这几天, 公司接连有4-5台WIN2000的机器突然出现所有网络相关的服务都无法正常启动, 系统无法访问网络, 现象是查看系统有以下的出错事件:
事件类型: 错误
事件来源: Service Control Manager
事件种类: 无
事件 ID: 7000
日期: 2008-8-25
事件: 9:29:38
用户: N/A
计算机:
描述:
由于下列错误,idnaux 服务启动失败:
指定的驱动程序无效。
事件类型: 错误
事件来源: Service Control Manager
事件种类: 无
事件 ID: 7000
日期: 2008-8-26
事件: 10:17:58
用户: N/A
计算机:
描述:
由于下列错误,AFD 网络支持环境 服务启动失败:
指定的驱动程序无效。
事件类型: 错误
事件来源: Workstation
事件种类: 无
事件 ID: 5727
日期: 2008-8-26
事件: 10:17:59
用户: N/A
计算机:
描述:
无法加载 MRxSmb 设备驱动程序。
数据:
0000: 6c 02 00 c0 l..à
事件类型: 错误
事件来源: Workstation
事件种类: 无
事件 ID: 5727
日期: 2008-8-26
事件: 10:17:59
用户: N/A
计算机:
描述:
无法加载 RDR 设备驱动程序。
数据:
0000: 34 00 00 c0 4..à
事件类型: 错误
事件来源: Service Control Manager
事件种类: 无
事件 ID: 7026
日期: 2008-8-26
事件: 10:18:06
用户: N/A
计算机:
描述:
下列引导或系统启动驱动程序无法加载:
MRxSmb
NetBIOS
NetBT
Tcpip
事件类型: 错误
事件来源: LDMS
事件种类: 无
事件 ID: 3004
日期: 2008-8-26
事件: 10:18:00
用户: N/A
计算机:
描述:
未能打开事件 \Device\DmControl\VxKernel2VoldEvent,错误=-1073741766。
第一台出现此情况的时还以为是个别问题, 但今天接连出现了3-4台机都有这种现象,所以怀疑是哪个病毒木马在影响, 使用多种系统清理工具(arswp,roguecleaner,360safe等等)都无法解决, 使用过rootkit工具检查也没什么发现.
在设备管理器中, 查看隐藏设备, 在非即插即用驱动程序一项下面的AFD,NetBios over Tcpip, TCP/IP Protocol driver都有感叹号, 设备状态提示为:" 该设备不存在、运行不正确、或者没有安装所有的驱动程序", 检查过对应的驱动文件都是正常的, 以上事件中出错服务对应的文件也是正常的.
尝试过卸载重装TCP/IP协议, 修复WinSock等也没有用.
事件中关于 VxKernel2VoldEvent 这项在google和baidu上都没找到很多详细的可参考内容, 至于idnaux这个服务似乎是一个木马, 将相关文件删除了, 对应的注册表项也清理过.
附件是在其中一台故障机器上使用gmer记录系统启动载入文件的log和360的log. 此机上午还能正常使用,下午使用中突然蓝屏后重启就无法连网了.
另外在sysinternals论坛上找到一个类似情况的帖子(
Sysinternals上的帖子) , 不过那位仁兄用process monitor 的log检查到启动afd服务时缺少了ndis.sys这文件, 而偶用pm 做了个启动afd服务的log, 然后用一台正常的机器也做了一次启动afd服务的log, 对比了一下没发现有缺少什么文件或读取注册表键值出错之类的.
而在experts-exchange论坛上也有类似情况的帖子, 有人建议用chkdsk检查分区有没错误导致系统文件损坏,偶也检查过,但没有发现错误.
现在故障机器除了克隆恢复镜像外暂无没有其他方法解决问题. 所以上来发帖求助, 有没高手处理过类似的问题, 或者哪位也碰到过这种网络服务完全无法启动的现象的,麻烦指导一下小弟, 先谢了~~
