつきました。 サービスはそれほど頻繁に落ち始めませんでした。 しかし、それでも簡単にはなりませんでした! ところで、問題の一時的な解決策は、サービスのいずれかのプロパティに移動し、[リカバリ]タブのすべてのフィールドに「サーバーを再起動」を設定することです。 サービスは落ちていますが、ほとんどすぐに復旧しています。



鑑別診断2



だから私はサービスがバッチで落ちている理由を考え始めました。 そして、これらのサービスを統合するもの。 答えは簡単でした-svchost.exeの1つがこれらすべてのサービスを実行しました。 完全なリストは次のとおりです。

•コンピューターブラウザー(!)

•暗号化サービス

•論理ディスクマネージャー

•COM +イベントサービス

•ヘルプとサポート

•サーバー(!)

•ワークステーション(!)

•ネットワーク接続(!)

•ネットワークロケーションサービス

•タスクスケジューラ(!)

•セカンダリログイン

•システムイベントの通知

•シェル機器の定義

•変更されたリンクを追跡する顧客

•Windows管理ツールキット

•自動更新

•ワイヤレスセットアップ



一般的に、考えはさらに進んだ。 サーバーにはウイルスが存在しないため、ネットワーク上のどのコンピューターにもウイルスが存在します。 そして彼はサーバーを攻撃し続けています。 しかし、なぜサーバーはこれからクラッシュしますか? それで、ある種の穴があります。 また、穴がある場合は、パッチが必要です。 悲しみが半分になったところで、WinXPのそのようなパッチを見つけました-KB958644

そして、 Win2003のパッチの名前を知っているので、問題なくパッチ見つけました。



治療パート2



サーバーとネットワーク上のすべてのコンピューターにパッチを適用します。 エラーの代わりに

「アプリケーションエラーsvchost.exe、バージョン5.2.3790.3959、kernel32.dllモジュール、バージョン5.2.3790.3959、アドレス0x0006beb8」

警告が表示され始めた

「キューエラー報告:svchost.exeアプリケーションエラー、バージョン5.2.3790.3959、kernel32.dllモジュール、バージョン5.2.3790.3959、アドレス0x0006beb8」



まとめ



原則として、問題は解決され、書き出すことができます。 しかし(!)攻撃が続くと、ウイルスはまだ有効なままです。 私はこれについてhabrasocietyに質問したいと思います-ネットワークで感染したコンピューターを識別する方法は?

ポート445(登る人、角)を聞く必要があると仮定するのは論理的です。 しかし、結局のところ、サーバー上で多くのことがわきまえられています。人々は編集、作成、保存、監視に登ります...ポート445の通常のトラフィックを悪意のあるトラフィックから分離する方法は?

コメントでアドバイスを待っています。将来、私の記事が誰かがこの問題に素早く対処するのに役立つことを願っています。



ZYZHの自動更新は2003年に更新されました-何らかの理由で、このパッチは全員に適用されません。



More articles:


All Articles