Перезагрузки компьютера под управлением Windows XP. Часть 1.
День первый.
<ПРЕДЫСТОРИЯ.> Сегодня знакомый попросил прийти в гости, разобраться, почему комп регулярно перезагружается. Он грешил на блок питания или перегрев.
Пришёл. Выяснилось, что перезагрузка происходит только при включенном ADSL-модеме.
Я сразу понял, что дело не в "железе". Вернее, не в "железе" компа :) Ну что-ж, значит, надо копать софтверный вариант.
Первым делом запустил autoruns, проверил - на первый взгляд всё чисто. Не считая строчек (Not verified), к которым я всегда отношусь с подозрением, если не я устанавливал данный софт.
Оговорюсь, на компе установлен и антивирус (dr.web), и файрвол (outpost); версии ПО не уточнял. Но винда (sp2) работает "под админом", opera 9.5, ie 6.0, и т.д. Ну, учитывая количество дыр в IE, решил всё-таки проверить на зловреды.
Загрузился с диска Avira Resque System, запустил проверку (блин, как же долго оно сканировалось :( минут 30 ждать пришлось только системный диск). Ну, результат немного порадовал - выловил 1 троян в system32 и 1 вредоносный скрипт во временных файлах интернета.
Ок, идём дальше. Перезагружаюсь.
Включаю модем - то же самое. Минуты 2 винда стоит, потом ребут.
Так, ясно, дело не в трояне. Хотя, вполне возможно, что там вообще сидит ядерный руткит, который перехватывает все обращения к реестру и системным файлам и таким образом маскируется.
Ну, значит, глючный софт. Кстати, первым делом у меня подозрение пало на файрвол (ну не доверяю я "крякнутым" софтинам, связанным с IT-безопасностью). Проверяю. Отключил Outpost - перезагрузки прекратились.
Но тут меня всё-таки начали "терзать смутные сомнения" (с). Пробую зайти в админку модема - ну конечно, дефолтные логин/пароль. Перехожу во вкладку NAT - и там на тебе: "левые" строки. Разбираться подробнее было лениво, поэтому удалил здесь всё.
Ну вот теперь и сомневаюсь, в чём всё-таки была трабла - то ли в глючном файере, то ли в атаках на этот комп. Хотя я сильно сомневаюсь, что в локалке провайдера кто-то осмелился бы сознательно атаковать другие компы. Ибо у прова все ипы серые, соответственно "снаружи" их атаковать было бы проблематично. Ну, я так уж решил слегка это дело пустить "на самотёк", если снова позовут, буду дальше разбираться, а если не позовут - значит всё нормалёк. Главное, утешил владельца - дело точно не в железе :)
Из всего вышенаписанного небольшой алгоритм для выявления причины перезагрузок:
1. Проверяем температуру компонентов системника;
2. Проверяем список автозагрузки, отключаем непроверенные пункты;
3. Если есть "внешняя периферия", особенно ADSL-модемы, Wi-Fi-роутеры и т.д., то проверяем их настройки (если стоит дефолтный логин/пароль, есть реальная возможность получить к ним доступ);
4. Если включено "Восстановление системы", пробуем последнюю точку восстановления, сделанную до начала сбоев;
5. Если был сделан ntbackup, восстанавливаем его;
6. Загружаемся с любого аварийного диска, приспособленного для проверки системы на вирусы (обязательно с последними обновлениями), и проверяем систему;
7. Если система заработала стабильно, то наслаждаемся лаврами компьютерного гения, иначе говорим "слишком геморно возиться, проще винду переставить :)".
<ПРЕДЫСТОРИЯ.> Сегодня знакомый попросил прийти в гости, разобраться, почему комп регулярно перезагружается. Он грешил на блок питания или перегрев.
Пришёл. Выяснилось, что перезагрузка происходит только при включенном ADSL-модеме.
Я сразу понял, что дело не в "железе". Вернее, не в "железе" компа :) Ну что-ж, значит, надо копать софтверный вариант.
Первым делом запустил autoruns, проверил - на первый взгляд всё чисто. Не считая строчек (Not verified), к которым я всегда отношусь с подозрением, если не я устанавливал данный софт.
Оговорюсь, на компе установлен и антивирус (dr.web), и файрвол (outpost); версии ПО не уточнял. Но винда (sp2) работает "под админом", opera 9.5, ie 6.0, и т.д. Ну, учитывая количество дыр в IE, решил всё-таки проверить на зловреды.
Загрузился с диска Avira Resque System, запустил проверку (блин, как же долго оно сканировалось :( минут 30 ждать пришлось только системный диск). Ну, результат немного порадовал - выловил 1 троян в system32 и 1 вредоносный скрипт во временных файлах интернета.
Ок, идём дальше. Перезагружаюсь.
Включаю модем - то же самое. Минуты 2 винда стоит, потом ребут.
Так, ясно, дело не в трояне. Хотя, вполне возможно, что там вообще сидит ядерный руткит, который перехватывает все обращения к реестру и системным файлам и таким образом маскируется.
Ну, значит, глючный софт. Кстати, первым делом у меня подозрение пало на файрвол (ну не доверяю я "крякнутым" софтинам, связанным с IT-безопасностью). Проверяю. Отключил Outpost - перезагрузки прекратились.
Но тут меня всё-таки начали "терзать смутные сомнения" (с). Пробую зайти в админку модема - ну конечно, дефолтные логин/пароль. Перехожу во вкладку NAT - и там на тебе: "левые" строки. Разбираться подробнее было лениво, поэтому удалил здесь всё.
Ну вот теперь и сомневаюсь, в чём всё-таки была трабла - то ли в глючном файере, то ли в атаках на этот комп. Хотя я сильно сомневаюсь, что в локалке провайдера кто-то осмелился бы сознательно атаковать другие компы. Ибо у прова все ипы серые, соответственно "снаружи" их атаковать было бы проблематично. Ну, я так уж решил слегка это дело пустить "на самотёк", если снова позовут, буду дальше разбираться, а если не позовут - значит всё нормалёк. Главное, утешил владельца - дело точно не в железе :)
Из всего вышенаписанного небольшой алгоритм для выявления причины перезагрузок:
1. Проверяем температуру компонентов системника;
2. Проверяем список автозагрузки, отключаем непроверенные пункты;
3. Если есть "внешняя периферия", особенно ADSL-модемы, Wi-Fi-роутеры и т.д., то проверяем их настройки (если стоит дефолтный логин/пароль, есть реальная возможность получить к ним доступ);
4. Если включено "Восстановление системы", пробуем последнюю точку восстановления, сделанную до начала сбоев;
5. Если был сделан ntbackup, восстанавливаем его;
6. Загружаемся с любого аварийного диска, приспособленного для проверки системы на вирусы (обязательно с последними обновлениями), и проверяем систему;
7. Если система заработала стабильно, то наслаждаемся лаврами компьютерного гения, иначе говорим "слишком геморно возиться, проще винду переставить :)".