Urmari ale virusului Conficker asupra serviciului DHCP client

Salut,

As dori sa va prezint una din urmarile cauzate de o problema foarte “in voga” a anului trecut si anume Virusul Conficker.

Se iau 3 servere Windows Server 2003 SP2, care au fost afectate de virusul mai sus mentionat. Remedierea virusului a fost facuta cu ajutorul KB-ului 962007.

Problema
==========

*** remediere, am observat ca niciunul din serverele afectate nu isi mai primeau adresa de ip de la serverul de DHCP, serviciul de client DHCP era oprit iar orice incercare de a-l porni se solda cu un Access denied.

Teste si verificari pe care le-am facut
================================

In primul rand am vrut sa fim siguri ca “Dhcpcsvc.dll” este actualizat pe toate serverele, asa ca am download-at ultima versiune din articolul de KB 927288.

Actualizarea  DLL-ului pentru DHCP Client Service nu ne-a ajutat.

Am hotarat sa vedem reproducerea problemei intr-un log de Process Monitor.

In logul facut de Process Monitor am putut observa urmatorul lucru:

10:10:10.111111 AM        svchost.exe        784         RegOpenKey                HKLM\System\CurrentControlSet\Services\Dhcp\Parameters   ACCESS DENIED

Solutia
=========

Primim acest Access Denied deoarece contul Network Service nu are permisiuni suficiente pe cheia de registry HKLM\System\CurrentControlSet\Services\Dhcp\Parameters.

Daca adaugati “NETWORK SERVICE” in permisiunile  cheii respective de registrii si ii dati acces “Full Control” , serviciul de client DHCP va porni fara probleme din nou.

--- Liviu