none
Отключение Windows Server 2016 RRS feed

  • Вопрос

  • Происходит каждодневное, полное отключение Windows Server 2016. 

    Как победить данную проблему. Антивирус установлен, вирусов нет, план. задания отключил, может не все отключил.

    Куда рыть, чего еще надо отключить?

    9 августа 2019 г. 13:51

Все ответы

  • Приветствую.

    Смотрите события (Event Log), так же проверьте наличие дампов %SystemRoot%\MEMORY.DMP

    Если подключен к серверу ИПБ, посмотрите настройки оного и его драйвера


    Я не волшебник, я только учусь. MCTS, CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте нажать на кнопку "Отметить как ответ" или проголосовать за "полезное сообщение". Disclaimer: Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть, без каких-либо на то гарантий. Блог IT Инженера, Яндекс Дзен, YouTube, GitHub.


    9 августа 2019 г. 14:38
    Модератор
  • сервер активирован и обновы все установлены?

    на каком железу установлен сервер? Менеджмент логи (с iLo/iDrack) с сервера доступны?


    The opinion expressed by me is not an official position of Microsoft

    9 августа 2019 г. 14:55
    Модератор
  • Здравствуйте,

    Обычно указанное вами поведение, свойственно не активированному серверу.

    Если у Вас сервер активирован (легально) и вы подозреваете, что у Вас на сервере присутствует вредоносное ПО, то предоставьте пожалуйста следующий лог.


    Предоставите лог сторонней антивирусной утилиты FRST согласно следующей инструкции:
    Важно: обратите внимание, что указанная утилита, может показать возможное использование средств обхода лицензионного соглашения.
    - Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

      • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
      • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SignCheckExt".

      • Нажмите кнопку Scan.
      • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении в качестве ссылки на скачивания с файлового хранилища (например onedrive).
      • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении в качестве ссылки на скачивания с файлового хранилища (например onedrive).



    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    9 августа 2019 г. 23:48
    Модератор
  • В дополнение - проверьте задачи в Task Scheduler, возможно найдете там какие-нибудь скрипты или батники. И также проверьте не выполняется ли в это время бэкап сервера. Если да, то проверьте настройки задания бэкапа (нет ли там форсированного выключения после выполнения задания или т.п.)
    10 августа 2019 г. 5:49
  • https://1drv.ms/t/s!Al7MvQugoeMEanQZx8M2wTVcGhw

    https://1drv.ms/t/s!Al7MvQugoeMEaXag8QYAI3M0fIo

    Сделано.

    12 августа 2019 г. 7:50
  • https://1drv.ms/t/s!Al7MvQugoeMEanQZx8M2wTVcGhw

    Не существует.

    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    12 августа 2019 г. 20:31
    Модератор
  • Если ориентироваться только на лог Addition.txt, то похоже ранее ваш сервер взламывали или запускали шифровальщик типа ransomware (предположительно была Dharma).

    HKLM\...\StartupApproved\Run32: => "C:\Users\Оператор1\AppData\Roaming\Info.hta"
    HKLM\...\StartupApproved\Run32: => "C:\Windows\System32\Info.hta"
    
    У шифровальшиков один из функционалов имеется  задача поломать работу встроенных функции резервного копирования, это касается и VSS. В системных событиях логируются много ошибок всязанных с этим. На сколько я вижу на сервере устновлен продукт от Лаборатории Касперского, вы пробовали обратиться к ним за помощью?

    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    12 августа 2019 г. 20:38
    Модератор
  • https://1drv.ms/t/s!Al7MvQugoeMEasPzXxf7I-1HVFs

    Проверил открывается.
    13 августа 2019 г. 5:57
  • Да был шифровальщик: Вирусные аналитики исследовали присланные файлы и сообщили мне, что файлы были зашифрованы троянской программой Trojan-Ransom.Win32.Crusis. Сожалею, но в настоящий момент нет возможности расшифровать файлы.При шифровании данных, злоумышленники использовали обновленные алгоритмы шифрования, которые на текущий момент не поддаются расшифровке без уникального ключа, который хранится на серверах злоумышленников.

    Мои коллеги из Антивирусной Лаборатории используют все имеющиеся возможности для того чтобы восстановить алгоритм шифрования и создать ключи дешифровки (декрипторы). Процесс разбора расшифровки и создания/тестирования утилиты-декриптора достаточно трудоемкий и может занять длительное время.

    Сам Вирус был удален скопировал новую ссылку.

    Наши действия?
    13 августа 2019 г. 5:57
  • А почему вы сразу это не написали в первом посте?

    Т.е. у вас сейчас есть неработающий сервер с кучей зашифрованных файлов и активным вирусом-шифровальщиком и вы интересуетесь какие дальнейшие действия??

    Бэкапов видимо тоже нет?

    P.S. И более того, вы ни сказав ни слова об этом, выкладываете файлы на файлообменник?


    13 августа 2019 г. 6:29
  • Все работает, вирусов нету, файлов зашифрованных тоже нет. Все удалено.
    13 августа 2019 г. 6:41
  • Раз всё удалено, то почему не переустановить сервер?


    13 августа 2019 г. 6:50
  • Все в работе и это не реально, очень много трудов, мне хочется понять из-за чего он выключается?

    Что конкретно надо изменить, какой параметр и т.д.?

    13 августа 2019 г. 6:55
  • Вы занимаетесь какой-то ерундой и тратите время других.

    Сервер после шифрования можно оставить на некоторое время только с целью анализа - как именно зловред туда попал. В дальнейшем он либо восстанавливается из бэкапа, либо ставится с нуля если бэкапов нет.

    Вы всерьёз собираетесь изменить какой-то "параметр" и снова использовать его в production?

    13 августа 2019 г. 7:03
  • Да собираемся использовать, выхода больше нету, вот и обратились к Вам за Вашей помощью, помочь нам.
    13 августа 2019 г. 7:11
  • Info.hta" этот параметр не несет никакой угрозы. Можно конечно удалить все из реестра, но как это поможет я не очень понимаю.
    13 августа 2019 г. 7:13
  • Info.hta" этот параметр не несет никакой угрозы. Можно конечно удалить все из реестра, но как это поможет я не очень понимаю.

    Приветствую.

    Прошу прощения за оффтоп...

    Вам предложили вариант начать все с нуля...

    Есть такая сказка, про "фому неверующего...".

    После заражения вирусами, шифровальщиками - это единственный вариант.

    Если вы так уверены, хорошо... Только вот спустя некоторое время возможен следующий сценарий: проснется шифровальщик и накачает вирусы - в результе есть шанс что ваша сеть ляжет...


    Я не волшебник, я только учусь. MCTS, CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте нажать на кнопку "Отметить как ответ" или проголосовать за "полезное сообщение". Disclaimer: Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть, без каких-либо на то гарантий. Блог IT Инженера, Яндекс Дзен, YouTube, GitHub.

    13 августа 2019 г. 7:43
    Модератор
  • Здравствуйте,

    Уточните пожалуйста если отключить следующие задачи в планировщике задач проблема проявляется?
    Task: C:\Windows\Tasks\ShadowCopyVolume{1873eb0c-dc8e-4343-8ad2-a55f6a2a47d0}.job => C:\Windows\system32\vssadmin.exe
    Task: C:\Windows\Tasks\ShadowCopyVolume{465fc700-0000-0000-0000-100000000000}.job => C:\Windows\system32\vssadmin.exe
    Task: C:\Windows\Tasks\ShadowCopyVolume{7b068adb-0000-0000-0000-100000000000}.job => C:\Windows\system32\vssadmin.exe
    Task: C:\Windows\Tasks\ShadowCopyVolume{d449e670-da8d-4ff4-8fb3-694a8c833670}.job => C:\Windows\system32\vssadmin.exe

    Также сообщите, если после взлома вы проверяли состояние MS SQL и (если используется)  роутер Mikrotik?
    В большенстве случаев злоумышлинники оставляют некую заднюю дверь, чтобы через некоторое время навестить еще раз. Поэтому вам необходимо убедиться, чтобы в SQL сервере не было лишних пользователей и jobs. Это касается и роутере, если у Вас используется Mikrotik.

    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    • Изменено SQxModerator 13 августа 2019 г. 17:13 обновлено
    13 августа 2019 г. 17:13
    Модератор
  • Незнаю, если вам ранее рекомендовали или нет, но раз вы используете антивирусные продукты ЛК, то убедитесь, что ознакомились со следующей инструкцией, чтобы не допустить потерю важных данных еще раз.

    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    13 августа 2019 г. 17:18
    Модератор
  • Добрый день!

    Могу ли я удалить данные строки из записи реестра?

    HKLM\...\StartupApproved\Run32: => "C:\Users\Оператор1\AppData\Roaming\Info.hta"
    HKLM\...\StartupApproved\Run32: => "C:\Windows\System32\Info.hta"

    28 августа 2019 г. 6:01
  • Могу ли я удалить данные строки из записи реестра?

    HKLM\...\StartupApproved\Run32: => "C:\Users\Оператор1\AppData\Roaming\Info.hta"
    HKLM\...\StartupApproved\Run32: => "C:\Windows\System32\Info.hta"

    Да, можете. Но лучше перед любыми манипуляциями делать всегда резервную копию.

    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    28 августа 2019 г. 10:39
    Модератор