Win2k SBS STOP 0x24 - logi


(Robdk) #1

Witam

W zakładzie posiadamy serwer Win 2000 SBS z SQL i innymi usługami sieciowymi. Ostatnio pojawił sie problem z błędem STOP 0x7B który wskazywał na uszkodzenie dysku. Wykonałem odbraz partycji systemowej i po zakupie nowego dysku przekopiowałem dane jak i partycję systemową. Po odpaleniu systemu i pracy ok 3-4 godzin wyskakuje błąd STOP 0x24 który oznacza błąd systemu plików NTFS (wcześniej na jeszcze pracującym systemie wyskakują komunikaty, że nie można czytać pliku lub katalogu....). Po restarcie już się system nie podnosi i w naparawie z płyty nie można zlokalizować instalacji systemu. Jak wdać dysk jest nowy więc zakładam, że jest w 100% sprawny ale za to zaczynam podejrzewać o jakiegoś wirusa w sektorze startowym systemu.

Prośba:

Jakie logi wkleić by można było ten problem zlokalizować i usunąć problem, gdyż bardzo mi zależy na odzyskaniu systemu z jego ustawieniami a nie ponowna instalacja (dużo roboty by przywrócić wszystkie usługi tak jak były)


(Myszonus) #2

Na początek daj loga z HijackThis :slight_smile:


(Robdk) #3

Log z HijackThis

Logfile of HijackThis v1.99.1

Scan saved at 07:59:08, on 2006-06-22

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP4 (6.00.2800.1106)


Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\system32\Dfssvc.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\HASPSrv.exe

C:\WINNT\System32\llssrv.exe

C:\PROGRA~1\MI6841~1\MSSQL\binn\sqlservr.exe

C:\WINNT\system32\ntfrs.exe

C:\WINNT\system32\nvsvc32.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\RsFsa.exe

C:\WINNT\system32\RsSub.exe

C:\WINNT\system32\locator.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\tcpsvcs.exe

C:\WINNT\System32\snmp.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\lserver.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\dns.exe

C:\WINNT\System32\ismserv.exe

C:\WINNT\system32\modemshr.exe

C:\WINNT\system32\msdtc.exe

C:\Program Files\Exchsrvr\bin\exmgmt.exe

C:\Program Files\Exchsrvr\bin\mad.exe

C:\WINNT\system32\mqsvc.exe

C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe

C:\Program Files\Microsoft SQL Server\MSSQL\binn\sqlagent.exe

C:\WINNT\Explorer.EXE

C:\Program Files\Microsoft ISA Server\mspadmin.exe

C:\Program Files\Microsoft ISA Server\wspsrv.exe

C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe

C:\Program Files\Hewlett-Packard\hp LaserJet 1010 Series\SetConfig.exe

C:\WINNT\system32\internat.exe

C:\Program Files\Microsoft ISA Server\w3proxy.exe

C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

C:\Program Files\Microsoft ISA Server\W3Prefch.exe

C:\Program Files\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe

C:\WINNT\system32\wbem\HEALTH~1\dredger.exe

C:\WINNT\system32\wuauclt.exe

D:\Users Shared Folders\Robert\logi\hijackthis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ZEC2:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [Soltek] C:\WINNT\system32\autorun.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll

O4 - HKLM\..\Run: [StatusClient] C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto

O4 - HKLM\..\Run: [TomcatStartup] C:\Program Files\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe

O4 - HKLM\..\Run: [HPLJ Config] C:\Program Files\Hewlett-Packard\hp LaserJet 1010 Series\SetConfig.exe -c -p -pn "hp LaserJet 1010 Series Driver" -n -l 1045 -sl 120000

O4 - HKLM\..\Run: [Microsoft DirectX] wuamgrd.exe

O4 - HKLM\..\RunServices: [Microsoft DirectX] wuamgrd.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [Microsoft DirectX] wuamgrd.exe

O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://localhost:8888/MyConsole/msrdp.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ZEC.local

O17 - HKLM\System\CCS\Services\Tcpip\..\{66B427F0-D4A2-442D-8D36-DB0A097157D5}: NameServer = 194.204.159.1,194.204.152.34,213.195.140.1,213.241.6.248,196.117.3.34

O17 - HKLM\System\CCS\Services\Tcpip\..\{9A608D3D-8F01-4B0B-B9E0-23B89E209E66}: NameServer = 192.168.1.20,213.195.140.1,213.241.6.248,196.117.3.34

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ZEC.local

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ZEC.local

O23 - Service: Usługa administracyjna Menedżera dysków logicznych (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Microsoft H.323 Gatekeeper (GKSVC) - Unknown owner - svchost.exe (file missing)

O23 - Service: HASPSrv - ComArch - C:\WINNT\system32\HASPSrv.exe

O23 - Service: Usługa administracyjna IIS (IISADMIN) - Unknown owner - C:\WINNT\system32\inetsrv\inetinfo.exe (file missing)

O23 - Service: Microsoft Exchange IMAP4 (IMAP4Svc) - Unknown owner - C:\WINNT\system32\inetsrv\inetinfo.exe (file missing)

O23 - Service: Usługa publikowania FTP (MSFTPSVC) - Unknown owner - C:\WINNT\system32\inetsrv\inetinfo.exe (file missing)

O23 - Service: Microsoft Connector for POP3 Mailboxes (MSPOP3Connector) - Unknown owner - C:\Program Files\Microsoft BackOffice\Connectivity\POP3 Connector\vmimb.exe" /SERVICE (file missing)

O23 - Service: Protokół NNTP (NntpSvc) - Unknown owner - C:\WINNT\system32\inetsrv\inetinfo.exe (file missing)

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe

O23 - Service: Microsoft Exchange POP3 (POP3Svc) - Unknown owner - C:\WINNT\system32\inetsrv\inetinfo.exe (file missing)

O23 - Service: Microsoft Exchange Routing Engine (RESvc) - Unknown owner - C:\WINNT\system32\inetsrv\inetinfo.exe (file missing)

O23 - Service: Protokół SMTP (SMTPSVC) - Unknown owner - C:\WINNT\system32\inetsrv\inetinfo.exe (file missing)

O23 - Service: Usługa publikacji w sieci World Wide Web (W3SVC) - Unknown owner - C:\WINNT\system32\inetsrv\inetinfo.exe (file missing)

O23 - Service: Usługa Windows Internet Name Service (WINS) (WINS) - Unknown owner - C:\WINNT\System32\wins.exe (file missing)

Złączono Posta : 22.06.2006 (Czw) 8:08log z Silent

"Silent Runners.vbs", revision 46, http://www.silentrunners.org/

Operating System: Windows 2000

Output limited to non-default values, except where indicated by "{++}"



Startup items buried in registry:

---------------------------------


HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"internat.exe" = "internat.exe" [MS]

"Microsoft DirectX" = "wuamgrd.exe" [file not found]


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"Soltek" = "C:\WINNT\system32\autorun.exe" [null data]

"NvCplDaemon" = "RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup" [MS]

"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]

"MsmqIntCert" = "regsvr32 /s mqrt.dll" [MS]

"(Default)" = (empty string)

"StatusClient" = "C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto" ["Hewlett-Packard"]

"TomcatStartup" = "C:\Program Files\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe" ["Hewlett-Packard"]

"HPLJ Config" = "C:\Program Files\Hewlett-Packard\hp LaserJet 1010 Series\SetConfig.exe -c -p -pn "hp LaserJet 1010 Series Driver" -n -l 1045 -sl 120000" ["Hewlett-Packard Inc."]

"Microsoft DirectX" = "wuamgrd.exe" [file not found]


HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"

  -> {HKLM...CLSID} = "Rozszerzenie CPL kadrowania wyświetlania"

                   \InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"

  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"

                   \InProcServer32\(Default) = "C:\WINNT\system32\hticons.dll" ["Hilgraeve, Inc."]

"{692E33B0-AF9D-11D0-B976-00A0C9190447}" = "Remote Storage Properties"

  -> {HKLM...CLSID} = "Remote Storage Properties"

                   \InProcServer32\(Default) = "C:\WINNT\system32\RsShell.dll" [MS]

"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Eksplorator pulpitów"

  -> {HKLM...CLSID} = "Eksplorator pulpitów"

                   \InProcServer32\(Default) = "C:\WINNT\system32\nvshell.dll" ["NVIDIA Corporation"]

"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "C:\WINNT\system32\nvshell.dll" ["NVIDIA Corporation"]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

"{EFA24E64-B078-11d0-89E4-00C04FC9E26E}" = "Pasek eksploratora"

  -> {HKLM...CLSID} = "Explorer Band"

                   \InProcServer32\(Default) = "C:\WINNT\system32\browseui.dll" [MS]


HKLM\System\CurrentControlSet\Control\Session Manager\

INFECTION WARNING! "BootExecute" = "autocheck autochk * DfsInit" [file not found], [MS], [file not found], [file not found]


HKLM\Software\Classes\*\shellex\ContextMenuHandlers\

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]


HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]


HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]



Active Desktop and Wallpaper:

-----------------------------


Active Desktop is enabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


HKCU\Software\Microsoft\Internet Explorer\Desktop\General\

"Wallpaper" = "C:\WINNT\Web\Wallpaper\Raj.jpg"



Startup items in "Administrator" & "All Users" startup folders:

---------------------------------------------------------------


C:\Documents and Settings\All Users\Menu Start\Programy\Autostart

"Service Manager" -> shortcut to: "C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe /n" [MS]



Enabled Scheduled Tasks:

------------------------


"BackOffice - ServerStatusReport" -> launches: "C:\Program Files\Microsoft BackOffice\Monitoring\MSBOSSR.exe" [MS]

"dzien" -> launches: "C:\WINNT\system32\ntbackup.exe backup "@C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows NT\NTBackup\data\dzien.bks" /n "Nośnik utworzony 2003-12-31 o 08:42" /d "Zestaw utworzony 2003-12-31 o 08:45" /v:yes /r:yes /rs:no /hc:off /m daily /j "dzien" /l:s /f "F:\Archiwum\Dzien.bkf"" [MS]

"DzienK" -> launches: "F:\Archiwum\conf\Dzien.bat" [null data]

"IsaDailySummary" -> launches: "C:\Program Files\Microsoft ISA Server\DAILYSUM.EXE" [MS]

"ReportGenerator" -> launches: "C:\Program Files\Microsoft ISA Server\REPGEN.EXE" [MS]

"SHUTDOWN" -> launches: "C:\Documents and Settings\Administrator\Pulpit\reboot.bat" [null data]

"tydz" -> launches: "C:\WINNT\system32\ntbackup.exe backup "@C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows NT\NTBackup\data\tydz.bks" /n "Nośnik utworzony 2003-12-31 o 08:36" /d "Zestaw utworzony 2003-12-31 o 08:40" /v:yes /r:no /rs:no /hc:off /m normal /j "tydz" /l:s /f "F:\Archiwum\Tydzien.bkf"" [MS]

"Tydzien_kopia" -> launches: "F:\Archiwum\conf\Tydzien_kopia.bat" [null data]



Winsock2 Service Provider DLLs:

-------------------------------


Namespace Service Providers


HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\rnr20.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]


Transport Service Providers


HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\msafd.dll [MS], 01 - 03, 06 - 13

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05



Miscellaneous IE Hijack Points

------------------------------


C:\WINNT\INF\IERESET.INF (used to "Reset Web Settings")


Missing lines (compared with English-language version):

[DeleteAutosearch.reg]: 1 line



Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------


Centrum dystrybucji kluczy Kerberos, kdc, "C:\WINNT\System32\lsass.exe" [MS]

HASPSrv, HASPSrv, "C:\WINNT\system32\HASPSrv.exe" ["ComArch"]

Kolejkowanie wiadomości, MSMQ, "C:\WINNT\system32\mqsvc.exe" [MS]

Komunikacja międzylokacyjna, IsmServ, "C:\WINNT\System32\ismserv.exe" [MS]

Licencjonowanie usług terminalowych, TermServLicensing, "C:\WINNT\system32\lserver.exe" [MS]

Microsoft Exchange Management, MSExchangeMGMT, "C:\Program Files\Exchsrvr\bin\exmgmt.exe" [MS]

Microsoft Firewall, Fwsrv, "C:\Program Files\Microsoft ISA Server\wspsrv.exe" [MS]

Microsoft H.323 Gatekeeper, GKSVC, "svchost.exe -k iptelsvcs" {"C:\Program Files\Microsoft ISA Server\gksvc.dll" [MS]}

Microsoft ISA Server Control, isactrl, "C:\Program Files\Microsoft ISA Server\mspadmin.exe" [MS]

Microsoft Scheduled Cache Content Download, w3schdwn, "C:\Program Files\Microsoft ISA Server\W3Prefch.exe" [MS]

Microsoft Search, MSSEARCH, ""C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe"" [MS]

Microsoft Web Proxy, W3Proxy, "C:\Program Files\Microsoft ISA Server\w3proxy.exe" [MS]

MSSQLSERVER, MSSQLSERVER, "C:\PROGRA~1\MI6841~1\MSSQL\binn\sqlservr.exe" [MS]

NVIDIA Driver Helper Service, NVSvc, "C:\WINNT\system32\nvsvc32.exe" ["NVIDIA Corporation"]

Plik Magazynu zdalnego, Remote_Storage_File_System_Agent, "C:\WINNT\system32\RsFsa.exe" [MS]

Replikacja plików, NtFrs, "C:\WINNT\system32\ntfrs.exe" [MS]

Serwer śledzenia łączy rozproszonych, TrkSvr, "C:\WINNT\system32\services.exe" [MS]

SQLSERVERAGENT, SQLSERVERAGENT, "C:\Program Files\Microsoft SQL Server\MSSQL\binn\sqlagent.exe -i MSSQLSERVER" [MS]

System zdarzeń COM+, EventSystem, "C:\WINNT\system32\svchost.exe -k netsvcs" {"C:\WINNT\system32\es.dll" [null data]}

Usługa SNMP, SNMP, "C:\WINNT\System32\snmp.exe" [MS]

Usługi Simple TCP/IP, SimpTcp, "C:\WINNT\system32\tcpsvcs.exe" [MS]

Usługi udostępnianego modemu, ModemSharingServer, "C:\WINNT\system32\modemshr.exe" [MS]

Zdalny nośnik magazynowania, Remote_Storage_Subsystem, "C:\WINNT\system32\RsSub.exe" [MS]



Print Monitors:

---------------


HKLM\System\CurrentControlSet\Control\Print\Monitors\

HP LaserJet 5 Language Monitor\Driver = "HPDCMON.DLL" ["Hewlett-Packard"]

HP Master Monitor\Driver = "HPBMMON.DLL" ["Hewlett-Packard"]



----------

+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

  launch it from a command prompt or a shortcut with the -all parameter.

+ The search for DESKTOP.INI DLL launch points on all local fixed drives

  took 106 seconds.

+ The search for all Registry CLSIDs containing dormant Explorer Bars

  took 12 seconds.

---------- (total run time: 160 seconds)

(Myszonus) #4

Co do HjT

Włączasz tryb awaryjny:

Wpisy usuń Hijackiem, a pliki na czerwono ręcznie z dysku - w razie problemów użyj Killbox


(Robdk) #5

Jeśli mozna wiedzieć co to dokładnie robi tzn ten śmieć "wuamgrd.exe" - chodzi mi o jego szkodliwe działanie??


(Myszonus) #6

:arrow: http://castlecops.com/postitle24086-0-0-.html


(Robdk) #7

Dzięki za odpowiedź.

Znalazłem jeszcze ten wpis i go także usunąłem:

Po usunięciu wpisów pliku na dysku już nie było wuamgrd.exe

Log po usunięciu:

EDIT:

i znów "Brak pliku lub katalogu c:\???" - ale wyskoczyło przy przenoszeniu z miejsca na miejsce kopi zapasowej systemu


(Gblade) #8


(Robdk) #9

Komenda "sc" nierozpoznana :frowning:

EDIT:

Proces wyłączony z poziomu konsoli SBS

Plik ręcznie będzie usunięty...


(Gblade) #10

jaki plik ? czy ja mówiłem żeby go kasować ?

To jest proces systemowy i bez biego nie ruszysz c:\windows\system32\svchost.exe


(Robdk) #11

Usunąłem biblotekę GKSVC.dll

Ogólnie coś siedziało bo pokopało mi na dysku i misiałem CHKDSK traktować całość + usunięcie HijackThis. Jka na razie wszystko działa, usunałem tą kopię bezpieczeństwa, bo w niej siedzial robal i przypuszczam, że przy wykorzystaniu tej luki kasował mi partycję systemową z jednoczesnym uszkodzeniem systemu plików.

Mam nadzieję, że na tym będzie koniec...

EDIT:

System nie widział komendy "sc" więc nie mogłem się nią posłużyć