svchost и память не может быть read
Пациенты -- сорок школьных компов кабинетов информатики, соединенных через пару свичей. IP из одного диапазона. Последние пару лет системы заливаются из образа (там WinXP SP2, Kaspersky 6, Вижуал Студия, Какой-то компилятор дельфи от Борланда и офисный софт). Все было хорошо до сентября уже прошлого 2009 года.
В конце августа на всех компах (кроме двух учительских) были перезалиты образы. Числа 8 сентября было отмечено, что повально на переустановленных машинах возникают ошибка "память не может быть read" в процессе svchost. На выбор две кнопки: ок и отмена. Одна из них вызывает отладку, приводящую к зависанию системы. Другая -- выгружает нашкодивший svchost. Это вызывает остановку служб, связанных системой Виндовых шар ("обозреватель компьютеров"; "клиент", "сервер", вроде, тоже). В остальном -- все нормально. Те две учительские машины сперва ошибку не выдавали... Через пару месяцев и они сдались.
Сама ошибка возникает совершенно нерегулярно и не понятно, с чем она коррелирует. Обычно (судя по журналам и наблюдениям) она возникает до часов двух дня. Причем несколько дней подряд. Потом недели две-три её нет. Если сравнивать журналы разных компов, то ошибки возникают примерно в одно время (интервал минут 20). Как-то был утром во время аномальной природной активность: стоило Винде загрузиться, как ошибка вываливалась прямо на экране приветствия до логина. Также, из журнала видно, что нередко возникает дополнительно и ошибка записи.
Теперь о том, что изменилось с прошлого учебного года: обновляется каспер, сменился шлюз для интернета.
Что делалось: сеть этих 40 машин имела связь с компами по всей школе. Сейчас она изолирована и подключена к старому шлюзу (для инета). Свежезалитая машина с отключенным обновлением Каспера так же стала со временем выдавать ошибку. Установка SP3 ничего не поменяла. Каспер вирусов не видит. На sysadmins.ru свалили проблему на вирусы kidokiller или Conficker\Kido. Фри утилиты против этих видов ничего не обнаружили. Тогда мне посоветовали банально отключить DEP... Вариант, конечно в каком-то смысле. Пару машин так и работает. Жду отзывов. Но это же не решение проблемы. Как я понимаю, просто не будет выдавать сообщение об ошибке. А как там этот svchost будет работать дальше -- я не представляю.
Описание я закончил. Приношу извинения за длиноое и вольное изложение проблемы. Прошу дать какой-нибудь совет. :) Быть может, кто-то сталкивался с подобным.
После SP3 вышла прорва секурных обновлений.
Предлагаю поднять WSUS и посадить на него весь парк машин.
Понимаю... А какова может быть причина возникновения ошибки? Какая-то вредоносная программа, которой нет в базе Каспера уже полгода?...
Да, думал об этом. Даже скачивал. На сколько я понял, серверная часть ставиться только на Windows Server. Такого в школе нет, и вряд ли будет. Доступный софт -- платный от министерства (лицензии заканчиваются в конце этого года) или фри. В 2011 все школы буду переводить на Линуксы ибо все кому надо уже наворовали, а покупать дальше лицензии за бешенные деньги правительство не хочет "из-за кризиса"... Такая жесть по стране начнется... Кстати, в школу так и не купили казеную обжимку и коннекторов. Это практически невозможно сделать. Сорри за оффтоп :)
UPD: Оказывается есть некий SUSfL. И судя по всему он даже работает. Попробуем-с в конце февраля...
Эксплоит из сети по всей видимости рушит RPC. Один из вариантов решения - закрыть RPC порты, правда будут проблемы с принтерами, общими папками и консолями управления.
Да, думал об этом. Даже скачивал. На сколько я понял, серверная часть ставиться только на Windows Server. Такого в школе нет, и вряд ли будет.
Да, для него нужен Windows Server 2003/2008.
Так вот вам шашечки или ехать? Если ехать, то можно поступить так: качается Windows Server 2008 с сайта микрософта с триалкой на 240 дней, на него ставится WSUS (он еще SQLServer 2005 Express воткнет) и централизованно обновляются все машины.
PS Кошмар, порядка полусотни виндоус-машин и без домена. :eek:
Допустим. Разве Касперский не должен бороться с этим?
Да, для него нужен Windows Server 2003/2008.
Так вот вам шашечки или ехать? Если ехать, то можно поступить так: качается Windows Server 2008 с сайта микрософта с триалкой на 240 дней, на него ставится WSUS (он еще SQLServer 2005 Express воткнет) и централизованно обновляются все машины.
PS Кошмар, порядка полусотни виндоус-машин и без домена. :eek:
Гыгы, не думал, что такой длинный триал. А, вот, домена нет потому, что шашечки не нужны. Лет 6-7 назад был главным идеологом развертывания домена и переноса всех учеток в него с Новелла 3.12 (даже скрипт наваял). Поднимали его и на NT, и на 2000 -- пользы не видно, а гемороя много. А потм мой альтруистический запал иссяк.
Защищать-то должен, да только программные ошибки в системе он исправлять совсем не обязан.
Поднимали его и на NT, и на 2000 -- пользы не видно, а гемороя много.
За 6-7 лет многое изменилось. Я с двухтонником не работал, только с 2003 и 2008, особенно сложных проблем не встречал, зато управляемость машинами великолепная: в групповых политиках сила. ;)
Ага. Но Каспер-то стоит на всех машинах, которые подключены к сети. Кроме Никсового шлюза :) Так что в моем понимании, если на одной из машин запускается программа-эксплойт, то Каспер должен об этом завопить. Такого не наблюдается... :(
Конечно сила. :( Но потребности нет: необходимо чтобы школьнички приходили и мучали свой офис или Дельфи. И все... К слову, у "подгруппы программистов" наблюдаются крайние затруднения в освоении связных списков. А школа, как бы, с этими... С уклонами... А если, вдруг, захочет кто-нить из учеников доменом заниматься -- отдам ему кабинеты на растерзание :)