Пора напевно мені писати книгу "Системне адміністрування для Тиженікеев";) Вообщем ситуація в наступному, вона трохи нетривіальна, і зайвий раз підкреслює що іноді непогано буває включити мозок. Почну з передісторії. Жила була в славному місті N одна невелика контора, з декількома ПК, жовто-червоною програмою і приходять хлопчиком з стилю "ти ж програміст". Ось тільки "тижпрограммістом" він був тільки на словах, а на ділі не дотягував навіть до заступника енікея. В один прекрасний день на фірмі пропала мережа. Тобто інтернет працював, але зв'язку між ПК не було. Загальні ресурси не відкривалися, файлові бази 1С, розміщені в расшаренних папках теж. Єдине логічне рішення, яке прийшло в голову "тиженікею" було - "не знаю" (ну це крім варіанту з перевстановлення ОС, який завбачливі бухгалтера не дали втілити йому в життя).
Звичайно, першою спробою було збільшення значення IRPStackSize в HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ LanmanServer \ Parameters і про чудо, після перезапуску служби LanmanServer (Сервер) зайти на власні мережеві кулі з цього ж ПК виходило. Але при спробі будь-якого звернення з мережі - ПК йшов в перезавантаження. Тепер потрібно було розібратися в причинах того, що відбувається. По-перше, просто так система про малий значенні IRPStackSize писати не може. Тобто і з дефолтними настройками все у всіх і завжди працює успішно. Десь в нетрях інтернету писали що до такої помилку може призводити "криве антивірусне" ПО, але версії того ПО вже давно в минулому. Також на форумі CryptoPro, було помічено повідомлення від користувача - що після установки CryptoPro - система стала видавати у нього саме це повідомлення у журналі, плюс відвалилися SMB кулі, але тут ситуація була явно не в цьому. Адже до якогось моменту все працювало і нового софта в систему не встановлювалося.
Пам'ятайте я говорив про те, що після збільшення параметра IRPStackSize при будь-якому зверненні з мережі до SMB кулі ПК перезавантажувався? Так ось, я взяв BlueScreenView v1.52 від NirSoft і проаналізував mini-дампи. Так і є. в системі присутня просто купа драйверів з іменами St.sys, t.sys, яких там явно не повинно було бути (де GUID - це величезний ідентифікатор з hex символів). Присутність цих драйверів я побачив в стеці мінідампа. Однозначно подібна активність в системі - ненормальна. Далі все просто. LiveCD, видалення запуску підозрілих сервісів (служб), драйверів у відповідних гілках реєстру, фізичний перенесення всіх t.sys файлів в окрему папку, перезавантаження. Тааа-Дааа. Бінго. Все працює. Тобто проблема була саме в вірус, одним з компонентів якого були ці t.sys драйвера. Подальша перевірка зібраних файлів на VirusTotal показала однозначне зараження (ось тільки назва шкідливий я вже забув).
Мораль. Не поспішайте встановлювати заново систему або здійснювати якісь маніпуляції необдумано. В даному випадку - система просила збільшити IRPStackSize в реєстрі. Але просто так такого бути не може, особливо якщо в системі нічого не змінювалося (тобто не ставилося ніяке backup agents, antivirus software, quota software, replication software і т.п. ПО). Помилковим шляхом в даному випадку було просте збільшення значення IRPStackSize, але як виявилося, "рішення" однієї проблеми породжувало іншу (мимовільно перезавантаження ПК при зверненні до нього з мережі). Тому необхідно було розібратися в причинах. що, як, чому. Ну і мораль # 2. для керівників. Ви все ще хочете довіряти обслуговування ПК у вашій організації "тиженікею" або "хлопчикові", який при виникненні будь-якої нетривіальної проблеми відповідає "не знаю" або вирішує всі свої "не знаю" перевстановлення ОС? ;)
p.s. До слова, купа "жовто-червоних" баз в тій організації знаходяться на тому ж ПК. і нікуди не backup'ятся) Тобто злучити що з HDD або, не дай б-г, заразитися він трояном-шифрувальником - і привіт :( Також в процесі дослідження системи з'ясувалося що ОС на цьому ПК перевстановлювати місцевим приходять "фахівцем" не менше 5-ти разів (саме стільки різних каталогів від попередніх установок Windows було виявлено на всіх розділах), що ще раз підтвердило припущення що абсолютно всі виникаючі проблеми людина вирішував перевстановлення.
Вообщем, вчіться думати) І ваші ОС будуть м'якими і шовковистим))