Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows 2000/XP (http://forum.oszone.net/forumdisplay.php?f=6)
-   -   [решено] workstation: требует несколько минут на старт. wxp-sp2 (http://forum.oszone.net/showthread.php?t=94764)

justy 24-11-2007 21:25 684710
workstation: требует несколько минут на старт. wxp-sp2
 
доброго здоровья!

столкнулся с такой проблемой. сервис workstation теперь запускается 1-2 минуты. за вирусами следит нод32.

где копать?

Petya V4sechkin 25-11-2007 13:57 684943
justy, при наличии ошибок в журнале событий приведите их в соответствии с этими инструкциями.

Компьютер в сети?
Попробуйте отключить службу Веб-клиент:
Пуск -> Выполнить -> services.msc -> Веб-клиент -> Свойства -> Тип запуска: Отключено.

justy 02-12-2007 20:57 689108
webclient отключена была с самого начала...

ошибок в журнале следует искать именно от службы workstation?

копмьютер иногда в сети, иногда нет. сеть без AD. это ноутбук. фаервол - виндовс брандмауэр. находясь в разных сегментах этой одной сети ип получаю по DHCP или ручками(взависимости от сегмента).

поскольку бук доволно часто выключаю по "гибернейту" точно определить момент возникновения проблемы неудалось.

если нужна еще какаято информация - предоставлю.

пс: общий так сказать "performance" системы неизменился за исключением старта.

Petya V4sechkin 03-12-2007 11:32 689418
Цитата:
Цитата justy
ошибок в журнале следует искать именно от службы workstation?
Давайте, какие есть.

Цитата:
Цитата justy
если нужна еще какаято информация - предоставлю.
Можно ipconfig /all посмотреть.

Если установлено IPv6, попробуйте снести:
Код:
netsh interface ipv6 uninstall

justy 03-12-2007 17:29 689689
Вложений: 1
ipv6 удален давно..

из журнала ошибок..
на приложеном скрине видно после ошибки простой более двух минут. при этом в списке служб workstation помечен как pending.

Код:
Event Type:        Error
Event Source:        nmserial
Event Category:        None
Event ID:        18
Date:                03.12.2007
Time:                5:06:08 P
User:                N/A
Computer:        [cut]
Description:
The description for Event ID ( 18 ) in Source ( nmserial ) cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote computer. You may be able to use the /AUXSOURCE= flag to retrieve this description; see Help and Support for details. The following information is part of the event: .
Data:
0000: 00 00 00 00 01 00 5a 00  ......Z.
0008: 00 00 00 00 12 00 06 c0  .......À
0010: 53 00 00 00 00 00 00 00  S.......
0018: 00 00 00 00 00 00 00 00  ........
0020: 00 00 00 00 00 00 00 00  ........
ipconfig
Код:
Windows IP Configuration

        Host Name . . . . . . . . . . . . : [cut]
        Primary Dns Suffix  . . . . . . . :
        Node Type . . . . . . . . . . . . : Broadcast
        IP Routing Enabled. . . . . . . . : No
        WINS Proxy Enabled. . . . . . . . : No

Ethernet adapter Wireless Network Connection:

        Media State . . . . . . . . . . . : Media disconnected
        Description . . . . . . . . . . . : Адаптер Broadcom 802.11b/g WLAN
        Physical Address. . . . . . . . . : 00-1A-73-0D-1A-34

Ethernet adapter loc:

        Connection-specific DNS Suffix  . :
        Description . . . . . . . . . . . : Broadcom 440x 10/100 Integrated Controller
        Physical Address. . . . . . . . . : 00-17-08-4B-5A-61
        Dhcp Enabled. . . . . . . . . . . : No
        IP Address. . . . . . . . . . . . : 10.2.0.5
        Subnet Mask . . . . . . . . . . . : 255.255.0.0
        Default Gateway . . . . . . . . . : 10.2.0.1
        DNS Servers . . . . . . . . . . . : 83.*.*.2

Petya V4sechkin 03-12-2007 19:11 689760
justy, поищите nmserial в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services.
Если найдете, можно отключить соответствующий драйвер, изменив значение параметра Start на 4.

Pili 04-12-2007 09:37 690060
justy, Если есть подозрения на вирусы, выполните следующие действия:
1. Cкачайте утилиту CureIT и запустите полную проверку всех дисков в безопасном режиме. После этого следует просто перегрузиться в обычный режим.
2. Скачайте AVZ и HijackThis
3. Распакуйте архивы avz4.zip и HiJackThis.zip.
5. Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer.
6. Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты".
7. После выполнения скрипта обязательно перезагрузите компьютер.
8. Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты".
9. Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile".
10. Вложите в сообщение файлы логов (из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.log

justy 19-12-2007 02:13 699665
охх работы много, неуспеваю держать темп беседы :(

Petya V4sechkin, изменил старт nmserial на 4, сейчас перезагружусь и отпишу результат.

Pili, подозрение на вирусы минимальны. антивирус не выключается. базы актуальны.

justy 19-12-2007 02:32 699673
ничего не изменилось, за исключением того что исчезла ошибка из лога. теперь простой между стартом bcm4sbxp и terminal services

соответсвующие логи:
Код:
Event Type:        Information
Event Source:        bcm4sbxp
Event Category:        None
Event ID:        9
Date:                19.12.2007
Time:                2:13:14 A
User:                N/A
Computer:        [cut]
Description:
Broadcom 440x 10/100 Integrated Controller: Network controller configured for 100Mb full-duplex link.
Data:
0000: 00 00 00 00 02 00 5a 00  ......Z.
0008: 00 00 00 00 09 00 05 40  .......@
0010: 00 00 00 00 00 00 00 00  ........
0018: 00 00 00 00 00 00 00 00  ........
0020: 00 00 00 00 00 00 00 00  ........
Код:
Event Type:        Information
Event Source:        Service Control Manager
Event Category:        None
Event ID:        7036
Date:                19.12.2007
Time:                2:15:37 A
User:                N/A
Computer:        [cut]
Description:
The Terminal Services service entered the running state.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
еще про nmserial, судя по ключу DisplayName это драйвер моего PCMCIA последовательного порта, без него остаться немогу, нужен каждый день.

Pili, постараюсь завтра проделать предложенную вами последовательность действий.

d petr 19-12-2007 12:29 699825
justy, еще посмотрите в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation есть ли у вас параметр DependOnService. Если есть, возможно из-за службы прописанной в этой строке и тормозит.

justy 20-12-2007 03:25 700310
Вложений: 1
d petr, DependOnService этого параметра нет.

Pili, провел сканирование. результаты приложены

Pili 20-12-2007 09:53 700386
justy, Лог какой то бедный, в безопасного реж. запускали и IE не был запущенным во время формирования логов?
Выполните скрипт в AVZ (файл-выполнить скрипт)
Цитата:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\Documents and Settings\human\My Documents\distr\mobiledit\Download_MOBILeditinstaller.exe','');
QuarantineFile('UPS.sys','');
QuarantineFile('c:\program files\tools\slim ftp\slimftpd.exe','');
QuarantineFile('C:\WINDOWS\system32\hpBat.cpl','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\VComm.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\TEUSBMU.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\nmserial.sys','');
BC_QrSvc('SlimFTPd');
BC_QrSvc('UPS');
BC_ImportAll;
BC_Activate;
end.
Полученный после скрипта карантин выложите пожалуйста на файлообменник (ifolder.ru например) для анализа.
Судя по этой и этой ссылкам slimftpd.exe нельзя считать безопасным, кроме того, рекомендуется установить это обновление (из 1-ой ссылки). Рекомендую попробовать поработать без slimftpd (отключить в автозагрузке и как службу) или перейти на использование другого Ftp сервера.
Если не используете winpcap (C:\Program Files\WinPcap), его также лучше деинсталлировать.


Дополнительно, что из этого не нужно? (можно будет настроить скриптом)
Цитата:
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)

>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
Можно сделать более полный лог в защищенном режиме:
Файл/Исследование системы - переключить "Только активные службы и драйверы" на "Все службы и драйверы" - Пуск/Сохранить протокол

justy 24-12-2007 00:54 702631
Вложений: 1
Pili, логи собирал строго следуя инструкции. в обычном режиме, т.к про безопасный было написано только для CureIt.

вот карантин, но судя по логу не все файлы успешно записались туда.

фтп отключил, результат тотже. WinPcap нужен для WireShark. Обновление установлено. из служб отключил NetMeeting Remote Desktop Sharing, остальные вроде нужные. я использую РДП для подключение к этому компьютеру. SSDP Discovery Service вызывает сомнение, UPNP нигде неиспользую.

лог исследования системы приложен.

кстати в безопасном режиме такойже простой при включении. :(

justy 24-12-2007 01:05 702639
обнаружил некоторую закономерность... до этого момента я все время перезагружался в безопасный режим с поддержкой сети. получал теже 3 минуты задержки. сейчас попробовал просто в безопасный режим. и вот все быстро прошло.

Pili 24-12-2007 09:01 702716
Карантин не дает скачивать наш прокси (у нас там антивирус проверяет), надо было его заархивировать с паролем virus
slimftpd.exe потенциально опасное ПО not-a-virus:Server-FTP.Win32.SlimFTPd.318 по Касперскому, остальные тоже ругаются
Цитата:
Fortinet - - Misc/SlimFTPd
F-Prot - - W32/HackTool.BUX
Ikarus - - not-a-virus:Server-FTP.Win32.SlimFTPd.318
McAfee - - potentially unwanted program Generic PUP
Panda - - Generic Trojan
Sophos - - SlimFTPd
TheHacker - - Aplicacion/SlimFTPd.318
Webwasher-Gateway - - Riskware.SlimFTPd.318
UPS.sys, VComm.sys, в карантин не попали, поищите их через AVZ-сервис поиск файлов и проверьте самостоятельно на virustotal.com, остальные файлы чистые

justy 24-12-2007 22:30 703182
UPS.sys, VComm.sys этих файлов нет на единственном жеском диске... slimftpd удалил.

Pili 25-12-2007 08:29 703342
justy, если файлов нет, значит остались следы в реестре,
если не хотите делать необратимых изменений выполните скрипт
Цитата:
begin
SetServiceStart('VComm', 4);
SetServiceStart('UPS', 4);
end.
Если удалять, то
Цитата:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('UPS');
BC_DeleteSvc('VComm');
SysCleanAddFile('UPS.sys');
SysCleanAddFile('C:\WINDOWS\system32\DRIVERS\VComm.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

justy 25-12-2007 13:39 703526
проблема разрешилась. На компьютере был установлен APC PowerChut business edition который постоянно висел на одном из ком-портов и непозволял его корректно извлекать. чтобы решить эту проблему я остановил в services.msc все службы APC. после этого похоже это приложение стало некоректно работать. удаление PowerChut привело к положительному результату.

Благодарю всех за участие в решение проблемы!

Petya V4sechkin 25-12-2007 14:16 703550
justy, спасибо, что написали о решении.


Время: 19:12.

Время: 19:12.
© OSzone.net 2001-