доброго здоровья!

столкнулся с такой проблемой. сервис workstation теперь запускается 1-2 минуты. за вирусами следит нод32.

где копать?

justy, при наличии ошибок в журнале событий приведите их в соответствии с этими инструкциями (http://forum.oszone.net/showpost.php?p=580138#post580138).

Компьютер в сети?
Попробуйте отключить службу Веб-клиент:
Пуск -> Выполнить -> services.msc -> Веб-клиент -> Свойства -> Тип запуска: Отключено.

webclient отключена была с самого начала...

ошибок в журнале следует искать именно от службы workstation?

копмьютер иногда в сети, иногда нет. сеть без AD. это ноутбук. фаервол - виндовс брандмауэр. находясь в разных сегментах этой одной сети ип получаю по DHCP или ручками(взависимости от сегмента).

поскольку бук доволно часто выключаю по "гибернейту" точно определить момент возникновения проблемы неудалось.

если нужна еще какаято информация - предоставлю.

пс: общий так сказать "performance" системы неизменился за исключением старта.

ошибок в журнале следует искать именно от службы workstation?
Давайте, какие есть.

если нужна еще какаято информация - предоставлю.
Можно ipconfig /all посмотреть.

Если установлено IPv6, попробуйте снести:
netsh interface ipv6 uninstall

ipv6 удален давно..

из журнала ошибок..
на приложеном скрине видно после ошибки простой более двух минут. при этом в списке служб workstation помечен как pending.


Event Type: Error
Event Source: nmserial
Event Category: None
Event ID: 18
Date: 03.12.2007
Time: 5:06:08 P
User: N/A
Computer: [cut]
Description:
The description for Event ID ( 18 ) in Source ( nmserial ) cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote computer. You may be able to use the /AUXSOURCE= flag to retrieve this description; see Help and Support for details. The following information is part of the event: .
Data:
0000: 00 00 00 00 01 00 5a 00 ......Z.
0008: 00 00 00 00 12 00 06 c0 .......À
0010: 53 00 00 00 00 00 00 00 S.......
0018: 00 00 00 00 00 00 00 00 ........
0020: 00 00 00 00 00 00 00 00 ........


ipconfig

Windows IP Configuration

Host Name . . . . . . . . . . . . : [cut]
Primary Dns Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Broadcast
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No

Ethernet adapter Wireless Network Connection:

Media State . . . . . . . . . . . : Media disconnected
Description . . . . . . . . . . . : Адаптер Broadcom 802.11b/g WLAN
Physical Address. . . . . . . . . : 00-1A-73-0D-1A-34

Ethernet adapter loc:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Broadcom 440x 10/100 Integrated Controller
Physical Address. . . . . . . . . : 00-17-08-4B-5A-61
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 10.2.0.5
Subnet Mask . . . . . . . . . . . : 255.255.0.0
Default Gateway . . . . . . . . . : 10.2.0.1
DNS Servers . . . . . . . . . . . : 83.*.*.2

justy, поищите nmserial в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services.
Если найдете, можно отключить соответствующий драйвер, изменив значение параметра Start на 4.

justy, Если есть подозрения на вирусы, выполните следующие действия:
1. Cкачайте утилиту CureIT ( ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe) и запустите полную проверку всех дисков в безопасном режиме. После этого следует просто перегрузиться в обычный режим.
2. Скачайте AVZ (http://z-oleg.com/avz4.zip) и HijackThis (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip)
3. Распакуйте архивы avz4.zip и HiJackThis.zip.
5. Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer.
6. Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты".
7. После выполнения скрипта обязательно перезагрузите компьютер.
8. Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты".
9. Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile".
10. Вложите в сообщение файлы логов (из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.log

охх работы много, неуспеваю держать темп беседы :(

Petya V4sechkin, изменил старт nmserial на 4, сейчас перезагружусь и отпишу результат.

Pili, подозрение на вирусы минимальны. антивирус не выключается. базы актуальны.

ничего не изменилось, за исключением того что исчезла ошибка из лога. теперь простой между стартом bcm4sbxp и terminal services

соответсвующие логи:
Event Type: Information
Event Source: bcm4sbxp
Event Category: None
Event ID: 9
Date: 19.12.2007
Time: 2:13:14 A
User: N/A
Computer: [cut]
Description:
Broadcom 440x 10/100 Integrated Controller: Network controller configured for 100Mb full-duplex link.
Data:
0000: 00 00 00 00 02 00 5a 00 ......Z.
0008: 00 00 00 00 09 00 05 40 .......@
0010: 00 00 00 00 00 00 00 00 ........
0018: 00 00 00 00 00 00 00 00 ........
0020: 00 00 00 00 00 00 00 00 ........


Event Type: Information
Event Source: Service Control Manager
Event Category: None
Event ID: 7036
Date: 19.12.2007
Time: 2:15:37 A
User: N/A
Computer: [cut]
Description:
The Terminal Services service entered the running state.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.


еще про nmserial, судя по ключу DisplayName это драйвер моего PCMCIA последовательного порта, без него остаться немогу, нужен каждый день.

Pili, постараюсь завтра проделать предложенную вами последовательность действий.

justy, еще посмотрите в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation есть ли у вас параметр DependOnService. Если есть, возможно из-за службы прописанной в этой строке и тормозит.

d petr, DependOnService этого параметра нет.

Pili, провел сканирование. результаты приложены

justy, Лог какой то бедный, в безопасного реж. запускали и IE не был запущенным во время формирования логов?
Выполните скрипт в AVZ (файл-выполнить скрипт)
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\Documents and Settings\human\My Documents\distr\mobiledit\Download_MOBILeditinstaller.exe','');
QuarantineFile('UPS.sys','');
QuarantineFile('c:\program files\tools\slim ftp\slimftpd.exe','');
QuarantineFile('C:\WINDOWS\system32\hpBat.cpl','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\VComm.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\TEUSBMU.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\nmserial.sys','');
BC_QrSvc('SlimFTPd');
BC_QrSvc('UPS');
BC_ImportAll;
BC_Activate;
end.
Полученный после скрипта карантин выложите пожалуйста на файлообменник (ifolder.ru например) для анализа.
Судя по этой (http://www.sophos.com/security/analyses/w32greza.html) и этой (http://www.spywaredb.com/remove-slim-ftpd/) ссылкам slimftpd.exe нельзя считать безопасным, кроме того, рекомендуется установить это (http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx) обновление (из 1-ой ссылки). Рекомендую попробовать поработать без slimftpd (отключить в автозагрузке и как службу) или перейти на использование другого Ftp сервера.
Если не используете winpcap (C:\Program Files\WinPcap), его также лучше деинсталлировать.


Дополнительно, что из этого не нужно? (можно будет настроить скриптом)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)

>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК


Можно сделать более полный лог в защищенном режиме:
Файл/Исследование системы - переключить "Только активные службы и драйверы" на "Все службы и драйверы" - Пуск/Сохранить протокол

Pili, логи собирал строго следуя инструкции. в обычном режиме, т.к про безопасный было написано только для CureIt.

вот (http://ifolder.ru/4689966) карантин, но судя по логу не все файлы успешно записались туда.

фтп отключил, результат тотже. WinPcap нужен для WireShark. Обновление установлено. из служб отключил NetMeeting Remote Desktop Sharing, остальные вроде нужные. я использую РДП для подключение к этому компьютеру. SSDP Discovery Service вызывает сомнение, UPNP нигде неиспользую.

лог исследования системы приложен.

кстати в безопасном режиме такойже простой при включении. :(

обнаружил некоторую закономерность... до этого момента я все время перезагружался в безопасный режим с поддержкой сети. получал теже 3 минуты задержки. сейчас попробовал просто в безопасный режим. и вот все быстро прошло.

Карантин не дает скачивать наш прокси (у нас там антивирус проверяет), надо было его заархивировать с паролем virus
slimftpd.exe потенциально опасное ПО not-a-virus:Server-FTP.Win32.SlimFTPd.318 по Касперскому, остальные тоже ругаются
Fortinet - - Misc/SlimFTPd
F-Prot - - W32/HackTool.BUX
Ikarus - - not-a-virus:Server-FTP.Win32.SlimFTPd.318
McAfee - - potentially unwanted program Generic PUP
Panda - - Generic Trojan
Sophos - - SlimFTPd
TheHacker - - Aplicacion/SlimFTPd.318
Webwasher-Gateway - - Riskware.SlimFTPd.318
UPS.sys, VComm.sys, в карантин не попали, поищите их через AVZ-сервис поиск файлов и проверьте самостоятельно на virustotal.com, остальные файлы чистые

UPS.sys, VComm.sys этих файлов нет на единственном жеском диске... slimftpd удалил.

justy, если файлов нет, значит остались следы в реестре,
если не хотите делать необратимых изменений выполните скрипт
begin
SetServiceStart('VComm', 4);
SetServiceStart('UPS', 4);
end.

Если удалять, то
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('UPS');
BC_DeleteSvc('VComm');
SysCleanAddFile('UPS.sys');
SysCleanAddFile('C:\WINDOWS\system32\DRIVERS\VComm.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

проблема разрешилась. На компьютере был установлен APC PowerChut business edition который постоянно висел на одном из ком-портов и непозволял его корректно извлекать. чтобы решить эту проблему я остановил в services.msc все службы APC. после этого похоже это приложение стало некоректно работать. удаление PowerChut привело к положительному результату.

Благодарю всех за участие в решение проблемы!

justy, спасибо, что написали о решении.