Проблемы с ХР после установки
 

Хотелось бы услышать чужое мнение по поводу произошедшего со мной казуса на работе. Решил сегодня переустановить винду на компе кладовщика, там стояла 98. На винте было 2 раздела, С и D, на C винда соответственно, на D дистрибутивы. Загрузился с диска, форматнул диск C, установил ХР. После установки и настройки системы, установил все необходимые дистрибутивы с диска D. На определённом этапе установки программ стало вылетать сообщение службы защиты файлов, мол системный файл заменён неизвестным и согласны ли вы его оставить. После всех установок одна из программ (база FoxPro), перестала запускаться, писала что файл такой-то.exe не является FoxPro.exe файлом. Запустил DRWeb с обновлёнными базами, и тут такое началось, проверка диска С выдала сообщение о порядка 400 вирусных записей (и это только что установленная винда). Тут мне стало понятно что скорее всего были заражены дистрибутивы хранящиеся на диске D. Запускаю проверку, так и есть - море вирусов. Через некотрое время борьбы с вирусами DrWeb отказался запускаться ссылаясь на то что файл drweb32.exe заражён. Заново гружусь с диска форматирую оба раздела, ввиду нахождения на них вирусов. Запускаю установку винды на девственно чистый винт. На этот раз после установки, ставлю дистрибутивы с проверенного диска (с которого уже ставил на другие компы). После установки начинается та же история, побиты многие exe'шники, постоянно вылетает сообщение о защите файлов, и это опять же на чистой винде ! Я просто в недоумении как такое может быть !? После этого я загрузился с диска (Acronis Partition Expert), удалил все разделы, создал заново, отформатировал, начал устанавливать винду и тут привод отказался читать диск в конце установки, перед этим в процессе чтения он постоянно кряхтел. Так и ушёл я сегодня ни с чем. Так что завтра заменю привод и борьба продолжится. Но я до сих пор остаюсь в недоумении, как такое могло произойти. Откуда могли взяться вирусы ? Ведь на третьей установке я Acronis'ом проверил винт на скрытые области или что-то в этом роде - ничего.

tiroman ну не все сделанное человеком известно другим людям - это к ситуации о и гораздо интереснее, как на диск на котором хранятся дитрибутивы могли проникнуть эти самые вредоносные программы, тут скорее надо задумываться о методах средствах защиты информации, а не о методах поиска того что известно "известному нам" "антивирусу"
ИМХО

в общем ваш диск Д уезвим и незащищен, это к

А это мне наследство такое досталось от предыдущего работника. Вот я и навожу порядок. А насчёт методов и средств защиты информации это правильно, только у нас целое предприятие так работает, есть цеха, за ними закреплён инженер, который в случае проблем приходит в цех и устраняет эти проблемы. А как таковой речи об администрировании не идёт, пользователи предоставлены самим себе. А я в своём цехе пытаюсь навести этот порядок. Но речь то ведь не об этом :)

tiroman, а сам дистрибутив ХР проверял? Может, в нем дело?

tiroman

1. Присоединяюсь к Cyberhawk, заодно проверь и остальные машины куда ставил ОС с этого диска.
2. Сними винт с этой машины и поставь на свою slave'ом - проверь его MHDD на предмет сбойных кластеров, потом проверь на вирусы несколькими антивирусными программами (благо сейчас их достаточно) - мало ли что.

tiroman, предположу, что ПК все-таки включен в логальную сеть и именно оттуда получаешь "по ушам". Если да - то попробуй просто отключить его от сети на время установки-проверки. Если сети нет - то уже написали - заражен твой диск с дистрибутивом (кстати, у меня такой где-то валяется).

Ну всё люди я почти сдался. Дистрибутивы все проверил на вирусы, винт подключал Slave'ом к своей машине, тоже проверил на вирусы, форматнул. Осталось только попробовать вариант с установкой отключенным от сети, правда я не знаю как можно заразить комп с неустановленной виндой. А так это уже будет 5-я попытка, после установки всё те же проблемы, служба защиты файлов, гибнут exe'шники, куча вирусов.

tiroman, вижу пока проблему именно в сети (ну и в загрузочном секторе диска может жить, зараза). Если сетевая опознается автоматически и сразу (во время установки) задаются параметры сети, да, не дай Билл, и пароль учетки Администратора простой - то получить можно и "мяу" не сказав.

Установил с отключённой сетью, вроде всё нормально. Меня удивляет то что в сети 30 машин и ни на одной из них такого не было.

Кгм. проверять надо их все. Не верю, что звери из неоткуда выскакивают. Как вариант - атакуют вас. Хотя... вряд ли. Просто кто-то из "умных пользователей" вырубил антивирус "чтобы не тормозил". Советую поискать виновника торжества.

Как вариант злостного влияния сети (моей) на компьютеры (моей же сети) -- была эпидемия lovesan и lsasser, которые попадали на компы со свежеустановленной осью конечно же без второго сервис-пака, но подключенных к сети из этой самой сети. Вот Вам, бабушка, и Юрьев день (с) :)

Кстати, у меня на машине стоит файервол, так он каждый день отбивает атаки типа LoveSan (в журнале сетевых атак на мою машину), только IP'шники не нашей подсетки, т.е. не из моего цеха. А как с этим бороться ? DRWeb эти атаки отбивает ? Или настроить файервол на всех машинах (стоит XP SP2) ?

Да и ещё было зафиксировано сканирование TCP-портов - это что ?

Это может означать, что завелся у вас или вирус какчественный или не менее какчественный юный кулхацкер, который балуется перехватом пакетов и сканирование сети на предмет уюзвимости всякими там сниферами и иже с ними.
Без хорошо настроенного файерволла Вам не жить.

Думаешь установить и настроить файервол на все машины это вариант ? Я уже думал об этом. Я так понимаю антивирусник в этих делах не помощник ?

Проще настроить его на машине, от которой есть доступ ко всем остальным, а от тех есть доступ только к этой основной (короче, клиентов не трожь, а сервер настрой). Или у вас топология другая?
Ну почему же, меня от вышеупомянутых атак (и от различных эксплойтов (особенно когда в Инет лезешь)) всегда стабильно защищал встроенный сетевой экран антивируса Avast! Отличная штука. Конечно, гораздо луше конфигурация Avast!+Outpost, но мне второй попросту не нужен.

Да топология у нас самая что ни на есть дурная. На входе стоит маршрутизатор, затем хаб, а от него пошли клиенты, и в этой куче к одному из хабов подключен сервер, на котором погашены и DNS и DHCP и AD. Такова политика предприятия, я тут не хозяин. Клиентами управляю через PC AnyWare, на серваке и у меня на машине стоит файервол. Получается настраивать защиту надо индивидуально на каждой машине (слава богу их не много).