в Общем после того как закончилась лицензия антивирюса (упуслил из виду всего-то на неск часов) 3 тачки были заражени вирусом Kido? мать его так... слали пакеты хз куда, ладно хоть файер блокировал все, однако! сервак перестал проводить аунтификацию этих тачек, причем под любым пользователем, ну думаю поменяю имя компьютера, зайду...
ан нет... пришлось удалять старого юзверя вдобавок...
поменял имя тачки и айпы и создал новых юзверей, работает...

искал на майкрософте, проблему не вычислил...

может кто сталкивался или знает шо таки делать???

на серваке стоит антивирь Симантек Антивирюсь 10, вроде базы свежие были, сам сервак не заражон(обновил и проверил)...
скачал все обновления для Виндовс2003серв, установил, под старыми юзернэймами все равно непускает...

а хачу шоб пускал, ибо надо...

Ошибка приложения svchost.exe, версия 5.2.3790.1830, модуль unknown, версия 0.0.0.0, адрес 0x7c90568c.

Не удалось прочесть данные производительности службы сервера. Данные производительности сервера не будут возвращены. В разделе данных DWORD находится возвращенный код ошибки. Состояние IOSB.Status находится во втором разделе данных DWORD и IOSB. Данные находятся в третьем разделе DWORD.

Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=independence,DC=local. Этот файл должен находиться в <\\independence.local\sysvol\independence.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (Попытка выполнить операцию для несуществующего сетевого подключения. ). Обработка групповой политики прекращена.

Не удалось запросить данный список объектов групповой политики. Проверьте в журнале событий наличие сообщений, описывающих причины сбоя.

Ошибка приложения VPC32.exe, версия 10.0.1.1000, модуль unknown, версия 0.0.0.0, адрес 0x51553950.


Обнаружена угроза безопасности!Угроза: W32.Downadup.B в файле: D:\Temp$\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx. Тип осмотра: Плановый. Действие: Исправить не выполнено : Изолировать не выполнено. Описание действия: Файл не был изменен.


Обнаружена угроза безопасности!Угроза: W32.Downadup.B в файле: D:\Temp$\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx. Тип осмотра: Плановый. Действие: Изолировать выполнено. Описание действия: Файл успешно помещен в Изолятор.

Обнаружена угроза!Угроза: W32.Downadup.B в файле: d:\Temp$\RECYCLER\s-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx. Тип осмотра: Плановый. Действие: Изолировать выполнено. Описание действия: Файл успешно помещен в Изолятор.

Сбой процедуры открытия для службы "PSched" в библиотеке "C:\WINDOWS\system32\pschdprf.dll". Данные о производительности для данной службы будут недоступны. Возвращенный код состояния находится в первом DWORD блока данных.

это ошибки за тот день, журнал приложений, ошибки повторяюца многократно
порядок по времени сверху вниз

тебе телепаты или одмины нужны?:rolleyes:

отвед нужен... в чом дело и есть ли заплатка

эээ... не понял, если честно. что именно надо? на примерах)

так млять па русски та напиши в чом трабла? тут не телепаты угадывать какую те обшибку говорит

ёпрст... в общем, аутентификация непроходит, пишет имя пользователя неопознаны или пароль неверный (переодически вылазило ввести имя и пароль) при попытке зайти на сетевой дисак...

в логах что пишет на машине и на сервере.

глянь на тачках пользователя службы. возможно вирь какието поотключал. в худшем случае похерил

последнее время вирусняк любит сетевые службы отрубать

на сетевой диск?? :confused:

control userpasswords2 - Дополнительно - Управление паролями. Удаляешь пароли к конфликтным компам и вбиваешь по новой.. Я как-то так понял проблему :confused:

ручками удаляй вирус, cureit и total commander тебе в помочь.
и восстанови службы

актив директори то поднят?

в нем то и дело...

мну смусчает Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=independence,DC=local. Этот файл должен находиться в <\\independence.local\sysvol\independence.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (Попытка выполнить операцию для несуществующего сетевого подключения. ). Обработка групповой политики прекращена.

групповая политика-хня
вот это вот "D:\Temp$\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx." с вытекающми неприятнее
делает оно так
в корне диска присутствует (изначально-потом может антивирь и найдет-толку нету) autorun.inf-бинарник(!). любая попытка его посмреть и тп передает ему управление ну и резидентная копия. создает эта шляпа свою копию в указанном выше пути+в doc&settings/networkservice/localsettings/temporaryinetfiles/"папка"/"вирус" причем расширение может быть любым-обчно это типа рисунки с нумерацией
периодически в system32 вылазиет залпом 20-30 копий вирусов-лечит или нет антивирь-пох потому, как после закрытия окошка "svchost.exe вызвало ошибку...блаблабла" любым способом ось виснет намертво. просто скан и лечение ниче не дают,avz и подобные показывают, что автозагрузка чиста, лишних бибиотек нет и тп
предварительный дианоз-в код svchost.exe вирус себя пишет и им же работает временами активизируясь. при попытке замены осью системного файла эталонной версией вылазиет указанная ошибка-в техрепорте увидите путь и файл для замены
можно работать дальше не закрывая окошко с ошибкой свчост:)
вся эта байда останавливает службы "сервер" и "рабочая станция" вследствие чего РС не может предоставить, так сказать, "серверные" услуги равно как и сам не может получить доступ к ресурсам в сети
руками службы запускаются коректно. до поры-до времени:)может кому и поможет хотя бы временно
пока хз где копать-как найду способ-отпишусь
просьба делиться соображениями

тож словил чтоль?)

куясе легионер расписал.. и не поленилса :)

да да да, аворан.инф был, был найден и впоследствии удален, однако успел делов наделать...

с свшост была фишка на рабочих станциях (собственно Kido), каспер удалял его нахер, и масдай падал, на сайте Касперскаго выложили заплатку с эталонным свшостом, запускал, работает, латает...

однако свшост одинаков для ИкспиПро и 2003 серв?

явно вирус постарался, но в итоге дело было в серваке или в рабстанции, так и непонял...

мона ли использовать ту заплатку?

ога:D
хотя этим должны заниматься защитники, прходится выполнять их работу
теперь я-полузащитник:D

вощщем все оказывается скучно и банально
шняга эта вызывает переполнение буфера svchost.exe с других зараженных компов, стучась в основном по tcp/445, иногда на 143
то есть файрвол с дефолтным запретом решит проблему после лечения локальной болезни-даже kav6:), как бы я негативно к нему не относился
через эксплоит имеется возможность атаковать машины даже через прокси, если оный на виндовой машине и заражен, разумеется
а насчет того, что "касперский выложил оригинал файла svchost.exe на своем сайте"-то, наверное, он забыл просто про мастдайный sfc /scannow (scanonce) для данной цели:D тем более не в свчосте дело, как я понял