Po přesunu PC z domény do workgroup každých cca 100min ohlásí error services.exe a začne odpočet 30s

s hláškou, že systém bude ukončen a restartován.
Nemáte někdo zkušenost s tímto problémem?
Jistě to souvisí se službou vázanou na doménu, ale nenašel jsem řešení.
Děkuji za případné typy.
M.

Jsou zobrazeny jen nové odpovědi. Zobrazit všechny

Předmět	Autor	Datum
Pánové díky za (opravuji) tipy, ale jste vedle. Počítač je se všemi dostupnými aktualizacemi (WSUS v… Kohelet 29.08.2006 22:48	Kohelet	29.08.2006 22:48
Nechapu, jak muze vyrazeni z domeny volat shutdown pocitace. Z domeny uz jsem vyradil spoustu pocita… Jan Fiala 29.08.2006 22:51	Jan Fiala	29.08.2006 22:51
Tak to jsme dva :). A to je již třetí PC. Nevím, nechápu. Kohelet 29.08.2006 22:54	Kohelet	29.08.2006 22:54
Jakym zpusobem byl pocitac "vyrazen" z domeny ? Byl pri tom vyrazeni ripojen k domene ? Jan Fiala 29.08.2006 23:03	Jan Fiala	29.08.2006 23:03
Aktuálně je to opravdu tak. Notebook byl zapůjčen externistovi, který si ho "přenastavil" sám. Takže… nový Kohelet 30.08.2006 08:33	Kohelet	30.08.2006 08:33
já myslím, že to je jasné. Externisti jsou pěkná hovada a jim zapůjčené notebooky ani do vlastní sít… nový touchwood 30.08.2006 09:26	touchwood	30.08.2006 09:26
Existují tři kritické procesy, jejichž pád ukončí NT systémy zmíněnou hláškou a restartem. Jsou to:… nový Vladimir 29.08.2006 23:36	Vladimir	29.08.2006 23:36
Poslal jsem mu baťák: shutdown -a. Ať si to chvíli užije. :-) Pokud psa vykopu, napíši. Díky všem. nový Kohelet 30.08.2006 10:33	Kohelet	30.08.2006 10:33
Mám dovolenou chlastám od pátku v kuse tak nevím jestli je můj překlad správný ale podle http://www.… poslední MM_tank 30.08.2006 14:01	MM_tank	30.08.2006 14:01

Pánové díky za (opravuji) tipy, ale jste vedle. Počítač je se všemi dostupnými aktualizacemi (WSUS v doméně) a s kvalitním aktualizovaným antivirem. Je jisté, že vir tento problém určitě nezpůsobuje.
Příčina je vyřazení z domény.
Díky M.

Nechapu, jak muze vyrazeni z domeny volat shutdown pocitace. Z domeny uz jsem vyradil spoustu pocitacu a s popisovanym chovanim jsem se nesetkal. Zato pri infekci je to bezne chovani.

Tak to jsme dva :). A to je již třetí PC. Nevím, nechápu.

Jakym zpusobem byl pocitac "vyrazen" z domeny ?
Byl pri tom vyrazeni ripojen k domene ?

Aktuálně je to opravdu tak. Notebook byl zapůjčen externistovi, který si ho "přenastavil" sám.
Takže v čase rekonfigurace v doméně nebyl.
U předešlých dvou případů to nejsem schopen říci.
Zkusím jej přidat a korektně odebrat z domény.
Díky

já myslím, že to je jasné. Externisti jsou pěkná hovada a jim zapůjčené notebooky ani do vlastní sítě nepřipojuju, hned jak se vrátí jdou pod Acronis a nahrává se čerstvá image.

Nejde jen o viry, ale i možnost trojanů, keyloggerů apod.

Jsem moc paranoidní?

Existují tři kritické procesy, jejichž pád ukončí NT systémy zmíněnou hláškou a restartem. Jsou to:

svchost -k rpcss (RPC)
lsass.exe (Netlogon, security account manager)
a services.exe (zaštiťuje tyto a další služby):

[servicesexegf6.png]

Která z těchto služeb je ta kritická nevím (tipoval bych "Chráněné úložiště" nebo také Logical Disk Manager - systém sice může běžet bez něho ale existovala v něm chyba, která způsobovala nefunkčnost redirektoru NET.EXE pokud byl za chodu zastaven), z dokumentace MS jsem se to nedozvěděl, nicméně nemáš některou ze služeb zašťiťovaných procesem services.exe nastavenou na přihlášení pod doménovým účtem, mohlo by to teoreticky způsobit zacyklení v services.exe, pád kritické služby a ten restart.

To je jediná souvislost, která mne napadá s doménou. Jinak už jen ty viry...

Poslal jsem mu baťák: shutdown -a.
Ať si to chvíli užije.

Pokud psa vykopu, napíši.

Díky všem.

Mám dovolenou chlastám od pátku v kuse tak nevím jestli je můj překlad správný ale
podle
http://www.liutilities.com/products/wintaskspro/pro cesslibrary/services/
může být services.exe i trojan.

Zpět do poradny Odpovědět na původní otázku Nahoru