Probabil e timpul să scriu o carte "Administrarea sistemului pentru Tyzhnikek";) În general, situația este următoarea, este puțin non-trivială și subliniază încă o dată că uneori este plăcut să porniți creierul. Voi începe cu fundalul. În St. Petersburg era un birou mic cu mai multe calculatoare, un program galben-roșu și un băiat care se apropia de stilul "ești programator". Asta e doar "tyzhprogrammistom" el a fost doar în cuvinte, dar de fapt, nici nu a ajuns la deputatul Enikei. Într-o zi, compania a dispărut din rețea. Ie Internetul a funcționat, dar nu a existat nicio legătură între PC. Resursele partajate nu au fost deschise, bazele de date ale fișierelor 1C localizate și în folderele partajate. Singura soluție logică care a venit în minte a fost "tyzhanikeu" - "Nu știu" (bine, aceasta este în afară de opțiunea de reinstalare a sistemului de operare, pe care contabililor prudenți nu i sa permis să o implementeze).
Desigur, prima încercare a fost de a crește valoarea IRPStackSize în HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ lanmanserver \ Parameters, și iată și iată, după repornirea serviciului LanmanServer (server) pentru a merge la propria lor rețea cu bile de aceeași lucrare PC. Dar când încerca să acceseze orice rețea, PC-ul a intrat în reboot. Acum era necesar să înțelegem cauzele a ceea ce se întâmplase. În primul rând, pur și simplu pentru că sistemul nu poate scrie despre valoarea mică a IRPStackSize. Ie și cu setările implicite toate deloc și funcționează întotdeauna cu succes. Undeva în sălbăticia Internet pentru a scrie o astfel de greșeală poate duce la software-ul „antivirus strâmbe“, dar versiuni ale software-ului pentru o lungă perioadă de timp în trecut. De asemenea, la forumul CryptoPro, sa observat un mesaj de la utilizator - după instalarea CryptoPro - sistem a început să-i dea acel mesaj în jurnal, plus bile SMB cad, dar aici situația nu a fost în mod clar cazul. La urma urmei, până la un moment dat totul a funcționat și un nou software în sistem nu a fost instalat.
Amintiți-vă am spus că după ce parametrul IRPStackSize a fost mărit, atunci când orice acces din rețea la mingea SMB, PC-ul reboot? Deci, am luat BlueScreenView v1.52 de la NirSoft și am analizat mini-haldele. Așa este. în sistem existau doar o grămadă de șoferi cu numele St.sys, t.sys, care în mod clar nu ar fi trebuit să fie (unde GUID este un identificator uriaș de caractere hex). Am văzut prezența acestor drivere în stackul minidump. Din nefericire, o astfel de activitate în sistem este anormală. Apoi, totul este simplu. LiveCD, eliminați începutul serviciilor suspecte (servicii), driverele din ramurile de registru corespunzătoare, transferați fizic toate fișierele t.sys într-un folder separat, reporniți. Taaaam-da. Bingo. Totul funcționează. Ie problema a fost exact în virusul, una dintre componentele cărora erau acești șoferi t.sys. Verificarea ulterioară a fișierelor colectate pe VirusTotal a arătat o infecție lipsită de ambiguitate (am uitat doar numele de malware).
Moralul. Nu vă grăbiți să reinstalați sistemul sau să efectuați orice manipulare fără grijă. În acest caz, sistemul a cerut să crească IRPStackSize în registru. Dar, pur și simplu pentru că acest lucru nu poate fi, în special în cazul în care sistemul nu se schimba (adică, nu a pus nici un agent de backup, software antivirus, software-ul de cote, software de replicare, etc software). calea de fals în acest caz a fost o simplă creștere a valorii IRPStackSize, dar după cum sa dovedit, „soluția“ de o problemă creează un alt (repornire spontana PC-ul este accesat de la rețea). Prin urmare, a fost necesar să se înțeleagă motivele. ce, cum, de ce. Ei bine, moralitatea # 2. pentru manageri. Doriți în continuare să aibă încredere în serviciul informatic în organizația dvs. „tyzhenikeyu“ sau „băiat“, care, în caz de probleme non-triviale răspuns „nu știu“ sau rezolva toate lor „nu știu“, reinstalarea sistemului de operare? ;)
P.S. Apropo, o mulțime de baze "galben-roșii" din acea organizație se află pe același PC. și nicăieri nu sunt susținute). sa întâmplat cu HDD sau nu, Gd interzice, el a infectat Trojan-criptograf - și salut :( De asemenea, în timpul studiului, a constatat că sistemul rulează pe acest PC reinstalat vine „expertul“ local nu este mai mică de 5 ori (la fel ca multe directoare diferite din instalațiile anterioare de Windows a fost găsit în toate secțiunile), ceea ce a confirmat încă o dată ipoteza că absolut toate problemele care o persoană decide să reinstalați.
În general, învățați să gândiți) și sistemul dvs. de operare va fi moale și matasos))