Skocz do zawartości

picasso

Administratorzy
  • Postów

    36 472
  • Dołączył

  • Ostatnia wizyta

Treść opublikowana przez picasso

  1. SZYBKA ŚCIĄGA W TABELACH I GOTOWE PLIKI: Poniżej zostały zebrane w tabelach podstawowe informacje o danych usługach wraz z proponowanymi schematami konfiguracyjnymi. Towarzyszą temu też gotowe matryce ustawień startowania usług w postaci plików reg, które samoczynnie ustawią wybrane konfigi tabelkowe. Uwaga: one wprowadzają zmiany na skalę globalną czyli wpłyną na wszystkie konta i profile sprzętowe z wyjątkiem jedynej sytuacji kiedy to w profilu sprzętowym ustawienie opcji Wyłączony przebije ustawienia globalne. Windows XP SP2 Zestawienie w tabeli (zmiany wprowadzone przez SP2 są zaznaczone na czerwono) Default (Domyślnie): proponowane przez Billa. Jeśli nie kombinowałeś nic w konfigu usług a coś ci się nie zgadza z tabelką to znaczy że jednak jakieś zmiany się dokonały np. na skutek działalności innych programów (lub twoich nieumyślnych tweaków). Safe (Bezpiecznie): dla przeciętnego użytkownika domowego. Efekty uboczne małe lub wcale. Mały procent errorów raportowanych w Event Viewer. Nie można jednak zagwarantować że pójdzie to na każdym kompie. POWER: Generalnie konfigi typu "POWER" to już zaawansowane tnięcie żyletą na Windowsach "konfigurowanych inaczej": 1 = Dla kompa łączącego się niebezpośrednio z netem np. przez router, współdzielącego File and Print Sharing z dostępem do gierek online. Hasła nie będą zapamiętywane. Niektóre rzeczy mogą nie działać przy tym konfigu. 2 = Do zastosowania na kompie łączącym się z netem np. przez router na statycznym adresie IP. Hasła nie będą zapamiętywane. To ustawienie uniemożliwia współdzielenie File and Printing Sharing oraz możliwość drukowania. Jest to ustawienie ekstremalne głównie do testów. Wiele rzeczy może nie działać przy tym konfigu np. funkcje CDRW. Event Log zwróci errory punktujące brak startu danej usługi. Podkreślam....tylko dla eksperymentatorów. Początkujący i bezmyślni trzymają się z daleka od "POWER". Windows XP i XP SP1 Zestawienie w tabeli Default (Domyślnie): Proponowane przez Billa. Jeśli nie kombinowałeś nic w konfigu usług a coś ci się nie zgadza z tabelką to znaczy że jednak jakieś zmiany się dokonały np. na skutek działalności innych programów. Gotowe pliki: DefaultHome.reg + DefaultPro.reg Safe (Bezpiecznie): Dla przeciętnego użytkownika domowego. Efekty uboczne małe lub wcale. Mały procent błędów raportowanych w Dzienniku zdarzeń. Nie można jednak zagwarantować że pójdzie to na każdym kompie. Mała uwaga: zróżnicowałam jeden element z tabeli wprowadzając w pliku Przywracanie systemu na Automatyczny. Jeśli komuś nie pasuje dokonfigurować. Gotowe pliki: SafeHome.reg + SafePro.reg Internet Gateway Configuration: Dla kompów korzystających z Internet Connection Sharing\Internet Connection Firewall produkcji Billa. Zamiast tego można równie dobrze użyć konfigu Safe. Jeśli nie korzystasz z tego wcale to olewasz ten fonfig. Porównaj Safe i Gaming by znaleźć złoty środek. Innny typ firewalli itd. może wymagać diametralnie różnej konfiguracji! Gaming: Dla zaawansowanych. Dla kompa łączącego się np. przez router, współdzielącego Udostępnianie drukarek z dostępem do gierek online. Hasła nie będą zapamiętywane. Niektóre rzeczy mogą nie działać przy tym konfigu. W pierwszej kolejności należy jednak wypróbować Internet Gateway. Gotowe pliki: GamingHome.reg + GamingPro.reg Super Tweak: Dla mocno zaawansowanych. Do zastosowania na kompie łączącym się z netem np. przez router na statycznym adresie IP. Hasła nie będą zapamiętywane. To ustawienie uniemożliwia współdzielenie File and Printing Sharing oraz możliwość drukowania. Jest to ustawienie ekstremalne głównie do testów. Wiele rzeczy może nie działać przy tym konfigu np. funkcje CDRW. Event Log zwróci errory punktujące brak startu danej usługi. Podkreślam: tylko dla eksperymentatorów. Gotowe pliki: SuperTweakHome.reg + SuperTweakPro.reg Gaming i Super Tweak mogą być niemożliwe na kompach z niektórymi typami modemów z połączeniami typu DSL/cable. W RAZIE PROBLEMÓW MATRYCA DOMYŚLNA CAŁOŚCI: Ładuje cały konfig usług włącznie z typem startu, opisem, zależnościami i reakcją na awarię. Bardzo dobrze jest to mieć gdyż w razie gdyby twoje kombinacje z usługami powodowały błędy pracy systemu. Wtedy 1 klikiem przywracasz ustawienia fabryczne Windowsa. Ze względu na innojęzyczność nazw wyświetlanych i opisów pliki musiały zostać rozróżnione na EN i PL. Dla angielskiej wersji językowej: EN_DefaultHomeAll.reg EN_DefaultProAll.reg Dla polskiej wersji językowej: PL_DefaultHomeAll.reg PL_DefaultProAll.reg .
  2. Shell Hardware Detection (Wykrywanie sprzętu powłoki) Wykrywa i automatycznie uruchamia niektóre typy urządzeń (np. karty pamięci, napędy CD itd...). Również wspiera funkcję autoodtwarzania po włożeniu CD / DVD do napędu oraz opcje wyboru akcji dla szczególnego typu pliku: Jeśli ta usługa zostanie wyłączona to urządzenia nadal pozostają funkcjonalne. Niemniej w Moim Komputerze ikony napędów nie będą wyświetlane z przypisaną sobie nazwą charakterystyczną: Przed: Po: (jeszcze chyba te ikonki wyglądają inaczej) Ponadto we właściwościach urządzenia ta funkcja auto play będzie albo kompletnie niewidoczna albo niedostępna. Aby uniknąć ewentualnych problemów, można ten serwis uruchamiać automatycznie. Proces: svchost.exe Nazwa systemowa w rejestrze: ShellHWDetection Domyślnie XP Home: Automatyczny Domyślnie XP Pro: Automatyczny Bezpiecznie: Automatyczny Logowanie jako: Lokalne konto systemowe Od czego zależny: Remote Procedure Call Co zależy od niego: Nic Smart Card (Karta inteligentna) Kontroluje dostęp od kart inteligentnych. Karta inteligentna to przenośne urządzenie posiadające chip i działające na podobieństwo kart kredytowych autoryzując dostęp do komputera. Rozwiązanie biurowo-bankowe i większość zwykłych domowych użytkowników na oczy tego nie widziała. Oczywiście wyłączasz ... jeśli nie masz takiej karty. Proces: SCardSvr.exe Nazwa systemowa: SCardSvr Domyślnie XP Home: Ręczny Domyślnie XP Pro: Ręczny Bezpiecznie: Wyłączony Logowanie jako: NT AUTHORITY\LocalService Od czego zależny: Plug and Play Co zależy od niego: Nic Smart Card Helper (Pomocnik karty inteligentnej) Obsługuje karty inteligentne, niezgodne ze standardem Plug and Play. Patrz wyżej. XP SP2: Usługa usunięta. Została zintegrowana z Kartą inteligentną. Proces: SCardSvr.exe Nazwa systemowa w rejestrze: SCardDrv Domyślnie XP Home: Ręczny Domyślnie XP Pro: Ręczny Bezpiecznie: Wyłączony Logowanie jako: NT AUTHORITY\LocalService Od czego zależny: Nic Co zależy od niego: Nic SSDP Discovery Service (Usługa odnajdowania SSDP) Umożliwia obsługę UPnP (Universal Plug and Play). W największym skrócie: UPnP służy do połączeń sieciowych via TCP/IP między urzadzeniami takimi jak skanery czy drukarki. Zajmuje się wykrywaniem i konfiguracją urządzeń UpnP w sieci. Zarówno dla bezpieczeństwa jak i ze względu na brak urządzeń UpnP usługę tę wyłączasz! Universal Plug and Play (UpnP) to jest co innego niż Plug and Play (PnP)! Proces: svchost.exe Nazwa systemowa w rejestrze: SSDPSRV Domyślnie XP Home: Ręczny Domyślnie XP Pro: Ręczny Bezpiecznie: Wyłączony Logowanie jako: NT AUTHORITY\LocalService Od czego zależny: Nic Co zależy od niego: Universal Plug and Play Device Host Porty: UDP 1900 System Event Notification (Zawiadomienie o zdarzeniu systemowym) Współpracuje z COM+ Event System. Rejestruje zdarzenia systemowe: logowanie, podłączenie do sieci, stan zasilania i przekazuje info o nich do odpowiednich komponentów. O ile wydaje się przydatna dla użytkowników sieci lub aplikacji mobilnych o tyle wątpię by przeciętny użytkownik zwracał na to uwagę czy umiał to "obsłużyć". Pomimo braku teoretycznych powiązań aplikacji z tą usługą jednak po jej wyłączeniu i pozornym braku skutków ubocznych Dziennik Zdarzeń zapełnia się sporą ilością błędów. Można ustawić na Ręczny ale w ramach bezpiecznego konfigu lepiej jednak dać Automatyczny. Proces: svchost.exe Nazwa systemowa w rejestrze: SENS Domyślnie XP Home: Automatyczny Domyślnie XP Pro: Automatyczny Bezpiecznie: Automatyczny Logowanie jako: Lokalne konto systemowe Od czego zależny: COM+ Event System Co zależy od niego: Nic System Restore Service (Usługa przywracania systemu ) Zapewnia działanie narzędzia System Restore (Przywracania Systemu) na podstawie utworzonych przez niego tzw. punktów przywracania pozwalających na powrót systemu do wcześniejszego stanu z określonego momentu. To następny po Indexing Service potwór pożerający zasoby systemowe. Za każdym razem gdy instalujesz program lub driver tworzony jest ów punkt przywracania. To byłoby dobre dla windy 95 ale dla znacznie stabilniejszego XP doprawdy konieczne nie jest! Ponadto w związku z gromadzeniem owych punktów przywracania System Restore domyślnie wykorzystuje ogromną ilość miejsca na dysku. Średnio ze 400mb, na super dużych dyskach nawet i 10-20giga! Dobrym natomiast powodem dla którego możesz zostawić sobie możliwość przywracania sysa do stanu wcześniejszego jest instalacja niesprawdzonych sterowników, nieznanego programu, wersji beta, testowanie softu oraz prewencja przeciwko spywares. Wyłączenie spowoduje usunięcie poprzednich punktów przywracania ale też zmniejszy znacznie zajmowane miejsce na dysku, przyśpieszy i ustabilizuje system. Czy wyłączyć to już wasza decyzja bo ta opcja może kiedyś komuś uratować tyłek. Prorokiem nie jestem. Asekuranci mogą ustawić na Ręcznyu. Proces: svchost.exe Nazwa systemowa w rejestrze: srservice Domyślnie XP Home: Automatyczny Domyślnie XP Pro: Automatyczny Bezpiecznie: Wyłączony Logowanie jako: Lokalne konto systemowe Od czego zależny: Remote Procedure Call Co zależy od niego: Nic Task Scheduler (Harmonogram zadań) Umożliwia działanie Harmonogramu zadań (Sheduled Tasks) pozwalającego na automatyczne uruchamianie zadań o określonej porze. Może być wykorzystywany przez system, programy lub użytkownika. Np. po instalacji Service Packa 1 jest możliwość doboru co ile dni ma być sprawdzanie czy są dostępne uaktualnienia. Wymagają go niektóre aplikacje by mieć możliwość wykorzystywania zautomatyzowanych funkcji: narzędzia pielęgnujące system (checkdisk, PageDefrag itd.), antywirusy (automatyczne aktualizacje, programowanie w który dzień tygodnia ma się odbyć automatyczny skan). By mieć pewność poprawnego działania systemu należy pozostawić Automatyczny. By zapobiec pracowaniu tej usługi cały czas można odciążyć Harmonogram wykonując wiele operacji ręcznie nie zdając się na automatyczne ustawienia. Proces: svchost.exe Nazwa systemowa w rejestrze: Schedule Domyślnie XP Home: Automatyczny Domyślnie XP Pro: Automatyczny Bezpiecznie: Automatyczny Logowanie jako: Lokalne konto systemowe (z zezwoleniem na współdziałanie z pulpitem) Od czego zależny: Remote Procedure Call Co zależy od niego: Nic TCP/IP NetBIOS Helper (Pomocnik TCP/IP NetBIOS) Zapewnia obsługę NetBIOS przez serwis TCP/IP (NetBT) i rozpoznawanie nazw NetBIOS. Usługa ta jest potrzebna szczególnie w sieciach lokalnych, a w typowych zastosowaniach domowo-internetowych - zbędna. Jeśli twoje połączenie internetowe nie używa NetBIOS i/lub WINS to ją wyłączasz. A dokonujesz tego w pierwszej kolejności karcie WINS w zaawansowanych właściwościach protokołu TCP/IP poszczególnych połączeń odpowiednio ustawiając parametr Wyłącz system NetBIOS przez TCP/IP. Proces: svchost.exe Nazwa systemowa w rejestrze: LmHosts Domyślnie XP Home: Automatyczny Domyślnie XP Pro: Automatyczny Bezpiecznie: Wyłączony Logowanie jako: NT AUTHORITY\LocalService Od czego zależny: AFD Networking Support Envinromant, NetBIOS over TCP/IP Co zależy od niego: Nic Porty: TCP: 139 oraz UDP: 137, 138 Telephony (Telefonia) Zgodnie z nazwą usługa zapewnia działanie telefonii API / TAPI. Niezbędna do działania połączeń ppp i szerokopasmowych (Neostrada, Modemy SDI). Proces: svchost.exe Nazwa systemowa w rejestrze: TapiSrv Domyślnie XP Home: Ręczny Domyślnie XP Pro: Ręczny Bezpiecznie: Ręczny Telnet Co to jest Telnet można poczytać w opracowaniu: Telnet - informacje o usłudze. W największym skrócie: umożliwia zdalnemu użytkownikowi zalogowanie do systemu i uruchamianie programów konsolowych z linii komend. Usługa stanowiąca zagrożenie, luka zabezpieczeń. Możliwość "podsłuchania" loginu i hasła. Ułatwia dokonywanie włamań komputerowych poprzez utrudnianie wykrycia sprawcy przestępstwa (zalogowanie się łańcuchowo na kilka lub kilkanaście komputerów i używanie ich do włamania na adresata zaciera ślady włamywacza i uniemożliwia wykrycie). Wyłączamy. Proces: tlntsvr.exe Nazwa systemowa w rejestrze: TlntSvr Domyślnie XP Home: Brak Domyślnie XP Pro: Ręczny Bezpiecznie: Wyłączony Porty: TCP 23 Terminal Services (Usługi terminalowe) Pozwala na podłączenie wielu użytkowników do jednego komputera. Zależne od tego są usługi Remote Desktop (Zdalny Pulpit), Fast User Switching (Szybkie przełączanie użytkowników), Remote Assistance i Terminal Server więc chąc korzystać z jednego z nich usługę należy pozostawić włączoną. Wymagana też w przypadku instalowania lub aktualizowania niektórych aplikacji (starsze wersje Symantec były z tego znane). Uwaga: skutkiem ubocznym wyłączenia jest brak wyświetlania nazw użytkowników w kolumnie Menedżera zadań: Usługi terminalowe z poziomu services.msc mają zawsze zszarzałe opcje w prawokliku. Jest to "by design" - Microsoft ograniczył manipulację na tej usłudze. Proces: svchost.exe Nazwa systemowa w rejestrze: TermService Domyślnie XP Home: Ręczny Domyślnie XP Pro: Ręczny Bezpiecznie: Ręczny Logowanie jako: Lokalne konto systemowe Od czego zależny: Remote Procedure Call Co zależy od niego: Fast User Switching Compatibility Porty: TCP i UDP 3389 Themes (Kompozycje) Odpowiada za nowy wygląd XP (tzw. Interfejs LUNA) - tematy, kompozycje pulpitu, kolorki...... Dla tych co lubią gadżety. Jeśli podoba Ci się ten cały pic, to ustaw na Automatyczny. Jeśli nie chcesz mieć nowych skór, to ustaw to na Ręczny a najlepiej Wyłączony. Wyłączając "nowoczesny" wygląd zmieni się na klasyczny, znany dobrze z windows 98. Będzie więc to brzydko wyglądać, ale ocalisz trochę RAMu. Proces: svchost.exe Nazwa systemowa w rejestrze: Themes Domyślnie XP Home: Automatyczny Domyślnie XP Pro: Automatyczny Bezpiecznie: Automatyczny (masz wybór) Logowanie jako: Lokalne konto systemowe Od czego zależny: Nic Co zależy od niego: Nic Uninterruptible Power Supply (Zasilacz awaryjny (UPS)) Obsługuje zasilacz awaryjny UPS. Sprawa prosta: nie masz zasilacza UPS to usługę na stałe wyłączasz. Proces: ups.exe Nazwa systemowa w rejestrze: UPS Universal Plug and Play Device Host (Host Uniwersalnego urządzenia Plug and Play) Umożliwia obsługę UPnP (Universal Plug and Play). Działa w połączeniu z SSDP Discovery Service. Proces: svchost.exe Nazwa systemowa w rejestrze: UPNPhost Domyślnie XP Home: Ręczny Domyślnie XP Pro: Ręczny Bezpiecznie: Wyłączony Logowanie jako: NT AUTHORITY\LocalService Od czego zależny: SSDP Discovery Service Co zależy od niego: Nic Porty: TCP 2869, 5000 Upload Manager (Menedżer przekazywania) Zarządza transferami plików między komputerami. Nie jest wymagana dla podstawowego Udostępniania plików i drukarek (File and Print Sharing). Zalecane jest wyłączenie tej usługi. XP SP2: Usługa usunięta. Proces: svchost.exe Nazwa systemowa w rejestrze: uploadmgr Domyślnie XP Home: Automatyczny Domyślnie XP Pro: Automatyczny Bezpiecznie: Wyłączony Logowanie jako: Lokalne konto systemowe Od czego zależny: Remote Procedure Call Co zależy od niego: Nic Porty: TCP 80 Volume Shadow Copy (Kopiowanie woluminów w tle) Pracuje w połączeniu z MS Software Shadow Copy Provider. Była już o tym mowa. Potrzebne do poprawnego działania programów wykonujących kopie zapasowe np. Microsoft Backup czy progsy tworzące obrazy dysku. Jeśli wyłączysz tę usługę to odbierzesz sobie szanse wykorzystania kopii zapasowej a backup stanie się niemożliwy. W zasadzie nie ma jakiś widocznych skutków ubocznych po wyłączeniu tej usługi. No oczywiście w Event Log pojawi się błąd. Jak cię te errory wkurzają to ustaw to na Ręczny tak jak domyślnie to jest. Obie te usługi powinny mieć te same ustawienia. Proces: vssvc.exe Nazwa systemowa w rejestrze: VSS Domyślnie XP Home: Ręczny Domyślnie XP Pro: Ręczny Bezpiecznie: Ręczny Logowanie jako: Lokalne konto systemowe Od czego zależny: Remote Procedure Call Co zależy od niego: Nic WebClient (Klient sieci Web) Pozwala programom na tworzenie, dostęp i modyfikację plików w bazach internetowych. Przykładowymi aplikacjami wspierającymi te możliwości są Microsoft FrontPage oraz inne programy ze stajni Microsoftu wykorzystujące .NET Framework. Jeśli nie korzystasz z takich funkcji, możesz tę usługę wyłączyć jako niekonieczną. Jeśli jednak produkty Microsoftu takie jak Office, MSN Explorer, Media Player, NetMeeting czy Messenger itd. zaczną fiksować przy próbie użycia pewnych funkcji spróbuj przywrócić działanie tej usługi by sprawdzić czy to faktycznie ona jest za to odpowiedzialna. Jednakże ze względów bezpieczeństwa zaleca się tę usługę wyłączyć. Proces: svchost.exe Nazwa systemowa w rejestrze: WebClient Domyślnie XP Home: Automatyczny Domyślnie XP Pro: Automatyczny Bezpiecznie: Wyłączony Logowanie jako: NT AUTHORITY\LocalService Od czego zależny: WebDav Client Redirector Co zależy od niego: Nic Porty: TCP 80 Windows Audio Kontroluje urządzenia audio. Wymagany by w ogóle coś słyszeć! Komp z kartą dźwiękową musi mieć ustawione to na Automatyczny. Komp bez karty może mieć to wyłączone. Proces: svchost.exe Nazwa systemowa w rejestrze: AudioSrv Domyślnie XP Home: Automatyczny Domyślnie XP Pro: Automatyczny Bezpiecznie: Automatyczny Logowanie jako: Lokalne konto systemowe Od czego zależny: Remote Procedure Call, Plug and Play Co zależy od niego: Nic Windows Image Acquisition (WIA) Zapewnia obsługę skanerów, aparatów i kamer cyfrowych. Jeśli posiadasz takie urządzenia i nie pracują one poprawnie usługę należy ustawić na Auto. Jeśli nie posiadasz żadnego z tu wymienionych definitywnie wyłączasz. Proces: svchost.exe Nazwa systemowa w rejestrze: stisvc Domyślnie XP Home: Ręczny Domyślnie XP Pro: Ręczny Bezpiecznie: Ręczny Logowanie jako: Lokalne konto systemowe Od czego zależny: Remote Procedure Call Co zależy od niego: Nic Windows Installer (Instalator Windows) Umożliwia instalację / deinstalację / reperację / modyfikację programów, których instalator bazuje na plikach *.MSI. Instalator taki rozpoznajemy najszybciej nie tylko po rozszerzeniu ale i takim oknie instalacyjnym: Do typowych "MSI" należy Microsoft Office ale też dużo gier wykorzystuje takie pliki. Owszem, usługę wyłączyć można ale raczej dopiero wtedy gdy zainstalujesz sobie wszystkie aplikacje, które planujesz, i nie masz w zamiarze modyfikować ich komponentów. Jeśli po wyłączeniu tej usługi aplikacje nie będą się chciały poprawnie zainstalować lub dostaniesz błędy wyszczególniające "RPC Service" przywróć start usługi. Ustawienie na Ręczny jest dobrym ustawieniem. Proces: msiexec.exe Nazwa systemowa w rejestrze: MSIServer Domyślnie XP Home: Ręczny Domyślnie XP Pro: Ręczny Bezpiecznie: Ręczny Logowanie jako: Lokalne konto systemowe (z zezwoleniem na współdziałanie z pulpitem) Od czego zależny: Remote Procedure Call Co zależy od niego: Nic Porty: TCP 80 Windows Management Instrumentation (WMI) (Instrumentacja zarządzania Windows) KRYTYCZNA! Monitoruje i zarządza działaniem systemu operacyjnego. Odpowiada za widzialność zakładki Dependencies (Zależności) w konfiguracji usług. Jeśli usługa nie pracuje poprawnie otrzymamy taki oto komunikat przy próbie podglądnięcia Zależności: Teoretycznie ustawienie na Ręczny można wykonać ale tylko jeśli wyłączy się w pierwszej kolejności usługę od której zależy czyli Dziennik zdarzeń, .... czego i tak się nigdy robi. Całkowite wyłączenie usługi jest drastyczne, zaczną się dziać różne dziwne rzeczy, większość aplikacji Windowsa przestanie działać! Z tego wynika jedno: ta usługa musi być uruchamiana w trybie Automatyczny by system prawidłowo pracował. Proces: svchost.exe Nazwa systemowa w rejestrze: Winmgmt Domyślnie XP Home: Automatyczny Domyślnie XP Pro: Automatyczny Bezpiecznie: Automatyczny Logowanie jako: Lokalne konto systemowe (z zezwoleniem na współdziałanie z pulpitem) Od czego zależny: Remote Procedure Call, Event Log Co zależy od niego: Nic Windows Management Instrumentation (WMI) Driver Extensions (Rozszerzenie sterownika Instrumentacji zarządzania Windows) Zapewnia kontrolę nad wysyłaniem informacji do i ze sterowników. Nie jest aż tak ważna jak wspomniany powyżej Windows Management Instrumentation. Zostawienie na Ręcznym to dobry pomysł. Proces: svchost.exe Nazwa systemowa w rejestrze: Wmi Domyślnie XP Home: Brak Domyślnie XP Pro: Ręczny Bezpiecznie: Ręczny Logowanie jako: Lokalne konto systemowe (z zezwoleniem na współdziałanie z pulpitem) Od czego zależny: Nic Co zależy od niego: Nic Windows Time (Usługa Czas systemu Windows) Automatycznie ustawia zegar. Aktualizacja daty/czasu obywa się na bazie kontaktu z serwerem Microsoftu (time.windows.com). Ci którzy maja paranoję i nie ufają Billowi zawsze mogą sobie podmienić ten domyślny serwer swoim własnym zlokalizowanym bliżej PL .... lub .... hehehe .... na serwer rządowy time.nist.gov. Hehehe! Po pomyślnej synchronizacji czasu usługa ta przez następne 7 dni nie robi nic poza pożeraniem zasobów systemowych. Tu już sami decydujecie. Ci co lecą na internecie 24h/7dni niech ustawią sobie to na Automatyczny. Ci z Dial-upem mogą dać na Ręczny. Ci bez internetu w ogóle to wyłączają. Proces: svchost.exe Nazwa systemowa w rejestrze: W32Time Domyślnie XP Home: Automatyczny Domyślnie XP Pro: Automatyczny Bezpiecznie: Wyłączony Logowanie jako: Lokalne konto systemowe (z zezwoleniem na współdziałanie z pulpitem) Od czego zależny: Nic Co zależy od niego: Nic Porty: TCP 123 Wireless Zero Configuration (Konfiguracja zerowej sieci bezprzewodowej) Umożliwia auto-konfigurację i połączenie niektórych bezprzewodowych urządzeń sieciowych takich jak karty 802.11 czy pewne typy modemów radiowych. Może być potrzebna dla łączenie się specjalnego softu typu "hot sync" właściwego dla PDA, laptopów i innych typów przenośnych kompów. I dla tych obiektów usługa ta musi być na Auto. Nie ma jednak związku z innymi bezprzewodowymi urządzeniami typu klawiatury, myszki czy pady i można ją w takim przypadku wyłączyć. Ponadto działanie tej usługi może obrazować się odnotowywanym przez firewalle nadmiernym łączeniem ndisuio.sys (zwane "Big Brotherem Microsoftu" ) = wyłączenie tej usługi zlikwiduje ten ruch. Proces: svchost.exe Nazwa systemowa w rejestrze: WZCSVC Domyślnie XP Home: Automatyczny Domyślnie XP Pro: Automatyczny Bezpiecznie: Wyłączony WMI Performance Adapter (Karta wydajności WMI) Proces: wmiapsrv.exe Nazwa systemowa w rejestrze: WmiApSrv Workstation (Stacja robocza) Wykorzystywany do połączenia kompa lokalnego do kompów zdalnych.Przykładem jest tu lokalne połączenie sieciowe oraz File and Print sharing. Dodatkowo duża grupa usług jest od niej zależna. Zostaw na Automatyczny w ramach bezpiecznej konfiguracji. Proces: svchost.exe Nazwa systemowa w rejestrze: lanmanworkstation Domyślnie XP Home: Automatyczny Domyślnie XP Pro: Automatycznyl Bezpiecznie: Automatyczny Logowanie jako: Lokalne konto systemowe Od czego zależny: Nic Co zależy od niego: alerter, Background Intelligent Transfer Service, Computer Browser, Messenger, Net Logon, Remote Procedure Call Locator
  3. MS Software Shadow Copy Provider Działa w połączeniu z Volume Shadow Copy. Zarządza kopiami tzw. cienia (Shadow) pobranymi właśnie przez Volume Shadow Copy. Wymagają tego programy tworzące backupy i obraz dysku typu Microsoft Backup i jemu podobne. Jeśli korzystasz z narzędzi tego typu to ustaw to na Ręczny. Jeśli nie to i tak zostaw to na Ręcznym bo inaczej Dziennik Zdarzeń zapełni się kupą błędów. Wyłączyć niby można ale tak naprawdę nie są znane skutki uboczne tego czynu. Jesli wyłączysz to niemożliwe stanie się wykorzystanie kopii/obrazu dysku. Proces: dllhost.exe Nazwa systemowa: SwPrv Domyślnie XP Home: Ręczny Domyślnie XP Pro: Ręczny Bezpiecznie: Ręczny Logowanie jako: Lokalne konto systemowe Od czego zależny: Remote Procedure Call Co zależy od niego: Nic Net Logon (Logowanie do sieci) Potrzebne do logowania w niektórych domenach i wtedy ustawiamy go na Automatyczny. Standardowy komp domowy lub komp w "sieci domowej" nie potrzebuje tego. Dowód w postaci "błędu" w Dzienniku zdarzeń: Źródło: netlogon Identyfikator: 3095 Ten komputer jest skonfigurowany jako członek grupy roboczej, a nie domeny. W tej konfiguracji usługa Netlogon nie musi być uruchamiana. Proces: lsass.exe Nazwa systemowa: Netlogon Domyślnie XP Home: Ręczny Domyślnie XP Pro: Automatyczny Bezpiecznie: Wyłączony Logowanie jako: Lokalne konto systemowe Od czego zależny: Workstation Co zależy od niego: Nic Porty: TCP: 139, 888 oraz UDP: 137, 138 NetMeeting Remote Desktop Sharing Umożliwia wzajemny dostęp do komputerków i dzielenie pulpitu poprzez program NetMeeting. Jest to typowa i niebezpieczna luka. Ze względu tak na bezużyteczność tej usługi jak i potencjalne niebezpieczeństwo usługę tę wyłączasz. Proces: mnmsrvc.exe Nazwa systemowa: mnmsrvc Domyślnie XP Home: Ręczny Domyślnie XP Pro: Ręczny Bezpiecznie: Wyłączony Logowanie jako: Lokalne konto systemowe (z zezwoleniem na współdziałanie z pulpitem) Od czego zależny: Nic Co zależy od niego: Nic Porty: TCP: 215, 731, 3389 oraz UDP: 3389 Network Connections (Połączenia sieciowe) Zarządza połączeniem sieciowym. Kontroluje obiekty zlokalizowane w Panel sterowania (Control Panel) > Połączenia sieciowe (Network Connections), zarówno dla połączeń w sieci LAN jak i zdalnych. Wyłączasz to wtedy kiedy w ogóle nie masz żadnego połączenia sieciowego lub gdy nie grzebiesz specjalnie w konfiguracji. Po wyłączeniu tego zniknie ikona połączenia nawet dla modemów z zasobnika systemowego pomimo że połączenie ciągle będzie aktywne. Jeśli po zdeaktywowaniu tego twoje połączenie internetowe zaniknie to oczywiście ustawiasz to na Automatyczny. Proces: svchost.exe Nazwa systemowa: Netman Domyślnie XP Home: Ręczny Domyślnie XP Pro: Ręczny Bezpiecznie: Ręczny Logowanie jako: Lokalne konto systemowe (z zezwoleniem na współdziałanie z pulpitem) Od czego zależny: Remote Procedure Call Co zależy od niego: Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) Network DDE (DDE Sieci) Zapewnia przepływ informacji DDE przez sieć. Wymagane przy ustawieniach połączeń Dynamic Data Exchange. Brak przekonywujących przyczyn dla których miałoby to być włączone. O ile nie korzystasz ze wspomnianego już ClipBooka lub super tajnego narzędzia do chatowania winchat.exe wyłącz! XP SP2: Usługa domyślnie wyłączona. Proces: netdde.exe Nazwa systemowa: NetDDE Domyślnie XP Home: Ręczny Domyślnie XP Pro: Ręczny Bezpiecznie: Wyłączony Logowanie jako: Lokalne konto systemowe Od czego zależny: Network DDE DSDM Co zależy od niego: ClipBook Network DDE DSDM (DSDM DDE Sieci) Zarządza udziałami sieciowymi DDE. Patrz na punkt wyżej. Jeśli usługa od której zależy czyli Network DDE jest ustawione na Automatyczny to ją też tak ustawiamy. XP SP2: Usługa domyślnie wyłączona. Proces: netdde.exe Nazwa systemowa: NetDDE dsdm Domyślnie XP Home: Ręczny Domyślnie XP Pro: Ręczny Bezpiecznie: Wyłączony Logowanie jako: Lokalne konto systemowe Od czego zależny: Nic Co zależy od niego: Network DDE Network Location Awareness (NLA) (Rozpoznawanie lokalizacji w sieci (NLA)) Zbiera i zapisuje informacje o sieci oraz powiadamia programy o zmianach w tych zapisach. Wymagana dla usługi Internet Connection Sharing (tylko serwer). Proces: svchost.exe Nazwa systemowa: Nla Domyślnie XP Home: Ręczny Domyślnie XP Pro: Ręczny Bezpiecznie: Ręczny Logowanie jako: Lokalne konto systemowe Od czego zależny: AFD Networking Support Environment, NetBIOS over TCP/IP Co zależy od niego: Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) NT LM Security Support Provider (Usługa NT LM Security Support Provider) Zapewnia ochronę RPC. Jeśli używasz Message queuing lub Telnet to musi to być włączone. Proces: lsass.exe Nazwa systemowa: NtLmSsp Domyślnie XP Home: Ręczny Domyślnie XP Pro: Ręczny Bezpiecznie: Ręczny Logowanie jako: Lokalne konto systemowe Od czego zależny: Nic Co zależy od niego: Message Queuing, Telnet Porty: zmienne Performance Logs and alerts (Dziennik wydajności i alerty) Usługa podoba do Dziennika zdarzeń, kolekcjonująca informacje o wydajności i sprawności systemu a potem te dane logująca w specjalnych komunikatach i alertach. Skupiona na monitoringu sprzętu (liczniki). Narzędzie dostępne poprzez: Start > Uruchom > perfmon.msc. Przydatna aplikacja lecz obciążająca pracę kompa. Sam decydujesz choć doprawdy można to wyłączyć zwłaszcza jeśli nie umie się z tego korzystać . Proces: smlogsvc.exe Nazwa systemowa: SysmonLog Domyślnie XP Home: Ręczny Domyślnie XP Pro: Ręczny Bezpiecznie: Wyłączony Logowanie jako: NT AUTHORITY\NetworkService Od czego zależny: Nic Co zależy od niego: Nic Porty: TCP 139 Plug and Play Usługa zajmująca się wykrywaniem zmian w sprzęcie komputera. Obsługuje urządzenia Plug and Play np. karty muzyczne. Powinna być włączana Automatycznie. Nie wyłączać jej!. Skutki uboczne wyłączenia liczne - przykładowo cały menedżer urządzeń pokazuje się jako pusty. Nie należy mylić usługi Plug and Play (PnP) z Universal Plug and Play (UpnP), której pozbywamy się w pierwszej kolejności. Proces: services.exe Nazwa systemowa: PlugPlay Domyślnie XP Home: Automatyczny Domyślnie XP Pro: Automatyczny Bezpiecznie: Automatyczny Logowanie jako: Lokalne konto systemowe Od czego zależny: Nic Co zależy od niego: Fax Service, Logical Disk Manager, Logical Disk Manager Administrative Service, Messenger, Smard Cart, Telephony, Windows Audio Portable Media Serial Number (Numer seryjny nośników przenośnych) Uzyskuje numer seryjny dla podłączonych do kompa przenośnych odtwarzaczy audio/mp3, dysków podpinanych via USB, stickpenów. Jeśli masz podłączone coś takiego to ustaw na Automatyczny lub Ręczny. Brak potrzeby by ten serwis leciał cały czas w tle i spokojnie można go wyłączyć. Jeśli jednak zauważysz że np. Windows Media Player przestało poprawnie działać to przywracasz to. Proces: svchost.exe Nazwa systemowa: WmdmPmSn Domyślnie XP Home: Automatyczny Domyślnie XP Pro: Automatyczny Bezpiecznie: Wyłączony Logowanie jako: Lokalne konto systemowe Od czego zależny: Nic Co zależy od niego: Nic Print Spooler (Bufor wydruku) Ustawia kolejkę wydruku pod przyszłe drukowanie. Jest wymagana tylko wtedy gdy do kompa są podłączone drukarki (lokalne lub sieciowe) oraz przy obecności programów symulujących drukarkę (Acrobat Reader itd.). Jednakże buforowanie wcale nie jest konieczne by móc drukować na drukarkach lokalnych (patrz dalej: ustawienie drukowania bezpośredniego), to jest raczej niezbędne dla drukarek sieciowych. Usługę ustawiamy na Auto: jeśli mamy drukarkę lokalną z której często korzystamy i chcemy mieć włączone buforowanie lub jeśli korzystamy z drukarki sieciowej Usługę ustawiamy na Ręczny: jeśli drukarka jest niezbyt często używana, wtedy ta usługa nie zastartuje wraz ze startem systemu ale jak będziesz chciał coś drukować to możesz ją w każdej chwili uaktywnić. Usługę wyłączamy: jeśli nie ma do komputera podłączonej żadnej drukarki. Całkowite wyłączenie tej usługi przy obecności drukarki powoduje iż drukarka przestaje być widoczna w folderze Drukarek i staje się niedostępna choć nadal jest na komputerze zainstalowana. Po restarcie tej usługi ponownie stanie się widoczna i używalna. Jeśli chcesz całkowicie wyłączyć tę usługę zachowując jednak pełną funkcjonalność drukarki możesz wyłączyć buforowanie w opcjach drukarki ustawiając drukowanie bezpośrednie: Panel sterowania > Drukarki i faxy > prawy klik na Drukarkę > Właściwości > Zaawansowane (Advanced) > zaznaczyć (Print directly to the printer) Proces: spoolsv.exe Nazwa systemowa: Spooler Domyślnie XP Home: Automatyczny Domyślnie XP Pro: Automatyczny Bezpiecznie: Automatyczny (masz wybór) Logowanie jako: Lokalne konto systemowe (z zezwoleniem na współdziałanie z pulpitem) Od czego zależny: Remote Procedure Call Co zależy od niego: Fax Service, TCP/IP Printer Server Porty: TCP: 139, 515 oraz UDP: 137, 138, 1709 Protected Storage (Magazyn chroniony) Odpowiada za lokalne przechowywanie haseł czy autouzupełnianie info/haseł w Outlook Express + Internet Explorer. Ma to 2 oblicza a wybór jest po waszej stronie: - Z jednej strony w ramach ochrony prywatności i zabezpieczeń lepiej jest to wyłączyć gdyż żadne twoje dane (hasła, nicki itd...) nie są po prostu zapisywane na kompie i nie będzie je tak łatwo ukraść. Poza tym komplet IE + OE powinien zostać zastąpiony bezpieczniejszymi niezależnymi alternatywami (np. Firefox + Thunderbird). - Z drugiej strony jest wygodnie mieć zapamiętane hasełka w kliencie poczty i przeglądarce MS, logowaniu dial-up, czy też przy połączeniu przez serwer/kontroler domeny wymagający autentyfikacji. Stosując komplet IE + OE jesteś praktycznie rzecz biorąc uzależniony od tej usługi. I tu się aplikuje ustawienie Automatyczny. Notka: jeśli usługa będzie ustawiona na Ręczny uruchamianie Outlook Expressa będzie spowolnione gdyż będzie czekał na inicjację tej usługi. Proces: lsass.exe Nazwa systemowa: ProtectedStorage Domyślnie XP Home: Automatyczny Domyślnie XP Pro: Automatyczny Bezpiecznie: Automatyczny Logowanie jako: Lokalne konto systemowe (z zezwoleniem na współdziałanie z pulpitem) Od czego zależny: Remote Procedure Call Co zależy od niego: Nic QoS RSVP Proces: rsvp.exe Nazwa systemowa: RSVP Domyślnie XP Home: Ręczny Domyślnie XP Pro: Ręczny Bezpiecznie: Wyłączony Logowanie jako: Lokalne konto systemowe Od czego zależny: AFD Networking Support Environment, Remote Procedure Call (RPC), TCP/IP Protocol Driver Co zależy od niego: Nic Remote Access Auto Connection Manager (Menedżer autopołączenia rejestru zdalnego) Tworzy połączenie do zdalnej sieci. Może być wymagany przez twoje połączenie internetowe w zależności od tego jak jest ustawiony proces logowania się. Jeśli twoje połączenie internetowe przestanie działać po wyłączeniu tej usługi ustaw ją na Automatyczny. Jeśli używasz np. routera nie potrzebujesz tego i wyłączasz. Wymagana dla współdzielenia połączenia internetowego (Internet Connection Sharing). Proces: svchost.exe Nazwa systemowa: RasAuto Domyślnie XP Home: Ręczny Domyślnie XP Pro: Ręczny Bezpiecznie: Ręczny Logowanie jako: Lokalne konto systemowe Od czego zależny: Remote Access Connection Manager, Telephony Co zależy od niego: Nic Remote Access Connection Manager (Menedżer połączeń Usługi dostęp zdalny) Tworzenie połączeń sieciowych. Wymagana dla współdzielenia połączenia internetowego (Internet Connection Sharing). Popatrz powyżej. Proces: svchost.exe Nazwa systemowa: RasMan Domyślnie XP Home: Ręczny Domyślnie XP Pro: Ręczny Bezpiecznie: Ręczny Logowanie jako: Lokalne konto systemowe Od czego zależny: Telephony Co zależy od niego: Remote Access Auto Connection Manager, Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) Remote Desktop Help Session Manager (Menedżer sesji pomocy pulpitu zdalnego) Umożliwia działanie Remote Desktop / Zdalnego Pulpitu o którego konfiguracji można poczytać w tym PDF. Większość z Was nie bawi się tym i to wyłącza. Proces: sessmgr.exe Nazwa systemowa: RDSessMgr Domyślnie XP Home: Ręczny Domyślnie XP Pro: Ręczny Bezpiecznie: Wyłączony Logowanie jako: Lokalne konto systemowe Od czego zależny: Remote Procedure Call Co zależy od niego: Nic Remote Procedure Call (RPC) (Zdalne wywoływanie procedur) NAJWAŻNIEJSZA! Jest to najważniejsza usługa w XP i praktycznie wszystkie inne są od niej zależne! Domyślnie jest włączana automatycznie i musi tak pozostać. Pod żadnym pozorem nie można jej wyłączyć, w przeciwnym wypadku twój system nie będzie w stanie w ogóle zastartować! Jest to jedyna usługa której nie da się wyłączyć z poziomu konsoli usług ale niekonsekwentnie ta akcja jest ciągle możliwa via msconfig lub Profil sprzętowy! Usługa RPC została wyłączona / system nie startuje: Zastartuj komputer w Trybie awaryjnym. Zainstaluj łatkę rejestru: RpcRepair.zip. Infekcje jako przyczyna automatycznego restartu RPC: Usterka zapoczątkowana przez robaka Blaster. Aktualnie jest wiele innych możliwości, liczne trojany czy rootkity mogą wpływać na ujawnianie się efektu. Proces: svchost.exe Nazwa systemowa: RpcSs Domyślnie XP Home: Automatyczny Domyślnie XP Pro: Automatyczny Bezpiecznie: Automatyczny Logowanie jako: Lokalne konto systemowe (i nie można tego zmienić) Od czego zależny: Nic Co zależy od niego: prawie wszystko Porty: TCP: 135, 530, 593, 80 oraz UDP: 135, 530, 2034, dynamicznie przypisane Remote Procedure Call (RPC) Locator (Lokalizator usługi zdalnego wywoływania procedur) Proces: locator.exe Nazwa systemowa: RpcLocator Domyślnie XP Home: Ręczny Domyślnie XP Pro: Ręczny Bezpiecznie: Ręczny Logowanie jako: NT AUTHORITY\NetworkService Od czego zależny: Workstation Co zależy od niego: Nic Porty: TCP 135 Remote Registry (Rejestr zdalny) Pozwala na zdalny dostęp do rejestru systemowego. Ma zastosowanie jedynie w sieciach korporacyjnych. Jest to jedna z owych bezużytecznych usług, której pozbywamy się w pierwszej kolejności, również ze względu na fakt iż jest to usługa niebezpieczna i otwierająca furtkę na zdalny hack rejestru. Proces: svchost.exe Nazwa systemowa: RemoteRegistry Domyślnie XP Home: Brak Domyślnie XP Pro: Automatyczny Bezpiecznie: Wyłączony Logowanie jako: NT AUTHORITY\NetworkService Od czego zależny: Remote Procedure Call Co zależy od niego: Nic Removable Storage (Magazyn wymienny) Zarządza wymiennymi mediami (wymienne nośniki, taśmy, dyski optyczne). W normalnych okolicznościach nie jest ten serwis wymagany. Jeśli jednak twoje napędy CDROM, DVD zaczną robić fochy (brak auto play itd...) ustawiasz na Automatyczny. Proces: svchost.exe Nazwa systemowa: NtmsSvc Domyślnie XP Home: Ręczny Domyślnie XP Pro: Ręczny Bezpiecznie: Ręczny Logowanie jako: Lokalne konto systemowe Od czego zależny: Remote Procedure Call Co zależy od niego: Nic Routing and Remote Access (Routing i dostęp zdalny) XP SP2: Usługa domyślnie wyłączona. Proces: svchost.exe Nazwa systemowa: RemoteAccess Domyślnie XP Home: Wyłączony Domyślnie XP Pro: Ręczny Bezpiecznie: Wyłączony Logowanie jako: Lokalne konto systemowe Od czego zależny: NetBIOSGroup, Remote Procedure Call (RPC) Co zależy od niego: Nic Secondary Logon (Logowanie pomocnicze) Już o tym wspomniałam na początku topiku. Umożliwia aktualnie zalogowanemu użytkownikowi uruchamianie procesów jako inny użytkownik bez konieczności wylogowywania się z systemu. Z tym jest związane właśnie działanie opcji Run as (Uruchom jako). To działa w 2 strony: - użytkownik uprzywilejowany uruchamia programy z niższym poziomem uprawnień niż posiada (ta ochrona przed trojanami) - użytkownik limitowany uruchamia programy z wyższym poziomem uprawnień niż on posiada. Więc jeśli ty jesteś adminem swojego kompa ale korzystają z niego jeszcze inni użytkownicy to przecież oni też mogą to wykorzystać i ci coś namieszać w kompie pomimo braku praw administratora.... Możesz to spokojnie wyłączyć o ile nie wykorzystujesz opcji Run as bo po wyłączeniu stanie się ona niedostępna. Proces: svchost.exe Nazwa systemowa w rejestrze: seclogon Domyślnie XP Home: Automatyczny Domyślnie XP Pro: Automatyczny Bezpiecznie: Wyłączony Logowanie jako: Lokalne konto systemowe (z zezwoleniem na współdziałanie z pulpitem) Od czego zależny: Nic Co zależy od niego: Nic Security Accounts Manager (Menedżer kont zabezpieczeń) Podobnie jak Protected Storage gromadzi informacje o ochronie dla lokalnych kont użytkowników. Wymagana dla IIS Admin czym i tak się nie przejmujemy bo domyślnie nie jest to instalowane z windą. Musi być jednak włączona jeśli choć raz użyłeś do modyfikowania ustawień gpedit.msc czyli Group Policy Editor (Zasady grup). W przeciwnym wypadku wprowadzone przez ciebie zmiany nie zostaną zaakceptowane. W ramach bezpiecznej konfiguracji zostawiamy to na Automatyczny. Proces: lsass.exe Nazwa systemowa w rejestrze: SamSs Domyślnie XP Home: Automatyczny Domyślnie XP Pro: Automatyczny Bezpiecznie: Automatyczny Logowanie jako: Lokalne konto systemowe Od czego zależny: Remote Procedure Call Co zależy od niego: Distributed Transaction Coordinator, IIS Admin Security Center (Centrum zabezpieczeń) Usługa wprowadzona przez SP2. Jest to monitor bezpieczeństwa patrolujący 3 elementy systemu: Automatyczne aktualizacje, firewalla systemowego i soft antywirusowy. W sposób widoczny występuje jako ikona w zasobniku systemowym częstująca komunikatami ostrzegawczymi: Stałe powiadomienia w dymkach o "zagrożeniu" mogą być bardzo denerwujące a nawet zbędne. Jeśli ktoś nie chce mieć tego monitoringu, ma własnego firewalla i nie korzysta z tego systemowego lub też ma antywirusa nierozpoznawanego przez to centrum spokojnie może wyłączyć tę usługę. Nie wpłynie to na stabilność systemu czy też zmniejszenie funkcjonalności patrolowanych elementów. Samo zatrzymanie usługi i ustawienie Typu Startowego na Wyłączona to za mało. Po resecie bowiem usługa ponownie zastartuje na Automacie. By się tego pozbyć na dobre należy: Panel sterowania > Security Center (Centrum zabezpieczeń) > Change the way Security Center alerts me (Zmień sposób informowania mnie przez centrum zabezpieczeń) W nowym okienku usunąć wszystkie ptaszki monitoringu: Po wykonaniu operacji wyżej usługę można zatrzymać i na stałe już ustawić na Wyłączoną. Po resecie kompa nie będzie ani ikony w trayu ani denerwujących komunikatów. Proces: svchost.exe Nazwa systemowa: wscsvc Domyślnie XP Home: Automatyczny Domyślnie XP Pro: Automatyczny Bezpiecznie: Wyłączony Logowanie jako: Lokalne konto systemowe Od czego zależny: Remote Procedure Call (RPC), Windows Management Instrumentation Co zależy od niego: Nic Server (Serwer) ......................... Proces: svchost.exe Nazwa systemowa w rejestrze: lanmanserver Domyślnie XP Home: Automatyczny Domyślnie XP Pro: Automatyczny Bezpiecznie: Wyłączony Porty: TCP: 139, 445 oraz UDP: 137, 138, 139, 445
  4. Alerter (Urządzenie alarmowe) Umożliwia powiadamianie wybranych użytkowników o alarmach administracyjnych. By użytkownik otrzymał ten typ powiadomień musi mieć włączoną usługę Posłaniec (patrz dalszy opis). W normalnym okolicznościach ani konieczny ani potrzebny. To NIE jest 'WinPopUp'! XP SP2: Usługa domyślnie wyłączona. Proces: services.exe, XP SP2: svchost.exe Nazwa systemowa: Alerter Domyślnie XP Home: Ręczny Domyślnie XP Pro: Ręczny Bezpiecznie: Wyłączony Logowanie jako: NT AUTHORITY\Local Service Zależności: Od czego zależny: Workstation Co zależy od niego: Nic Porty: TCP: 2869 (dynamiczny) oraz UDP: 1900 Application Layer Gateway Service (Usługa bramy warstwy aplikacji) Zapewnia obsługę pluginów dla udostępniania połączenia internetowego oraz firewalla wbudowanego do XP (Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)). Np. plugin umożliwiający monitorowanie / logowanie aktywności zapory czy też plugin zezwalający na przechodzenie dodatkowego protokołu przez firewalla. Nie patrząc daleko przykładem takiego dodatkowego protokołu jest MSN Messenger i jeśli ta usługa zostanie wyłączona program nie będzie w stanie przejść przez zaporę. Korzystając z systemowego firewalla najlepiej pozostawić domyślne ustawienie Ręczne. Komputer nie wykorzystujący tego lub nie podłączony do internetu ma "obowiązek" ustawić na Wyłączone. XP SP2: Usługa nie jest już wymagana do działania systemowej zapory. Proces: alg.exe Nazwa systemowa: ALG Domyślnie XP Home: Ręczny Domyślnie XP Pro: Ręczny Bezpiecznie: Ręczny Logowanie jako: NT AUTHORITY\Local Service Od czego zależny: Nic Co zależy od niego: Internet Connection Firewall, XP SP2: zależność usunięta Porty: TCP 21 (dynamicznie przypisywany) Application Management (Zarządzanie aplikacjami) Zapewnia działanie usług instalacyjnych. Wyłączenie jest możliwe choć skutkiem ubocznym prawdopodobnie będzie problem z dodawaniem / usuwaniem aplikacji. Jeśli nie jesteś w stanie zmodyfikować instalacji softu pewnych aplikacji ustaw to na Automatyczny lub Ręczny. W przypadku XP Home usługa ta nawet "nie jest instalowana" i może powodować problemy: Baza wiedzy MS: KB328213: Adding or removing a program may generate Event ID 7023 Proces: svchost.exe Nazwa systemowa: AppMgmt Domyślnie XP Home: Ręczny Domyślnie XP Pro: Ręczny Bezpiecznie: Ręczny Logowanie jako: Lokalne konto systemowe Od czego zależny: Nic Co zależy od niego: Nic Auto Updates (Aktualizacje automatyczne) Umożliwia automatyczną aktualizację systemu o krytyczne poprawki. Domyślnie Windows ściąga cichaczem i niespodziewanie pyta o ich instalację. Zarówno automatyczne jak i ręczne instalowanie uaktualnień via Windows Update wymaga działania Usług kryptograficznych. Jeśli zadawala cię automatyczne ładowanie łatek obie usługi musisz ustawić na Auto. Jest to jednak ściąganie niekontrolowane. Lepiej wiedzieć co i po co nam się ściąga. Ponadto słabe łącza telefoniczne powinny się oszczędzać ograniczając zbędny ruch sieciowy. Bardzo ważne! Jak zdecydujesz się na wyłączenie to trzymaj okno na łatkach. XP SP2: Namieszał tu znacząco. Po instalacji SP2 lista niepisanych powiązań została poszerzona. By umożliwić WU muszą być uruchomione: Automatyczne aktualizacje, Usługi kryptograficzne, Usługa Inteligentnego Transferu w tle i Dziennik Zdarzeń. Chcąc mieć automatyczne ściąganie aktualizacji wszystkie te usługi muszą być na Automacie. Proces: svchost.exe Nazwa systemowa: wuauserv Domyślnie XP Home: Automatyczny Domyślnie XP Pro: Automatyczny Bezpiecznie: Automatyczny (masz wybór) Logowanie jako: Lokalne konto systemowe Od czego zależny: Oficjalnie nic, nieoficjalnie Usługi kryptograficzne.... Co zależy od niego: Nic Porty: TCP 80 Background Intelligent Transfer Service (Usługa inteligentnego transferu w tle) Odpowiada za asynchroniczny transfer danych via servery http 1.1. Np. Podczas nieużywania sieci transfer się zawiesza ale może być kontynuowany potem. Windows Update używa tej funkcji. 'Kontynuuje' download nawet jak wylogujesz się zamkniesz system i ponownie się zalogujesz. Hmm... jest to trochę niewygodne, że cały czas leci to w tle. Można więc wyłączyć. Nie zanotowano w zasadzie żadnych widocznych skutków ubocznych tej akcji. Usługa ta jednak może być wymagana przez pewne funkcje w MSN Explorer, Windows Messenger, Windows Media Player, .NET. Jeśli z nich korzystasz to zostaw na Ręcznym. Na systemach pre XP SP2 działanie tej usługi mogło powodować zawieszenie systemu podczas startu na około 2-3 minuty, a cały pasek zadań włącznie z przyciskiem Start niedostępny. Microsoft adresował problem poprawką (Q314862), traci ona znaczenie po aktualizacji do najnowszego statusu SP3. XP SP2: Nastąpiły zmiany wymuszające ustawienie tej usługi na Auto by w ogóle mieć dostęp do Windows Update. Proces: svchost.exe Nazwa systemowa: BITS Domyślnie XP Home: Ręczny Domyślnie XP Pro: Ręczny Bezpiecznie: Wyłączony Logowanie jako: Lokalne konto systemowe Od czego zależny: Remote Procedure Call, Workstation Co zależy od niego: Nic Porty: TCP 80 ClipBook Zapewnia działanie schowka (wytnij / wklej) w kontekście zapisywania na trwałe kopiowanych informacji i dzielenia się nim ze zdalnymi komputerami. Wyłączenie tej usługi zwiększy bezpieczeństwo komputera. Poza tym brak dostatecznie przekonywującej przyczyny by pozwolić na stałe działanie w tle. Usługi od których ona zależy czyli Network DDE, Network DDE DSDM muszą być wyłaczone by móc przeprowadzić tę operację. Notka: Windows Clipboard Viewer / Podgląd schowka nie jest domyślnie eksponowany w systemie poprzez widoczne skróty w Akcesoriach. By go uruchomić należy wywołać plik C:\WINDOWS\system32\clipbrd.exe (Acrobat Reader czyni to automatycznie z opcji Window > Clipboard Viewer). Wyłączenie omawianej tu usługi nie wpłynie na pracę lokalnego schowka. XP SP2: Usługa domyślnie wyłączona. Proces: clipsrv.exe Nazwa systemowa: ClipSrv Domyślnie XP Home: Ręczny Domyślnie XP Pro: Ręczny Bezpiecznie: Wyłączony Logowanie jako: Lokalne konto systemowe Od czego zależny: Network DDE, Network DDE DSDM Co zależy od niego: Nic COM+ Event System (System zdarzeń COM+) System zdarzeń COM+. I to jest dopiero zagadka bo, C:\Program Files\ComPlus Applications ... jest puste. Nic nie wiadomo o aplikacjach korzystających z COM+, niemniej gdy ta usługa jest ustawiona na Ręcznym wiele innych usług odnosi się do niej i tak ona startuje. Gdy jest ustawiona na Wyłączone Dziennik Zdarzeń zapełnia się błędami punktującymi brak startu usługi. Sprawdź czy nie masz zainstalowanej jakiejś aplikacji COM+ (?). Jeśli nie to prawdopodobnie możesz wyłączyć tę usługę bez skutków ubocznych, no poza oczywistym faktem że Dziennik wywali kupę errorów w czasie startowania systemu. Jednak usługa ta jest wymagana dla System Event Notification, niektórych funkcji Windows Media Player. Ponadto jeśli ktoś pragnie skorzystać z benefitów funkcji XP Prefetching oraz programu BootVis a konkretniej jego opcji "Optimize system" musi mieć tę usługę włączoną inaczej program zwróci błąd. Proces: svchost.exe Nazwa systemowa: EventSystem Domyślnie XP Home: Ręczny Domyślnie XP Pro: Ręczny Bezpiecznie: Ręczny Logowanie jako: Lokalne konto systemowe Od czego zależny: Remote Procedure Call Co zależy od niego: System Event Notification COM+ System Application (Aplikacja systemowa modelu COM+) Kontroluje obiekty COM+. Patrz wyżej. Proces: dllhost.exe Nazwa systemowa: COMSysApp Domyślnie XP Home: Ręczny Domyślnie XP Pro: Ręczny Bezpiecznie: Ręczny Logowanie jako: Lokalne konto systemowe Od czego zależny: Remote Procedure Call Co zależy od niego: Nic Computer Browser (Przeglądarka komputera) Usługa sieciowa gromadząca informacje (tzw. Listy) o komputerach i zasobach w sieci LAN. Niby się mówi, że jak korzystasz z Udostępniania w LAN to trzeba to ustawić na Automatyczny ale..... to wcale a wcale nie jest potrzebne na normalnym systemie! Po jej wyłączeniu i tak będziesz mógł przeglądać otoczenie sieciowe (grupy robocze, domenę) i swoje zmapowane dyski sieciowe. Bo jest tak że w sieci 1 komp jest wybrany jako master browser a 2 jako backup browser. Wszystkie inne tylko się zgłaszają co 12 minutek by wykazać gotowość zastąpienia tych kompów w razie ich błędu. Żadna zwłoka czasowa nie zostanie zauważona jeśli ta usługa zostanie zdeaktywowana na wszystkich kompach z wyjątkiem jednego. Niedowiarki mogą się "zabezpieczyć" na ustawieniu Automatycznym ale doprawdy nie ma takiej potrzeby. Już chyba nie muszę mówić co robią ci którzy w ogóle się nie bawią w żadne udostępnianie lub mają neta odciętego....... Proces: svchost.exe Nazwa systemowa: Browser Domyślnie XP Home: Automatyczny Domyślnie XP Pro: Automatyczny Bezpiecznie: Wyłączony Logowanie jako: Lokalne konto systemowe Od czego zależny: Server, Workstation Co zależy od niego: Nic Porty: TCP: 139 oraz UDP: 137 (przeglądanie żądań NetBIOS przez TCP/IP), 138 (przeglądanie zwrotnych datagramów NetBIOS przez TCP/IP) Cryptographic Services (Usługi kryptograficzne) Usługa ta steruje całym zestawem funkcji: - Catalog Database Service: kontrola sygnatur plików Windows (Windows File Protection opisane szczegółowo w temacie Optymalizacji XP) + sterowników podpisanych cyfrowo (WHQL) - Protected Root Service (zarządzanie certyfikatami Trusted Root Certification Authority) - Key Service (wspomaganie kontroli certyfikatów). A teraz po ludzku. Wymagany dla poprawnego działania Windows File Protection oraz w przypadku automatycznego lub ręcznego Windows Update, instalacji SP1/SP2 i DirectX 9.0. Niektóre funkcje Windows Media Player i aplikacji .NET też jej wymagają. Po wyłączeniu usługi nastąpi skomasowanie różnych błędów, głównie wyliczających nie przejście przez weryfikację zgodności, i nie możność instalacji. Przykłady: - Przy montażu Service Packa i innych łatek: Setup could not verify the integrity of the file Update.inf / Instalator nie może zweryfikować integralności pliku Update.inf. - Przy montażu DirectX oraz sterowników: The software you are installing has not passed Windows Logo testing to verify its compatibility with Windows XP. / Instalowane oprogramowanie nie przeszło testów zgodności z systemem Windows XP umożliwiających uzyskanie logo Windows Krytycznym przypadkiem jest niemożność zainstalowania żadnego programu (błąd nie przejścia zgodności wywala nawet WinAmp!) i non stop zgłaszanie się dialogu Windows File Protection o rzekomym zastąpieniu plików nie rozpoznanymi wersjami: Z tych wszystkich przyczyn zalecanym i bezpiecznym ustawieniem jest tryb Automatyczny. I nie radzę tego zmieniać. Proces: svchost.exe Nazwa systemowa: CryptSvc Domyślnie XP Home: Automatyczny Domyślnie XP Pro: Automatyczny Bezpiecznie: Automatyczny Logowanie jako: Lokalne konto systemowe Od czego zależny: Remote Procedure Call Co zależy od niego: Oficjalnie nic, nieoficjalnie Automatyczne aktualizacje... DCOM Server Process Launcher (Program uruchamiający proces serwera DCOM) Usługa wprowadzona przez SP2. Jeśli zostanie wyłączona mogą nastąpić problemy z instalacją i działaniem programów, często z komunikatem RPC Server is unavailable / Serwer RPC jest niedostępny. Przykłady dysfunkcji przy nieprawidłowym starcie usługi: - defragmenter systemowy nie działa poprawnie i ma "martwe" guziki. - niemożność wykorzystania narzędzia linii komend TASKKILL (= zatrzymania aplikacji/procesów) - błąd uruchamiania skryptów vbs z komunikatem "Serwer zdalny nie istnieje lub jest niedostępny" - LiveUpdate Nortona nie działa - zapora Windows pomimo ustawienia na tryb Automatyczny nie chce startować Generalnie ta usługa musi być ustawiona na tryb Automatyczny by wszystko działało poprawnie! Baza wiedzy MS: KB892504: The Windows Firewall service in Windows XP Service Pack 2, in Windows XP Professional x64 Edition, in Windows Server 2003 SP1, and in x64-based versions of Windows Server 2003 cannot start if the DCOM Process Launcher Service is disabled Proces: svchost.exe Nazwa systemowa: DcomLaunch Domyślnie XP Home: Automatyczny Domyślnie XP Pro: Automatyczny Bezpiecznie: Automatyczny Logowanie jako: Lokalne konto systemowe Od czego zależny: Nic Co zależy od niego: Nic DHCP Client (Klient DHCP) Pozwala na konfigurację sieci przez uzyskiwanie dynamicznych adresów IP z serwera DHCP i uaktualnianie nazw DNS. Wymagany dla ICS i IPSEC. Wielu dostawców internetowych używa właśnie DHCP. Jeśli masz statyczny adres IP (niezmienny) to możesz to wyłączyć a jeśli dynamiczny (zmienny) to z pewnością nie. Jeśli wyłączysz tę usługę a twoje połączenie internetowe padnie to wiadomo że usługę tę przywracasz na tryb Automatyczny. Większość routerów jest opartych na DHCP. Proces: svchost.exe Nazwa systemowa: Dhcp Domyślnie XP Home: Automatyczny Domyślnie XP Pro: Automatyczny Bezpiecznie: Automatyczny Logowanie jako: Lokalne konto systemowe Od czego zależny: AFD Networking Support Environment, NetBIOS over TCP/IP, TCP/IP Protocol Driver Co zależy od niego: Nic Porty: TCP: 68 oraz UDP: 67, 68, 1029 Distributed Link Tracking Client (Klient śledzenia łączy rozproszonych) Działa tylko na systemie plików NTFS. Zapewnia poprawne połączenia - linki pomiędzy plikami. Śledzi zmiany położenia zasobów: - w obrębie 1 komputera: np. tworzysz skrót na pulpicie do jakiegoś folderu. Jeśli ten folder przeniesiesz w inne miejsce na dysku to ta usługa zadba o to, by skrót dalej wskazywał właściwy element bez konieczności tworzenia nowego. - w obrębie domeny sieciowej: np. tworzysz plik na kompie A a następnie go tworzysz do niego skrót na kompie B. Jeśli plik na kompie A przeniesiesz do innej lokalizacji to ta usługa uaktualni wiedzę kompa B na ten temat. Jest to bardziej przydatne w rozbudowanych sieciach komputerowych aniżeli na zwykłym domowym kompie. Ktoś nie zainteresowany takimi benefitami spokojnie może to wyłączyć. Proces: svchost.exe Nazwa systemowa: TrkWks Domyślnie XP Home: Automatyczny Domyślnie XP Pro: Automatyczny Bezpiecznie: Ręczny Logowanie jako: Lokalne konto systemowe Od czego zależny: Remote Procedure Call Co zależy od niego: Nic Distributed Transaction Coordinator Koordynuje transakcje pomiędzy bazami danych i systemami plików. Wymagany dla Message Queuing. Być może w przyszłości będą jej wymagać aplikacje Microsoft .NET. Po wyłączeniu brak widocznych skutków ubocznych poza kilkoma błędami, które zapewne pojawią się w Dzienniku zdarzeń a więc tryb Ręczny jest odpowiednim rozwiązaniem. Proces: msdtc.exe Nazwa systemowa: MSDTC Domyślnie XP Home: Ręczny Domyślnie XP Pro: Ręczny Bezpiecznie: Ręczny Logowanie jako: NT AUTHORITY\NetworkService Od czego zależny: Remote Procedure Call, Security Accounts Manager Co zależy od niego: Message Queuing DNS Client (Klient DNS) Ustawia i cache'uje nazwy DNS oraz funkcje kontrolera domeny Active Directory. Wymagany dla IPSEC. Dla normalnego weryfikowania DNS niekonieczny ale wyłączenie usługi przeniesie punkt ciężkości w kierunku wzmożonego ruchu sieciowego. Jeśli usługa zostanie wyłączona a okaże się konieczna pojawią się następujące błędy: - Uruchomienie polecenia ipconfig /flushdns zwróci: Could not flush the DNS Resolver Cache: Function failed during execution / Nie można opróżnić pamięci podręcznej programu rozpoznawania nazw DNS: Niepowodzenie funkcji podczas jej wykonywania.. - Próba autoreperacji połączenia sieciowego (dostępne z Panelu sterowania) zwróci: Windows could not finish repairing the problem because the following action could not be completed: Clearing the DNS Cache. UWAGA: W przypadku korzystania z bardzo rozbudowanego pliku HOSTS z włączoną usługą Klienta DNS może nastąpić ostre spowolnienie systemu. Wyeliminowanie problemu to albo wyłączenie tej usługi albo zlikwidowanie modyfikowanego pliku HOSTS. Baza wiedzy MS / Tutorial powiązany: KB318803: Jak wyłączyć buforowanie DNS po stronie klienta w systemach Windows XP i Windows Server 2003 Plik HOSTS Proces: svchost.exe Nazwa systemowa: Dnscache Domyślnie XP Home: Automatyczny Domyślnie XP Pro: Automatyczny Bezpiecznie: Automatyczny Logowanie jako: NT AUTHORITY\NetworkService Od czego zależny: TCP/IP Protocol Driver Co zależy od niego: Nic Porty: TCP 53 Error Reporting Service (Usługa raportowania błędów) Umożliwia wysyłanie raportów o błędach.....do Microsoftu. Jest to niepotrzebne obciążenie pamięci i zasobów systemowych a ciągłe pytania o "wysyłanie raportu" wkurzające. Proces: svchost.exe Nazwa systemowa: ERSvc Domyślnie XP Home: Automatyczny Domyślnie XP Pro: Automatyczny Bezpiecznie: Wyłączony Logowanie jako: Lokalne konto systemowe Od czego zależny: Remote Procedure Call Co zależy od niego: Nic Porty: TCP 80 Event Log (Dziennik zdarzeń) Umożliwia logowanie komunikatów o błędach w Dzienniku zdarzeń (Start > Uruchom > eventvwr.msc). Bardzo pomocne by podpatrzyć w logu "niewidoczne" gołym okiem problemy produkowane przez system i programy. W zasadzie tej usługi i tak wyłączyć nie można i nie na darmo w services.msc w opisie usługi widnieje o tym wzmianka. Wymuszone wyłączenie owocuje efektami specjalnymi. Jeśli zostanie wyłączony Dziennik zdarzeń, ale zależna od niego Instrumentacja zarządzania Windows wcale, czas startowania komputera potwornie się wydłuży bo WMI będzie czekać w nieskończoność na start Dziennika. Samego zaś WMI nie należy w ogóle dotykać (patrz na dalszy opis). Zarówno dla normalnych operacji jak i w razie problemów najlepszym wyjściem jest to ustawić na Automatyczny. Proces: services.exe Nazwa systemowa: Eventlog Domyślnie XP Home: Automatyczny Domyślnie XP Pro: Automatyczny Bezpiecznie: Automatyczny Logowanie jako: Lokalne konto systemowe Od czego zależny: Nic Co zależy od niego: Windows Management Instrumentation, Simple Mail Transfer Protocol (SMTP), SNMP Service, SNMP Trap Service Porty: TCP 139 Fast User Switching Compatibility (Zgodność szybkiego przełączania użytkowników) Umożliwia szybką zmianę użytkownika bez konieczności zamykania aplikacji uruchomionej spod innego konta. Dostępne z poziomu Start > Log off (Wyloguj) > Switch User (Przełącz użytkownika): Będąc jedynym użytkownikiem komputera nie potrzebujesz tego wcale. Jeśli z komputera korzysta większa ilość użytkowników może być to przydatne. Wyłączenie usługi spowoduje iż chcąc dostać się na inne konto trzeba będzie się całkowicie wylogować. Przy czym uwaga: usługa ta ma szczególne "pamięciożerne" wymagania co jest logicznym następstwem pozostawiania pracujących aplikacji na danym koncie więc tyczą jej specjalne zasady: by funkcja działała musi być przynajmniej 120MB wolnej pamięci a ustawienia pliku pamięci wirtualnej pagefile.sys są liczone niestandardowo (czytaj: większy plik aniżeli w tej samej sytuacji systemowej ale bez Przełączania userów). Proces: svchost.exe Nazwa systemowa: FastUserSwitching Compatibility Domyślnie XP Home: Ręczny Domyślnie XP Pro: Ręczny Bezpiecznie: Ręczny Logowanie jako: Lokalne konto systemowe Od czego zależny: Terminal Services, Remote Procedure Call Co zależy od niego: Nic Help and Support (Pomoc i obsługa techniczna) Umożliwia działanie Pomocy i wsparcia technicznego, dostęp do dokumentów Microsoftu online lub offline. Stosowanie tego jest bardzo indywidualne (hehehe!). Jeśli ktoś z tego często korzysta (? Hehe!) to ustawia na Automatyczny lub Ręczny. Czyż nie lepiej jednak trzymać się z daleka od tej "pomocy"? Wyłączamy. Jedna uwaga: jeśli kiedykolwiek użyjesz Pomocy choć raz to usługa ta choć była wyłączona zmienia się z powrotem na Automatyczny. Proces: svchost.exe Nazwa systemowa: helpsvc Domyślnie XP Home: Automatyczny Domyślnie XP Pro: Automatyczny Bezpiecznie: Wyłączony Logowanie jako: Lokalne konto systemowe Od czego zależny: Remote Procedure Call Co zależy od niego: Nic Porty: TCP 80 Human Interface Device Access (Dostęp do urządzeń interfejsu HID) Zapewnia działanie urządzeń bazujących na HiD (Human Interface Devices) zwykle podpiętych na USB. Do typowych HID należą: kontrolery gier, skanery z przyciskami funkcyjnymi (fax, copy etc.), multimedialne klawiatury z dodatkowymi przyciskami funkcyjnymi (kontrolka dźwięku i odtwarzania), myszki z rozbudowanym układem przycisków. Więcej w Wiki. Najprostsza droga na zweryfikowanie "stanu posiadania" to uruchomienie Menedżera urządzeń i obejrzenie stosownego wykazu: Wyłączenie usługi spowoduje że urządzenia, ktore potrzebują tej usługi, utracą swe dodatkowe zdolności - buttony extra funkcji przestaną reagować. Można wyłączyć jeśli jest pewność iż taki typ urządzenia nie jest podłączony lub jest zaopatrzony we własne niezależne oprogramowanie. W razie problemów ze zdefiniowaniem możesz usługę wyłączyć by przetestować wyniki. Jeśli jedno z twoich urządzeń przestanie nagle w tajemniczych okolicznościach pracować poprawnie to przywróć tę usługę do trybu Automatyczny. Proces: svchost.exe Nazwa systemowa: HidServ Domyślnie XP Home: Wyłączony Domyślnie XP Pro: Wyłączony Bezpiecznie: Wyłączony Logowanie jako: Lokalne konto systemowe Od czego zależny: Remote Procedure Call Co zależy od niego: Nic IMAPI CD-Burning COM Service (Usługa COM nagrywania dysków CD IMAPI) Kontroluje wbudowane do XP nagrywanie płyt CD i powiązaną z tym funkcję "drag'n'drop" plików wprost z okien folderów do okna nagrywarki. Jeśli zostanie wyłączona niemożliwe będzie nagrywanie płyt CD za pomocą wbudowanego do XP nagrywania. Domyślnie startuje w trybie Ręcznym. I jest to jedna z nielicznych usług, która rzeczywiście włącza się / wyłącza pod wpływem działalności dodatkowego softu tylko wtedy gdy zajdzie taka potrzeba. Jeśli przy ustawieniu Ręcznym nadal będzie problem z wypalaniem płytek przestawić na Automatyczny. Jeśli posiadasz własny program do wypalania i nie korzystasz z oferty MS usługę tę można spokojnie wyłączyć. Notabene: zaobserwowano iż wyłączenie tej usługi szybciej inicjuje Nero. Proces: imapi.exe Nazwa systemowa: ImapiService Domyślnie XP Home: Ręczny Domyślnie XP Pro: Ręczny Bezpiecznie: Automatyczny Logowanie jako: Lokalne konto systemowe Od czego zależny: Nic Co zależy od niego: Nic Indexing Service (Usługa indeksowania) Zapewnia bardzo szybkie wyszukiwanie plików na dysku. Szczegółowo opisane w tutorialu Optymalizacja i odchudzanie Windows XP. Niestety jest to potwór pożerający ogromną ilość zasobów systemowych! Spokojnie można wyłączyć! W teorii ta usługa włącza się gdy komputer jest w fazie bezczynności ale zanotowano przypadki jej samoczynnego włączania nawet gdy system nie jest bezczynny i to w najmniej pożądanym momencie....np. w trakcie grania w gry......Jeśli twój komp nagle spowalnia i następuje charakterystyczne "mielenie dysku" to zwykle przyczyną tego jest właśnie działanie tej usługi. Problematyka ta dotyczy raczej partycji FAT aniżeli NTFS. Tę funkcję całkowicie usuwamy przez Dodaj / Usuń Programy >>> Komponenty Windows. Proces: cisvc.exe Nazwa systemowa: cisvce Domyślnie XP Home: Ręczny Domyślnie XP Pro: Ręczny Bezpiecznie: Wyłączony Logowanie jako: Lokalne konto systemowe Od czego zależny: Remote Procedure Call Co zależy od niego: Nic Porty: TCP 80 Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) (Zapora połączenia internetowego / Udostępnianie połączenia internetowego) Usługa ta odpowiada za działanie firewalla wbudowanego do XP oraz za możliwość podłączenia kilku komputerów do internetu za pomocą tylko 1 połączenia. Np. tworzysz swój domowy LAN złożony z 2 kompów (dla siebie i dla brata ... hehehe!). Twój komputer jest "serwerem" i łączy się bezpośrednio z internetem a ten drugi komputer jest podłączony do twojego i przez twojego kompa łączy się z internetem. Oczywiście jeśli używasz innych firewalli (np. Sygate, Zone Alarm), innnego softu do tworzenia "LANu domowego" to usługa ta jest zbędna. Proces: svchost.exe Nazwa systemowa: SharedAccess Domyślnie XP Home: Ręczny, XP SP2: Automatyczny Domyślnie XP Pro: Automatyczny Bezpiecznie: Automatyczny Logowanie jako: Lokalne konto systemowe Od czego zależny: Application Layer Gateway Service, Network Connections, Network Location Awareness (NLA), Remote Access Connection Manager Co zależy od niego: Nic Porty: TCP 53, 67 IPSEC Services (Usługi IPSEC) Umożliwia bezpieczną komunikację sieciową. W zależności od potrzeby dane przesyłane do i z kompa, mogą być szyfrowane. Kontroluje założenia ochrony IP - uruchamia sterownik ISAKMP/Oakley (IKE) oraz driver ochronny IP. Wymagana dla niektórych domen (Windows 2000) lub połączeń VPN i wtedy ustawiamy ją na Automatyczny. Zwykły przeciętny user XP tego nie potrzebuje. Wyłączamy. Proces: lsass.exe Nazwa systemowa: PolicyAgent Domyślnie XP Home: Automatyczny Domyślnie XP Pro: Automatyczny Bezpiecznie: Wyłączony Logowanie jako: Lokalne konto systemowe Od czego zależny: Remote Procedure Call, IPSEC driver, TCP/IP Protocol Driver Co zależy od niego: Nic Porty: TCP: 50 (ESP), 51 (AH) oraz UDP: 500 (ISAKMP) Logical Disk Manager (Menedżer dysków logicznych) Wykrywa i monitoruje podłączone dyski twarde a uzyskane informacje przesyła do drugiej z kompletu: Usługi administracyjnej Menedżera dysków logicznych. Wymagana dla obsługi dysków dynamicznych i jeśli zostanie wyłączona status i konfiguracja takich dysków będą wyświetlane nieadekwatnie. Odpowiada też za poprawne działanie konsoli dysków (Start > Uruchom > diskmgmt.msc). Na moim komputerze z XP SP2 po wyłączeniu tej usługi i próbie wywołania konsoli diskmgmt.msc otrzymałam błąd, który treściowo się nie wiąże bo plecie coś o zaporze Windows: Zapewniam iż wykonanie tego co poleca komunikat zmienia tylko rodzaj pojawiającego się błędu. Ktoś ma podobny problem? Proszę przestawić start usługi na Automatyczny. Ktoś kto ani nie pracuje z typem dysków dynamicznych ani nie korzysta z tej konsoli może próbować to wyłączyć choć bezpieczniejszym ustawieniem jest tryb Ręczny. Proces: svchost.exe Nazwa systemowa: dmserver Domyślnie XP Home: Ręczny Domyślnie XP Pro: Automatyczny Bezpiecznie: Ręczny Logowanie jako: Lokalne konto systemowe Od czego zależny: Remote Procedure Call, Plug and Play Co zależy od niego: Logical Disk Manager Administrative Service Logical Disk Manager Administrative Service (Usługa administracyjna Menedżera dysków logicznych) Patrz wyżej. Usługa ta startuje tylko wtedy gdy następują zmiany konfiguracyjne dla dysku / partycji oraz gdy zostaje wykryty nowo podpięty dysk. Proces: dmadmin.exe Nazwa systemowa: dmadmin Domyślnie XP Home: Ręczny Domyślnie XP Pro: Ręczny Bezpiecznie: Ręczny Logowanie jako: Lokalne konto systemowe Od czego zależny: Remote Procedure Call, Plug and Play, Logical Disk Manager Co zależy od niego: Nic Messenger (Posłaniec) W angielskiej wersji językowej Messenger co może być łatwo pomylone z innymi "Messengerami" (Windows Messengerem preinstalowanym z XP, MSN Messengerem, WinPopUp Windows 9x do wysyłania wiadomości w sieci, przeglądarką sieci Web, programem poczty elektronicznej). Typowo sieciowa usługa przesyłająca pomiędzy klientami a serwerami komunikaty net send i komunikaty wysyłane przez usługę alertowanie. Np. może służyć: - administratorom sieci do wysyłania alertów administracyjnych do użytkowników sieci - Windowsowi by poinformować, że zadanie drukowania zostało zakończone lub ostrzec, że odcięto zasilanie do komputera i komputer został przełączony na zasilacz awaryjny (UPS) itd. - innym programom np. antywirusowi do wysyłania powiadomień itd. W normalnych domowych warunkach zbędna i należy ją wyłączyć w ramach bezpieczeństwa. Usługę tę wykorzystują bowiem wirusy a skutkiem ubocznym jej działania jest tzw. SPAM Posłańca czyli wyskakujące okna tej usługi zawierające dziwne komunikaty i reklamy. Przykład takiego pop-upu: Można przetestować tę dziurę w zabezpieczeniach: Start > Run (Uruchom) > cmd i w linii komend wpisz net send 127.0.0.1 lol + ENTER Jeśli otrzymasz błąd The message alias could not be found on the network / Nie można odnaleźć aliasu komunikatu w sieci lokalnej jesteś bezpieczny. Jeśli wyskoczy komunikat z odpowiedzią "lol" to luka systemowa nie jest załatana. Bezbólowo można wyłączyć tę usługę i jej porty dzięki specjalizowanym narzędziom Windows Worms Doors Cleaner / Seconfig: Tutorial powiązany: Zabezpieczenia: Robaczywe ataki / Posłaniec XP SP2: Usługa domyślnie wyłączona. Proces: services.exe Nazwa systemowa: Messenger Domyślnie XP Home: Automatyczny Domyślnie XP Pro: Automatyczny Bezpiecznie: Wyłączony Logowanie jako: Lokalne konto systemowe Od czego zależny: Remote Procedure Call, Plug and Play, Workstation, NetBIOS Interface Co zależy od niego: Nic Porty: UDP: 135,137,138 oraz TCP: 135,139,445
  5. Lista usług systemowych STANDARDOWE USŁUGI SYSTEMOWE: Oto lista linków wg podziału alfabetycznego dla Windows ENG i PL: WINDOWS ENG: Alerter Application Layer Gateway Service Application Management Auto Updates Background Intelligent Transfer Service ClipBook COM+ Event System COM+ System Application Computer Browser Cryptographic Services DCOM Server Process Launcher DHCP Client Distributed Link Tracking Client Distributed Transaction Coordinator DNS Client Error Reporting Service Event Log Fast User Switching Compatibility Help and Support Human Interface Device Access IMAPI CD-Burning COM Service Indexing Service Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) IPSEC Services Logical Disk Manager Logical Disk Manager Administrative Service Messenger MS Software Shadow Copy Provider Net Logon NetMeeting Remote Desktop Sharing Network Connections Network DDE Network DDE DSDM Network Location Awareness (NLA) NT LM Security Support Provider Performance Logs and alerts Plug and Play Portable Media Serial Number Print Spooler Protected Storage QoS RSVP Remote Access Auto Connection Manager Remote Access Connection Manager Remote Desktop Help Session Manager Remote Procedure Call (RPC) Remote Procedure Call (RPC) Locator Remote Registry Removable Storage Routing and Remote Access Secondary Logon Security Accounts Manager Security Center Server Shell Hardware Detection Smart Card Smart Card Helper SSDP Discovery Service System Event Notification System Restore Service Task Scheduler TCP/IP NetBIOS Helper Telephony Telnet Terminal Services Themes Uninterruptible Power Supply Universal Plug and Play Device Host Upload Manager Volume Shadow Copy WebClient Windows Audio Windows Image Acquisition (WIA) Windows Installer Windows Management Instrumentation (WMI) Windows Management Instrumentation (WMI) Driver Extensions Windows Time Wireless Zero Configuration WMI Performance Adapter Workstation WINDOWS PL: Aktualizacje automatyczne Aplikacja systemowa modelu COM+ Bufor wydruku Centrum zabezpieczeń ClipBook DDE Sieci Distributed Transaction Coordinator Dostęp do urządzeń interfejsu HID DSDM DDE Sieci Dziennik zdarzeń Dziennik wydajności i alerty Harmonogram zadań Host Uniwersalnego urządzenia Plug and Play Instalator Windows Instrumentacja zarządzania Windows (WMI) Karta inteligentna Karta wydajności WMI Klient DHCP Klient DNS Klient sieci Web Klient śledzenia łączy rozproszonych Kompozycje Konfiguracja zerowej sieci bezprzewodowej Kopiowanie woluminów w tle Logowanie do sieci Logowanie pomocnicze Lokalizator usługi zdalnego wywoływania procedur (RPC) Magazyn chroniony Magazyn wymienny Menedżer autopołączenia rejestru zdalnego Menedżer dysków logicznych Menedżer kont zabezpieczeń Menedżer połączeń Usługi dostęp zdalny Menedżer przekazywania Menedżer sesji pomocy pulpitu zdalnego MS Software Shadow Copy Provider NetMeeting Remote Desktop Sharing Numer seryjny nośników przenośnych Plug and Play Pomoc i obsługa techniczna Połączenia sieciowe Pomocnik karty inteligentnej Pomocnik TCP/IP NetBIOS Posłaniec Program uruchamiający proces serwera DCOM Przeglądarka komputera QoS RSVP Rejestr zdalny Routing i dostęp zdalny Rozpoznawanie lokalizacji w sieci (NLA) Rozszerzenie sterownika Instrumentacji zarządzania Windows (WMI) Serwer Stacja robocza System zdarzeń COM+ Telefonia Telnet Urządzenie alarmowe Usługa administracyjna Menedżera dysków logicznych Usługa bramy warstwy aplikacji Usługa COM nagrywania dysków CD IMAPI Usługa Czas systemu Windows Usługa indeksowania Usługa inteligentnego transferu w tle Usługa NT LM Security Support Provider Usługa odnajdowania SSDP Usługa przywracania systemu Usługa raportowania błędów Usługi IPSEC Usługi kryptograficzne Usługi terminalowe Windows Audio Windows Image Acquisition (WIA) Wykrywanie sprzętu powłoki Zapora połączenia internetowego / Udostępnianie połączenia internetowego Zarządzanie aplikacjami Zasilacz awaryjny (UPS) Zawiadomienie o zdarzeniu systemowym Zdalne wywoływanie procedur (RPC) Zgodność szybkiego przełączania użytkowników USŁUGI SYSTEMOWE NIE INSTALOWANE DOMYŚLNIE: Fax Service FTP Publishing Service IIS Admin IPv6 Helper Service Message Queuing Message Queuing Triggers Peer Name Resolution Peer Networking Peer Networking Group Authentication Peer Networking Identity Manager RIP Listener Simple Mail Transport Protocol (SMTP) Simple TCP/IP Services SNMP Service SNMP Trap Service TCP/IP Printer Server World Wide Web Publishing Service USŁUGI WTÓRNE: Jeżeli zobaczysz coś co nie wymienione powyżej, to oznacza że zainstalował je jakiś inny program. Zwykle kolekcję usług poszerza instalacja: oprogramowania zabezpieczającego, sterowników producenta np. karty graficznej, drukarki, .... również malware (trojany / robaki / wirusy etc.). Możliwości jest nieskończenie wiele i nie sposób nawet zbudować adekwatną i kompletną listę. Dla zainteresowanych baza usług (identyfikator SRV w OTL / O23 w HijackThis) na stronach: Bleeping Computer Startup Database SystemLookup O23 list
  6. Optymalizacja usług Optymalizacji będziemy poddawać usługi "programowe" - te które widać w services.msc a nie sterowniki. Prekonfiguracja Windows włącza domyślnie dużo usług, konsekwencją czego jest pamięciożerność i zamulanie kompa. Wyłączenie zbędnych usług to właśnie nasza "optymalizacja". Najczęściej wystarczy zmienić typ uruchomienia z Automatycznego na Ręczny. Jest to pewna asekuracja bo gwarantuje czy to samoistne czy to sprowokowane jej włączenie zgodnie z potrzebą. Co do opcji Wyłączony to stosujemy z ostrożnością, bo nieprawidłowo wybrana usługa do tej akcji może spowodować kłopoty z uruchomieniem systemu, w następstwie jego uszkodzenie i niezbędną reinstalację. To zależy jeszcze od wagi usługi i jej powiązań z innymi. Nie mając więc 100% pewności co do danej usługi zalecane postępowanie asekuracyjne na Ręczny (lub rezygnacja ze zmiany ustawień). A więc które wyłączyć? Uniwersalnej odpowiedzi brak, gdyż wszystko zależy od konfiguracji komputera i zestawu usług, którymi dysponuje. Wiele usług jest typowo sieciowa i nie potrzebna na kompie domowym, o ile nie dokonano jakiejś extra konfiguracji w tym kierunku. W dalszej części tego wypracowanka jest lista z opisem usług i zaleceniami zbliżonymi do universum. Po wprowadzeniu nowych ustawień zresetuj komputer. Przeczekaj z pół minutki i ponownie przejdź do okna usług. Posortuj je według Statusu. Wszystkie usługi oznaczone jako Uruchomione zmień na Automatyczny, gdyż widać wyraźnie że system i tak je uruchamia. Jeśli po włączeniu/wyłączeniu usługi wystąpią problemy z uruchomieniem komputera, spróbuj startu do trybu awaryjnego by móc zmienić konfigurację raz jeszcze. Dzięki nowym ustawieniom zwolnisz część zasobów kompa - uzyskasz wiele wolnej pamięci, a i system będzie się szybciej ładował i wydajniej pracował. W zależności od konfigu systemu możesz zarobić 12-70MB RAM.
  7. Rejestr Wszystkie właściwości usług są zapisane oczywiście w rejestrze w kluczu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NazwaUsługi Klucz ten trzyma zarówno usługi "programowe" widzialne w konsoli services.msc jak i wszystkie sterowniki komputera. Nazwy usług są zapisane w postaci skróconej a nie wyświetlanej. Przykładowa zawartość klucza: Najbardziej interesującą nas opcją jest wartość Start, która jest po prostu Typem uruchomienia. Może przyjąć następujące kody liczbowe: Dla usług "programowych" są trzy stany typu startowego: 0x00000002 - Automatyczny 0x00000003 - Ręczny 0x00000004 - Wyłączony Dla usług typowo sterownikowych dochodzą jeszcze dwa dodatkowe: 0x00000000 - Boot 0x00000001 - System
  8. Zarządzanie usługami: Menedżer urządzeń Wspominam o tej możliwości tutaj gdyż niektóre z usług programowych, którymi możemy zarządzać z poziomu services.msc, w swoich zależnościach dysponują usługami czysto sterownikowymi, które można włączać / wyłączać tylko poprzez Menedżer Urządzeń lub rejestr, ew. linię komend. Przykładem są tu usługi wybitnie sieciowe w których zależnościach stoją takie komponenty jak: - AFD Networking Support Environment / Środowisko obsługi sieci AFD - NetBIOS over TCP/IP / NetBIOS przez TCP/IP - TCP/IP Protocol Driver / Sterownik protokołu TCP/IP - IPSEC driver / Sterownik IPSEC W przypadku problemów ze startem usługi programowej warto wiedzieć gdzie sprawdzać i modyfikować sterownikowe zależności, o ile ciągle jest dostęp do systemu (jeśli Windows nawet się nie uruchamia, wtedy jako wyjście zostaje wspomniana wcześniej Konsola odzyskiwania). Lecimy: Start > Run (Uruchom) > devmgmt.msc Nie interesują nas typowe urządzenia domyślnie pokazane. W zakładce Widok wybieramy opcję Show hidden devices / Pokaż ukryte urządzenia co wyświetli "zszarzoną" listę Non-Plug and Play Drivers / Sterowniki niezgodne z Plug and Play: Manipulacja na takich usługach odbywa się poprzez dwuklik na wybraną i przejście do zakładki Driver. Tam jest zlokalizowana informacja o nazwie usługi, statusie uruchomienia oraz możliwość przestawienia trybu startowego: Należy zauważyć iż ten typ usług ma większą liczbę typów startowych niż standardowe usługi programowe. Dodatkowe to Boot + System.
  9. Zarządzanie usługami: linia komend Preferowanym nazewnictwem linii komend jest wykorzystywanie nazw systemowych a nie wyświetlanych usług. Niektóre polecenia nie umieją nawet przeczytać nazwy wyświetlanej. CMD Windows POLECENIE TASKLIST /SVC Jest to polecenie poszerzające informacje widziane w Menedżerze zadań. Porównanie: w Menedżerze zadań widać tylko nazwę procesu (services.exe, svchost.exe......) bez wyszczególnienia jednak jakimi usługami on steruje, za to polecenie to pozwala na dokładne podejrzenie aktualnie uruchomionych usług i pokazanie z jakim procesem są powiązane. Ta komenda pokazuje usługi wg ich nazw systemowych a nie wyświetlanych więc proszę "przerobić lekcję". XP Home nie posiada tej komendy. Ale można ją "doinstalować". Pobierz z poniższego linka i umieść w folderze C:\WINDOWS\system32 a polecenie zadziała. Start > Run (Uruchom) > cmd i wpisz tasklist /svc C:\Windows\system32>tasklist /svc Nazwa obrazu_________________PID Usługi ========================= ====== ============================================= System Idle Process____________0 Brak System_________________________4 Brak smss.exe_____________________324 Brak csrss.exe____________________388 Brak winlogon.exe_________________412 Brak services.exe_________________456 Eventlog, PlugPlay lsass.exe____________________468 PolicyAgent, ProtectedStorage, SamSs svchost.exe__________________616 DcomLaunch, TermService svchost.exe__________________772 RpcSs svchost.exe__________________836 AudioSrv, CryptSvc, Dhcp, dmserver, ERSvc, _________________________________EventSystem, helpsvc, LanmanServer, _________________________________lanmanworkstation, Netman, Nla, RasMan, _________________________________Schedule, seclogon, SENS, SharedAccess, _________________________________ShellHWDetection, srservice, TapiSrv, _________________________________Themes, TrkWks, W32Time, winmgmt, wscsvc, _________________________________wuauserv, WZCSVC svchost.exe__________________928 Dnscache svchost.exe_________________1036 LmHosts, RemoteRegistry, SSDPSRV spoolsv.exe_________________1132 Spooler svchost.exe_________________1208 WebClient vmsrvc.exe__________________1252 1-vmsrvc unsecapp.exe________________1772 Brak wmiprvse.exe________________1828 Brak alg.exe_____________________1964 ALG csrss.exe____________________260 Brak winlogon.exe_________________352 Brak rdpclip.exe__________________708 Brak wscntfy.exe_________________1016 Brak explorer.exe________________2004 Brak vmusrvc.exe_________________2032 Brak ctfmon.exe__________________2028 Brak wuauclt.exe_________________1944 Brak cmd.exe_____________________3428 Brak tasklist.exe________________3412 Brak wmiprvse.exe________________3504 Brak C:\Windows\system32> Do podglądu innego komputera dopisujesz parametr /s po którym wpisujesz IP lub nazwę tegoż kompa. POLECENIE SC Jest to uzupełnienie dla konsoli services.msc o znacznie poszerzonym zestawie operacji. O ile w services.msc można usługi tylko wyłączać / włączać to za pomocą polecenia SC także je całkowicie kasować lub tworzyć nowe. Jest to narzędzie rozbudowane i bardzo przydatne dla profesjonalnych administratorów sieciowych, zwłaszcza iż można go zastosować zarówno na komputerach lokalnych jak i zdalnych. Cały opis zestawu poleceń SC na stronie Microsoftu. Ja tylko ustosunkuję się do tego co może zainteresować przeciętniaka. W komendzie można użyć tylko i wyłącznie nazwy systemowe usług, te wyświetlane nie są rozpoznawane. sc stop NazwaUsługi - Zatrzymuje usługę sc config NazwaUsługi start= disabled - Ustawia tryb startowy usługi na Wyłączony sc config NazwaUsługi start= demand - Ustawia tryb startowy usługi na Ręczny sc delete NazwaUsługi - Kasuje usługę z rejestru Przykład operacji na usłudze Urządzenie alarmowe (nazwa systemowa Alerter): C:\Windows\system32>sc config Alerter start= disabled [sC] ChangeServiceConfig SUCCESS C:\Windows\system32> Baza wiedzy Technet: Command-line reference A-Z POLECENIE NET To jeszcze jedno polecenie linii komend ale o bardzo zawężonym działaniu. O ile SC można wykorzystać też na komputerze zdalnym to NET tylko na kompie lokalnym. Zaś sam zestaw operacji skromny bo pozwala tylko na pauzowanie / zatrzymanie / ponowne uruchomienie usługi. W komendzie można użyć zarówno nazwy systemowe usług jak i wyświetlane (jeśli mają spacje trzeba zamknąć nazwy w cudzysłowiu). net start - Użyte bez parametrów spowoduje wyświetlenie listy aktualnie uruchomionych usług net start NazwaUsługi - Uruchamia wybraną usługę net stop NazwaUsługi - Zatrzymuje wybraną usługę Przykład operacji na usłudze Aktualizacji automatycznych: C:\Windows\system32>net stop "Aktualizacje automatyczne" Usługa Aktualizacje automatyczne jest właśnie zatrzymywana. Usługa Aktualizacje automatyczne została zatrzymana pomyślnie. C:\Windows\system32>net start "Aktualizacje automatyczne" Usługa Aktualizacje automatyczne jest właśnie uruchamiana. Pomyślnie uruchomiono usługę Aktualizacje automatyczne. C:\Windows\system32> Baza wiedzy Technet: Command-line reference A-Z Z punktu widzenia zwykłego użytkownika komendy SC lub NET mogą być podpięte pod tworzenie pliku batch grupowo wyłączającego / włączającego określone usługi. Konsola Odzyskiwania Jest to rozwiązanie głównie pod kątem ogromnych problemów startowych typu całkowicie blokujący rozruch sterownik. Polecenia dostępne w tym narzędziu to: listsvc - listowania wszystkich usług programowych i sterowników disable NazwaUsługi - Wyłączanie usługi / sterownika enable NazwaUsługi - Włączanie usługi / sterownika Tutorial: Opis startu do Konsoli Odzyskiwania
  10. Zarządzanie usługami: msconfig Msconfig pokazuje dokładnie ten sam zestaw usług co konsola services.msc, ale operacje są tu ograniczone jedynie do włączania / wyłączania usług, głównie w celach diagnostycznych. Przydatnym elementem, a nieobecnym w konsoli services.msc, jest sortowanie usług. Dzięki opcji Hide All Microsoft Services / Ukryj wszystkie usługi firmy Microsoft można w łatwy sposób się zorientować ile niestandardowych usług przybyło. Opcja ta jest także pomocna przy wdrażaniu tzw. "czystego rozruchu", czyli procedury testowej diagnozującej problemy startowe. Baza wiedzy MS: KB310353: Jak skonfigurować system Windows XP do uruchamiania w stanie "czystego rozruchu" Uwaga: W msconfig jest niebezpieczny przycisk Disable All / Wyłącz wszystkie. Jeśli nie zostaną ukryte usługi natywne Microsoftu i ta opcja zostanie zastosowana, może nastąpić totalna katastrofa, włącznie z brakiem rozruchu Windows. Wypływa to z faktu, iż msconfig jakimś cudem (podobnie jak Profil sprzętowy) ma możliwość "podcięcia gałęzi na której siedzi" i wyłączenia krytycznych usług (Zdalne wywoływanie procedur!). Z okna usług services.msc takiej możliwości nie ma i radzę wszystkim nierozgarniętym do wyłączania usług posługiwać się włanie konsolą a nie msconfigiem.
  11. Zarządzanie usługami: konsola usług services.msc Konsola usług services.msc grupuje usługi "programowe" a nie te czysto sterownikowe. Start > Run (Uruchom) > services.msc Po uruchomieniu konsoli zobaczysz aktualnie załadowane usługi z ich parametrami. W kilku kolumnach przelatujesz szybko okiem właściwości usług: Nazwa, Opis, Stan, Typ uruchomienia oraz Logowanie jako. Kolumna Stan informuje o aktualnym statusie danej usługi. Stan usługi możesz zmieniać z prawokliku na nazwę usługi. tzn. uruchomić ją (Start), zatrzymać (Stop), wstrzymać (Pause), ponowić po wstrzymaniu (Reasume) lub ponownie uruchomić (Restart). Najistotniejszą cechą jest tryb uruchomienia oraz nazwa konta, do którego usługa będzie się logowała podczas startu systemu. O tym wszystkim będzie jeszcze mowa. W zależności wyboru typu widoku Extended (Rozszerzony) czy Standard (Standardowy) zobaczysz lub nie tendencyjny i "zamotany" opisMS dołączony do każdej z usług. Ustawienia Z prawokliku na nazwę usługi wybierasz opcję Properties (Właściwości), w których możesz manipulować ustawieniami. Wszystkie ustawienia usług są globalne co znaczy że wszelkie zmiany wpłyną na wszystkie konta i wszystkich użytkowników komputera. Zmian z domyślnych ustawień należy dokonywać z głową bo można dorobić się uszkodzeń systemu. Dotyczy to przede wszystkim kombinacji z Typ uruchomienia oraz Logowanie jako. GENERAL / OGÓLNE Jak widać tu mamy takie ciekawostki jak: nazwa, opis, ścieżka do pliku wykonywalnego i typ uruchamiania. Można od razu zauważyć "subtelną" różnicę w nazewnictwie: - Pole Service Name / Nazwa usługi podaje właściwą nazwę wykorzystywaną przez system. I taka też firuruje w rejestrze oraz pojawia się po wywołaniu polecenia tasklist (patrz opis zarządzania usługami z linii komend). - Pole Display Name / Nazwa wyświetlana służy jedynie łatwiejszej identyfikacji przez użytkownika. Jest "dodatkiem" a nie meritum. Dla systemu najważniejsza jest ta powyższa. Np. nazwą wyświetlaną jest Automatic Updates / Aktualizacje automatyczne a nazwą systemową na to samo wuauserv. Najważniejszym ustawieniem jest Startup type / Typ uruchomienia. Każda z usług może być uruchamiana wg 3 schematów: Automatic / Automatyczny - Usługa jest uruchamiana automatycznie wraz ze startem systemu. Niektóre usługi muszą być tak włączane by system lub programy działały prawidłowo. Przykładem są tu znowu antywirki i firewalle. Zdarza się, że gdy usługa przestanie być potrzebna sama się automatycznie wyłącza. Niemniej jest to dość rzadkie. Manual / Ręczny - Usługa jest uruchamiana w zależności od potrzeby czy to na skutek działaniem użytkownika czy też systemu. Np. - Włączenie przez ciebie firewalla wbudowanego do XP. - Uruchomienie jakiegoś programu np. Jest takie ukryte narzędzie windy do chatowania. Po wpisaniu Start >>> Run (Uruchom) >>> winchat.exe automatycznie jest uruchamiana usługa serwis DDE sieci o czym zresztą informuje komunikat na ekranie. Disabled / Wyłączony - Usługa nie jest uruchomiona. Pewne usługi należy wyłączyć ze względów bezpieczeństwa. Niekiedy wyłączenie usługi generuje błędy w Dzienniku zdarzeń pomimo braku widocznych skutków ubocznych. Niektóre usługi ustawione na Wyłączony mogą stale narzekać i wtedy rozwiązaniem jest przestawienie na Ręczny. Start parameters ? Uruchamianie usługi z parametrami. Wpisz parametry i kliknij Start. To ustawienie nie jest stałym lecz jednorazowego użytku. Potem przywracane są ustawienia domyślne. O wyłączaniu/włączaniu usług będzie jeszcze mega post. LOGON / LOGOWANIE Log on as / Logowanie jako: W większosci przypadków ta zakładka nie powinna być modyfikowana! - Local system account / System lokalny - Wbudowane w system konto i najczęstszy typ logowania usług. Tego nie zmieniamy, bo może pojawić się błąd startu usługi i jej zatrzymanie. Dostępna jest tu też podopcja Allow service to interact with desktop / Zezwalaj usłudze na współdziałanie z pulpitem, która służy do bezpośredniej komunikacji zalogowanego użytkownika z usługą poprzez pulpit. - Niektóre usługi są uruchamiane z uprawnieniami NT AUTHORITY\LocalService (Usługa lokalna) lub NT AUTHORITY\NetworkService (Usługa sieciowa). - This acccount / To konto - Pozwala wybrać dowolne konto. W tym celu uaktywnij opcję i wprowadź nazwę oraz hasło użytkownika. W wyborze pomoże ci opcja Browse / Przeglądaj. Hardware profile / Profil sprzętowy: Małe porównanie: Profil użytkownika: czyli konto zawierające ustawienia związane z użytkownikiem, np. parametry myszy, tapetę pulpitu itp. Usługi są niezależne od profilu użytkownika. Profil sprzętowy: czyli zarządzanie obecnością sprzętu i usług podczas startu komputera. W obrębie danego profilu sprzętowego możemy włączać / wyłączać usługi. O tym jak utworzyć nowe profile sprzętowe i po co dowiesz się w dalszym specjalnym poście. RECOVERY / ODZYSKIWANIE Prawidłowe działanie usług jest podstawą kondycji systemu. W przypadku nastąpienia awarii usługi należy to skorygować określając, co ma zrobić system w przypadku pojawienia się błędu pierwszego, drugiego lub kolejnych błędów usługi. Take no action - Zlekceważenie awarii i niepodejmowanie żadnej akcji. Restart the service / Uruchom usługę ponownie - Ponowne uruchomienie usługi Run a program / Uruchom program - Uruchomienie wskazanego programu np. exe, skrypt lub batch, wykonującego specjalne procedury testowe itd.... Jeśli wybierzesz Uruchom program, to musisz podać jego nazwę i lokalizację. Opcjonalnie możesz wprowadzić parametry wywołania aplikacji lub skryptu. Restart the computer - Jeśli wybierzesz tą możliwość staną się dla ciebie dostępne dodatkowo Restart Computer Options / Opcje ponownego uruchamiania komputera. Ustawiasz tam po jakim czasie od wystąpienia błędu komp zrestartuje (domyślnie jest to 60 sekund....patrz Blaster....). Jest też możliwość wysłania komunikatu do użytkowników o ponownym uruchomieniu systemu co ma jedynie zastosowanie gdy komputer jest w jakiejś sieci. Prawidłowa reakcja systemu na awarię usługi jest istotna. Jak ją ustawić? Teoretycznie należy dobrać kolejność wg ciężkości czyli: restart usługi, uruchomienie programu, restart kompa. W praktyce dobranie reakcji jest ściśle uzależnione od znaczenia usługi. Np. najważniejsza z usług Zdalne wywoływanie procedur (RPC) powinna mieć ustawiony restart komputera. O tym zresztą będzie jeszcze mowa. A mało znaczące usługi mogą pozostać na Take no action. DEPENDENCIES / ZALEŻNOŚCI Jest to tylko i wyłącznie zakładka informacyjna i jej zawartości nie można modyfikować. Pokazuje ona wzajemne powiązania między usługami według 2 kategorii: - usługi, od których zależy dana usługa - usługi, które są od niej zależne Np. Od usługi Serwer jest zależna usługa Logowanie sieciowe i Przeglądarka komputerów. Znajomość zależności między usługami jest ważna gdyż ich startowanie jest powiązane ze sobą. Uruchamiając usługę, która zależy od innej w pierwszej kolejności należy uruchomić usługę od której jest ona zależna np. Logowanie sieciowe wymaga włączenia Serwer. Zatrzymanie, uruchomienie lub restart usługi ma wpływ na wszystkie usługi zależne. Restartując usługę od której zależy wiele innych otrzymasz pytanie czy mają zostać zrestartowane również i one np. restartując Serwer padnie pytanie o restart Logowania do sieci i Przeglądarki komputerów. Zatrzymanie, uruchomienie lub restart usługi, która nie ma usług zależnych nie nastręcza żadnych trudności np. restartując Przeglądarkę komputerów nie spotka cię żadna niespodzianka. Często te powiązania sa bardzo skomplikowane bo: 1usługa zależy od innej, która z kolei jest zależna od 5 następnych. "Sejwowanie" widoku konsoli Za każdym razem otwierając konsolę ma ona wygląd domyślny i pomimo, że sobie ustawisz Widok na swój ulubiony nie zostanie to zapamiętane. By "zasejwować" należy otworzyć konsolę w nietypowy sposób. 1. Z prawokliku na plik C:\WINDOWS\system32\services.msc wybierasz obecną tam opcję Author / Autor: 2. Otworzy się okno interfejsu konsoli. I sobie regulujesz w jakim rozmiarze chcesz by okno się otwierało i w jakim widoku (Standard czy Poszerzony). 3. W konsoli File / Plik >>> Save / Zapisz. Teraz za każdym razem otworzy się konsola w widoku, który pragniesz mieć na stałe. Co więcej możesz ustawić działanie konsoli tak, że za każdym razem zmieniając widok i opuszczając konsolę ona będzie się ciebie pytać czy zapisywać zmiany widoku. By do tego doprowadzić w konsoli otworzonej przez opcję Autor przejdź do zakładki: File >>> Options i wybierasz User mode - full access zamiast Limited. I odhaczasz opcję Do not save changes to this console. Alternatywne nakładki pserv.cpl, ServiceManager, Service Controller
  12. Wprowadzenie DEFINICJA: Usługa (serwis) to to typ aplikacji pracującej w tle, która wykonuje określone funkcje systemowe. Uruchamiana jest najczęściej na poziomie zbliżonym do sterowników. Jej praca jest powiązana z innymi programami i usługami. Jest niezależna od profilu użytkownika a więc jej włączenie nie wymaga logowania się do Windows. Usługi są charakterystycznym składnikiem "prawdziwych" 32 bitowych systemów a więc Windows NT/2000/XP/2003. Brak ich na wstecznikach Windows 9x/Me. TYPY USŁUG: 1. Usługi "programowe" które są grupą obejmującą trzy rodzaje: Usługi systemowe: Wykonują zadania związane z pracą systemu. Są natywnymi usługami Windowsa przychodzącymi wraz z jego instalacją. Przykład: Przeglądarka komputerów odpowiada za zbieranie i przechowywanie informacji o obecności komputerów w sieci. I te właśnie usługi zostaną szczegółowo opisane. Usługi programów: Wykonują zadania związane z pracą dodatkowych aplikacji. Przychodzą wraz z instalowanym programem. Przykład: antywirki i firewalle np. Norton AntiVirus Auto Protect Service jest odpowiedzialna za funkcję czuwania w tle by zapobiec instalacji wirów. Programy uruchomione jako usługi: Wskazany przez ciebie program uruchomiony jako usługa. Nieomal każdy program może pracować jak usługa. A jak to zrobić jest opisane w specjalnej części tego tematu. Zarządzanie 2 pierwszymi typami przeprowadzane jest w tle, bez twojego udziału za pomocą procesów services.exe i svchost.exe lub oddzielnych procesów każdej z usług. Typem trzecim sterujesz ty o ile masz uprawnienia Administratora. 2. Sterowniki .... to też usługi. Wprawdzie przekraczają omawianą tu definicję ale wspominam o tym bo wiele programów zajmujących się pokazywaniem usług na komputerze wylicza zarówno typowe usługi jak i sterowniki pod jedną zbiorczą nazwą "Usługi". Rejestr Windows też ma je zapisane razem.
  13. Copyright @picasso fixitpc.pl Powielanie tej pracy zabronione. Artykuł archiwalny, stworzony przeze mnie w latach 2003-2004 Optymalizacja usług w Windows XP Spis treści: Ogólnie o usługach i ich typach Zarządzanie usługami: konsola usług services.msc Zarządzanie usługami: narzędzie msconfig Zarządzanie usługami: linia komend Zarządzanie usługami: menedżer urządzeń Zarządzanie usługami: rejestr Optymalizacja usług Lista usług systemowych Szybka ściąga ustawień w tabelach i gotowe pliki Tworzenie multikonfiguracji usług za pomocą Profili sprzętowych Suplement: BlackViper Windows XP SP3 Service Configuration
  14. Budowa jest jasno nakreślona: w dziale na górze odbywać się będzie leczenie systemów, w dziale poniżej prewencja przed odwiedzeniem działu górnego (pytania o zabezpieczenia / konfigurację / dobór oprogramowania etc.). Dla użytkowników odwiedzających dział na górze aplikują się powieszone ogłoszenia specyfikujące w jaki sposób należy zbudować temat, oraz (już w środku działu) zestaw przyklejonych tematów z różnymi instrukcjami wspomagającymi medycynę systemową.
  15. Naprawianie Centrum zabezpieczeń OBJAWY Wchodząc w Panel sterowania przy próbie kliku na ikonkę Centrum można ujrzeć napis "Centrum zabezpieczeń jest obecnie niedostępne ponieważ usługa nie jest uruchomiona lub została zatrzymana" / "The security center is currently unavailable because the security center service has not started or was stopped". Niemniej próba uruchomienia usługi w services.msc zwróci informację "Nie można uruchomić usługi Centrum Zabezpieczeń na komputurze lokalnym" / "Could not start the Security Center service on Local Computer" z następującymi kodami liczbowymi do wyboru: Error 1083: Error 1083: The executable program that this service is configured to run in does not implement the service. Błąd 1083: Program wykonywalny w którym ta usługa (zgodnie z jej konfiguracją) ma być uruchomiona, nie implementuje usługi Error 123: Error 123: The filename, directory name, or volume label syntax is incorrect. Błąd 123: Nazwa katalogu lub składnika woluminu jest niepoprawna Error 2: Error 2: The system cannot find the file specified. Błąd 2: System nie może znaleźć określonego pliku Error 3: Error 3: The system cannot find the specified path Błąd 3: System nie może odnaleźć określonej ścieżki NAPRAWA 1. Gotowe narzędzie naprawiające Centrum Zabezpieczeń: Uruchomić i kliknąć Inspect and Fix: Otrzymamy komunikat po ukończeniu napraw: Resetujemy komputer by zmiany weszły w życie. 2. W przypadku gdy punkt 1 nie pomoże, odtwórz usługę Centrum. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Centrum zabezpieczeń" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\ 6d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="LocalSystem" "Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters] "ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\ 00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum] "0"="Root\\LEGACY_WSCSVC\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik Zresetuj system.
  16. picasso

    Archiwum narzędzi

    Przekierowania wyszukiwarki Firefox GooredFix Platforma: Windows XP, Vista, Windows 7 32-bit i 64-bit Obecnie program już niedostępny Narzędzie do usuwania infekcji implementowanej do Firefoxa, chrzczonej kryptonimem "goored" (od jednego z przekierowań). Hijacker charakteryzuje się przejęciem zachowań wyszukiwarek przeglądarki: Google, Yahoo, MSN, AOL i Ask. Wyniki wyszukiwania są przekierowywane przez dziwne strony. Zasada infekcji: jest montowana ukryta wtyczka Firefox (niewidoczna na liście wtyczek), która monitoruje pasek adresów pod kątem kluczowych typu "google" etc, a w następstwie ładuje zewnętrzny plik javascript do nagłówka każdej otwieranej strony wyszukiwarki. Następuje monitoring wyników wyszukiwania, które są podmieniane zupełnie innymi punktującymi do wyników szkodliwych. Znaki infekcji: alternatywne przeglądarki (IE / Opera etc.) nie cierpią na ten sam defekt, po starcie Firefox może się pojawić notyfikacja o zamontowaniu wtyczki, choć nic nie było ręcznie montowane. Podczas używania wyszukiwarek na pasku statusu są widoczne różne "dziwne" adresy np. v1.adwarefeed.com, clickfraudmanager, google.goored, goougly.com, zfsearch.com, msnooze.com.... Narzędzie może uruchamiać się na Windows 64-bit, ale potrafi usuwać infekcję tylko z 32-bitowej wersji Firefox. OBSŁUGA NARZĘDZIA: Przeglądarka Firefox musi być zamknięta podczas uruchamiania narzędzia. 1. Ściągnięty plik uruchamiamy przez dwuklik. Vista/7: wymagane potwierdzenie dialogu UAC. 2. Narzędzie poprosi o zatwierdzenie procesu. 3. Jeśli przeglądarka Firefox jest otwarta, zgłosi się komunikat ostrzeżeniowy. 4. Odbędzie się automatyczny skan i usuwanie. Zostanie wygenerowany na Pulpicie log GooredFix.txt i automatycznie otworzony w Notatniku, a także folder kopii zapasowych GooredFix Backups. Przykładowy log z czyszczenia: GooredFix by jpshortstuff (08.01.10.1) Log created at 16:14 on 31/01/2010 (Maria) Firefox version 3.6 (en-US) ========== GooredScan ========== Deleting HKEY_LOCAL_MACHINE\Software\Mozilla\Firefox\Extensions\\{69E5C477-62E1-4088-ACF0-B04F5AE0EA61} -> Success! Deleting C:\Documents and Settings\Maria\Local Settings\Application Data\{69E5C477-62E1-4088-ACF0-B04F5AE0EA61} -> Success! ========== GooredLog ========== C:\Program Files\Mozilla Firefox\extensions\ {972ce4c6-7e08-4474-a285-3208198ce6fd} [20:09 23/04/2005] {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} [02:51 27/01/2010] C:\Documents and Settings\Maria\Application Data\Mozilla\Firefox\Profiles\e3px1ji2.default\extensions\ {20a82645-c095-46ed-80e3-08825760534b} [17:55 27/09/2009] {403304EE-066A-4a2a-8F41-F12028480A0A} [02:55 27/01/2010] [HKEY_LOCAL_MACHINE\Software\Mozilla\Firefox\Extensions] "{20a82645-c095-46ed-80e3-08825760534b}"="c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\" [07:06 08/08/2009] "jqs@sun.com"="C:\Program Files\Java\jre6\lib\deploy\jqs\ff" [02:50 27/01/2010] -=E.O.F=- DEINSTALACJA NARZĘDZIA: Wystarczy skasować z Pulpitu wykonywalny narzędzia + katalog kopii zapasowych GooredFix Backups + log. Tylko tyle.
  17. picasso

    Archiwum narzędzi

    Stare narzędzia pomocnicze ESET ServicesRepair (program usunięty przez ESET) FixPolicies (martwy link oficjalny) Kaspersky CleanAutoRun (usunięty) Systemy skryptowe wbudowane w narzędzia TFC - Temp File Cleaner by OldTimer (stary, brak obsługi nowych systemów, skutki uboczne na Windows 10) Adware / paski narzędziowe AD_Remover (od wieków niedostępny, pierwowzór AdwCleaner) Avast Browser Cleanup (2016, narzędzie nieaktualizowane) Bitdefender Adware Removal Tool for PC (usunięty, obecnie usługa Premium) Junkware Removal Tool (JRT) (usunięty na korzyść AdwCleaner) Multi-Toolbar Remover (2010) Navilog1 (2011) Superfish Removal Tool (2015, do usuwania adware Superfish Inc. VisualDiscovery preintegrowanego na laptopach Lenovo!) Toolbar S&D (2008) Infekcje DNS Avira DNS Repair-Tool (stare narzędzie, usunięte ze strony domowej) RepairDNS (usunięty) Infekcje z mediów przenośnych Flash Disinfector (2008) Kaspersky RadminerFlashRestorer (2010, usunięty) Ransom - zablokowany Windows BitDefender Trojan.Ransom.IcePol Remover (2012) Dr.Web - wyszukiwarka kodów do odblokowania (link niedostępny) HitmanPro.Kickstart (usunięty, nie działa już poprawnie po najnowszych aktualizacjach MS) Trend Micro Ransomware Screen Unlocker Tool (usunięty) Ransom - zaszyfrowane pliki (stare warianty) Avira Ransom File Unlocker (2012/2013) DeBlock (2012) DeCrypt Cryptolocker (niedostępny) Emsisoft Decrypt_mblblock.exe (2013) Emsisoft Decrypter for CryptoDefense (2014) Emsisoft Decrypter for Harasom (2013) ESET Trustezeb.A Decryptor (2012) F-Secure Ransomcrypt Decryption Script (2012) IDTool (martwe narzędzie, zastąpione przez ID Ransomware) Locker Unlocker (2015, martwy link) Panda Ransomware Decrypt (niedostępny, obecnie przekierowanie na ogólny skaner Panda Cloud Cleaner) Petya Sector Extractor | Password Generator (niedostępny) Utilities for Virus.Win32.Gpcode.ak ZeroLocker Decryption Tool (2014) Inne narzędzia Bootkity - Infekcje w MBR aswMBR (2014, strona główna kieruje obecnie do pobierania Avast Free Antivirus, choć link bezpośredni nadal czynny) Bitdefender Bootkit Removal Tool (funkcjonalność wbudowana do Bitdefender Rootkit Remover) Bitdefender Rootkit Remover (narzędzie nierozwijane, jego funkcjonalność została zintegrowana w Rescue Mode) eSage Lab Bootkit Remover (narzędzie nierozwijane i usunięte, martwa strona) HelpAssistant/Mebroot check + HelpAssistant/Mebroot fix (2010, pobieranie nieczynne) Mebroot Fixtool (2008, usunięty) MBR rootkit detector (usunięty, zastąpiły go bardziej rozbudowane aswMBR i GMER, które również nie są już rozwijane) MBRCheck (nierozwijany, zastępują go bardziej rozbudowane aswMBR i GMER, które również nie są już rozwijane) Webroot Anti-Popureb Tool (2011) Rootkit TDSS/TDL/Olmarik - Klony MaxSS/SST/Olmasco Bitdefender Rootkit.MBR.TDSS Removal Tool (funkcjonalność wbudowana do Bitdefender Rootkit Remover) Bitdefender TDL4/Pihar/MAXSS Removal Tool (funkcjonalność wbudowana do Bitdefender Rootkit Remover) eSage Lab TDSS remover (narzędzie nierozwijane i usunięte, martwa strona) ESET OlmarikTDL4 / Olmasco Cleaner Norman TDSS Cleaner (2010, niedostępny - marka Norman przejęta przez AVG) Symantec Backdoor.Tidserv Removal Tool (2012) Rootkit Max++/ZeroAccess/Sirefef (zamknięty botnet) AVG Win32/ZeroAccess Remover (2013) BitDefender ZeroAccess Removal Tool (2012, niedostępny) ESET Sirfef Cleaner tool (2014) Panda Yorkyt.exe tool (niedostępny, zastąpiony przez ogólny Panda Cloud Cleaner) Trojan.Zeroaccess Removal Tool (2012) Webroot AntiZeroAccess (2011) Infekcja Bagle (historyczna) EliBagla FindyKill Zip_Scan Wirusy polimorficzne AVG Neshta Fix (2013) ESET Virlock Cleaner (2016) Ogólna lista szczepionek Rogue / fałszywe "antywirusy" ESET Rogue Application Remover (ERAR) (2012) Fake Antivirus (FakeAV) Removal Tool (narzędzie usunięte) FakeAV Remover (2013) FixIEDef (2011, martwa strona) RogueFix (martwa strona) SmitfraudFix (2009, zastąpił go MBAM) Inne historyczne narzędzia i starocie Avira PC Cleaner (usunięty) FortiClient Virus Cleaner (obecnie wersja standalone już niedostępna) G DATA CLEAN UP (usunięty, ale link bezpośredni nadal działa) GooredFix (2010, usunięty) HaxFix (2011, pod historyczną infekcję Goldun/Haxdoor) Kaspersky KatesKiller (2009, usunięty) Kenco (2010, usunięty) Lop S&D (2008) PragmaFix (2010, martwa strona) SDFix (2008, martwa strona) VundoFix (2008, martwa strona)
  18. Dlaczego na fixitpc.pl nie prosimy o "log z ComboFix" jako obowiązkowy Przyklejone zasady w "działach bezpieczeństwa" innych miejsc w internecie, czyli sławna prośba o "log z ComboFix + HijackThis": na innych portalach (z przyzwoitości przemilczę) wiszą nieprofesjonalne i chore zasady zagrażające użytkownikom, a polegające na podawaniu "loga z ComboFix" bez żadnych przygotowań ot tak na starcie w pierwszym poście z prośbą o pomoc. Użytkownicy czytają tamtejsze zasady nie wykazując zainteresowania albo podejrzeń czy na pewno to wszystko jest bezpieczne i optymalnie dobrane. Może zacznijmy od argumentu nie do zbicia, czyli tego co ma na ten temat do powiedzenia sam autor programu ComboFix (a nie osoba pośrednia): KLIK. Pisząc po polsku i zrozumiale dla przeciętnego użytkownika: Dlaczego nie Nie jest znana w ogóle sytuacja systemu, i nie ma pewności czy uruchomienie tego programu nie wyeksportuje systemu użytkownika do grobu, albo czy jest konieczne jego używanie. System musi być wstępnie sprawdzony w inny sposób. ComboFix to nie jest narzędzie do "tworzenia loga", tylko bardzo ingerencyjny program, który zgodnie z przyrostkiem w nazwie robi potężny "FIX" oraz modyfikuje system. Użytkownicy, którzy prawdopodobnie mają czysty system, są w paskudny sposób zmuszeni do przejścia przez ingerencyjną rundę skanującą, tylko po to by "wytworzyć log"?! To nigdy nie jest w pełni "tylko-do-odczytu", a w skutek nieszczęśliwego zbiegu okoliczności czy pecha może się zdarzyć, że zostanie nawet pogorszony stan dotychczas sprawnego Windows. Procedury ComboFix w szczególnych przypadkach mogą doprowadzić do uszkodzeń systemowych (błędne użycie programu, interakcja z określoną infekcją lub innym oprogramowaniem, nieprawidłowy restart komputera, błąd programowy etc...) Uruchamianie ComboFix musi zostać zatwierdzone przez osobę, która prowadzi pomoc dla danego użytkownika, a jest dostatecznie wykwalifikowana, by umieć ocenić sytuację. Osoba stosująca to narzędzie musi być pilotowana i poinformowana o środkach ostrożności Praca tego narzędzia musi zostać zweryfikowana przez wykwalifikowaną osobę, w celu interpretacji czy pewne obiekty zostały skasowane w sposób słuszny, lub czy jest konieczne podjęcie specjalnych kroków odzyskowych albo czyszczących. Do tworzenia logów mamy w rękawie kilka narzędzi nie modyfikujących wcale systemu a produkujących "zestaw podobny do ComboFix" Te przyklejone zasady na innych portalach bardzo zaszkodziły, bo zbagatelizowały moc programu i wytworzyły całkowicie błędne wrażenie, że ten proces jest zupełnie bezpieczny i "multi-funkcyjny". Konsekwencje Użytkownicy biorący ten program do ręki nie stosują się do "dialogów" programu i omijają procedury bezpieczeństwa (a jeśli nawet nie = to i tak nie wiedzą o co w tym chodzi), m.in. dlatego że albo brak takich wytycznych w obcych zasadach albo jest to umniejszone jakby było nieistotne, bo jak też można inaczej zrozumieć wykonanie obowiązkowego loga podkreślonego zasadami. Co drugi log ma znacznik "TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA". To jeszcze byłoby w porządku, gdyby użytkownik wiedział co to oznacza i posiadał wiedzę o alternatywie (płyta CD XP). Niestety, mam tu kilka całkiem niezłych przykładów działania na opak, tzn. na moje pytanie czy to celowe z ominięciem instalacji tego + czy jest w takim razie wiadome jak skorzystać z Konsoli padła odpowiedź negatywna ..... A nawet jeśli Konsola zostaje zainstalowana (przez bezrozumne klikanie "dalej"), to i tak użytkownik nie wie jak z niej skorzystać ... Poza tym, użytkownicy patrzą na proces chyba całkowicie bezmyślnie i nie interesują się co jest grane i np. po co do diaska działa tam w tle jakiś tajemniczy ERUNT tworzący kopię zapasową rejestru. Po co, skoro to przecież taki bezpieczny nieingerencyjny programik..... Wystąpiły dewiacje użytkowe polegające na nadużywaniu oraz stosowaniu tego programu niezgodnie z jego przeznaczeniem tzn. do kompletnych bzdur, bądź też interwencji nie mających żadnych ale to żadnych kwalifikacji na wszczynanie tak potężnego mechanizmu. ComboFix nie służy do: usuwania plików i wpisów które mogą zostać wyeliminowane na tysiąc innych lekkich sposobów (pliki REG / BAT / inne programy o mniejszym stopniu ingerencji), zarządzania autostartem, czyszczenia drobnych nieaktywnych resztek, usuwania obiektów nie zablokowanych niczym. Jest masa narzędzi w arsenale, które wykonują tę robotę i czynią to w lepszy sposób, bez szkody dla użytkownika, a także zapewniają większą kontrolę nad instrukcjami i pozwalają "ptaszkami" odkręcać zmiany. Bardzo mnie wkurzają tiki nerwowe różnych userów, którzy zaczynają widzieć jako solucję dla kogoś innego uruchomienie tego programu. Niezależnie od tego o czym napisał proszący o pomoc (np..... w dziale sprzętowym!!!!), pojawiają się niepożądane nonszalanckie prośby "daj log z ComboFix". Pardon. Moja rada: nie Tobie radzić w tej materii, bo nie jesteś tutaj moderatorem działu Malware i na naszym forum nie masz kwalifikacji uprawniającej Cię do zalecania tego programu (a i przypuszczalnie nawet nie umiesz ocenić pracy tego programu). Przeciętny użytkownik komputera też zaczyna w ten sam sposób myśleć. Skoro widzi program: linkowany na portalu oprogramowania, krzyczący z "zasad podawania logów", oraz obserwuje że jego koledzy oraz osoby rzekomo wykwalifikowane (kwalifikacja jest mitem, bo pada prośba o log z CF jako obowiązkowy do pokazania!) w analizie logów tak hojnie nim szastają i używają przy byle okazji, nabiera przekonania, że jest to cudowny środek na wszystkie bolączki i "gumka systemowa". Zaczyna go stosować w domu przy każdym pojawiającym się problemie, regularnie się tym "skanować", przenosić na pendrive / pieścić na dysku systemowym. Zanotowane przez mnie absurdy: "skanuję się regularnie ComboFixem" (sic!), "przeskanowałem się ComboFixem ale nic nie wykrył" (sic!), dobrze widoczne w logach ścieżki dostępu kierujące do folderów o niebudzących wątpliwości sformułowaniach "D:\Przydatne programiki\Do usuwania syfu\ComboFix.exe" (sic!), "czy jest sposób jak puścić ComboFix na multi-maszynach w sieci" (sic!). I wreszcie są i takie rzeczy jak tragiczne konsekwencje samowoli.... skutek śmiertelny, bo użyć program potrafił ale już uratować system po jego zastosowaniu nie bardzo. Szkodliwa popularyzacja narzędzia w linkowniach oprogramowania (zarówno polskich jak i zagranicznych). Jest to niezgodne ani z wolą autora, ani z gatunkiem programu. Ten program jest specyficznym narzędziem wewnętrznego użytku stosowanym tylko w określonych sytuacjach i na prośbę osób kwalifikowanych w miejscach ku temu przeznaczonych (forum dedykowane walce z malware). Upublicznianie tego w tak nachalny sposób łamie te zasady oraz prowadzi do szkód. Osoba linkująca ten program udawadnia, że nie rozumie jego budowy i przeznaczenia. Zaś osoby niedoświadczone widząc powszechny opis w kontekście linkowania, i to pozbawiony jakże ważnych elementów związanych z bezpieczeństwem użytkowym, czują się zachęcone do jego pobrania i stosowania we własnym zakresie. A to jest niedopuszczalne. To narzędzie nie jest skanerem typu CureIt czy Kaspersky Removal Tool. W moim dziale FREE Softu nie ma tego programu. Narzędzie staje się z jakiś powodów niedostępne, i już wszyscy są jak bez ręki. Zarówno "analizatorzy", jak i sami użytkownicy. Tak jakby tylko ComboFix istniał na świecie. A jest przecież tyle różnych metod wytwarzania raportów oraz usuwania. Jeśli osoba prowadząca pomoc nie umie rozwiązać zadania bez pomocy ComboFix, to znaczy że nie zna się na tyle, by móc udzielać pomocy. Jak postępujemy na fixitpc.pl Nasze zasady Obowiązkiem naszego działu Malware jest podawanie logów specyfikowanych ogłoszeniem. Ogłoszenie prosi o wykonanie logów z programów nieingerencyjnych takich jak FRST (a nie ComboFix!) oraz GMER. Log z HijackThis nie jest tu wymagany i pożądany, ponieważ wspomniane tu obowiązkowe logi są bardziej poszerzone, a równocześnie i tak mają jego emulację i znajdziecie tam "identyfikatory HijackThis" nieobecne w oryginale. Gmer jest po to, by zdiagnozować czy w systemie nie występuje jakiś rootkit, który albo może mieć niepożądany wpływ na ComboFix i inne specjalistyczne narzędzia, albo ma być za pomocą ComboFix usuwany. Dopiero po analizie owych logów + sprawdzeniu systemu pod kątem rootkitów, możemy decydować czy używać ComboFix, oraz w jaki sposób go wykorzystać. Istnieje wiele metod usuwania, w tym takie, które mają mniejsze pole rażenia, i to już nasza głowa w tym jak je dobrać. Użytkownik nie może wykazywać samowoli, skoro nawet nie potrafi sam siebie zdiagnozować! Jeśli jednak poprosimy o użycie ComboFix proszę też nie kręcić nosem i wykonać polecenia. Bo też i następne skutki uboczne ostrzeżeń tu omawianych: użytkownik zbyt wystraszony opowieścią w ogóle nie podejmie się zadania. Tak też nie może być. Jeśli prosimy (wiemy co robimy), jeśli zostaną zachowane środki bezpieczeństwa użytkowego, nie ma też co dostawać paranoji. By nie zarzucić nam niekonsekwencji: na bazie wyjątku, z pewnych istotnych powodów, na podstawie mojej własnej oceny sytuacji mogę poprosić o użycie tego narzędzia w pierwszej kolejności przed innymi, podkreślam: z istotnych powodów. By była też jasność: ja nie odmówię pomocy osobie, która zgłosi się z nieprawidłowym zestawem logów, ale osoba ta zostanie i tak skierowana do naszych zasad, i będzie musiała je przyczytać + wdrożyć. I nie otrzymujecie gorszej pomocy poprzez brak zastosowania ComboFix - wręcz przeciwnie. Proszę się przyznać, jeśli użyto ComboFix bez nadzoru. Nie zatajać tego przed nami w skutek "nastraszenia regulaminem", bo ukrycie wyników jego pracy może zaciemnić sytuację i nas wprowadzić w błąd. Wprawdzie potrafimy się zorientować po pewnych rzeczach, że był stosowany, ale nie zawsze. Jeśli już ktoś go użył, proszę załączyć log i się wyspowiadać. ***************************************** Odpowiedź na dwa pytania, na które wpadają użytkownicy w regularnych odstępach czasu lub insynuują te wątki: dlaczego brak tutaj informacji takich jak instrukcja analizy loga albo spis poleceń do skryptów. Analiza loga Wybaczcie, ale jeśli nie potraficie go przeczytać bez "instrukcji", to znaczy że nie znacie na tyle samego systemu, co jest podstawą dla analizy logów. Podanie instrukcji tego typu jest całkowicie zbędne, bo raz że za ten temat mają się brać tylko osoby dostatecznie wytrenowane / doświadczone, dwa że i tak nie ma tego po co robić. Raport z ComboFix jest przeformatowany w sposób nie budzący wątpliwości, i osoba która widziała rejestr + katalog systemowy z całkiem innych powodów niż "poinstruowanie przez kogoś" czyta z tego z zamkniętymi oczami. Jeśli pada pytanie o to jak to analizować, brak dostatecznej wiedzy o miejscach systemowych oraz prawidłowościach komponentów. Poza tym, gotowiec tworzy zespół indolencyjnych małp, które natrafiając na rzecz nieopisaną w tutorialu już nie potrafią zaradzić i rozkładają ręce, bo są przyssane do opisu i nie posiadają własnej wyobraźni. Brak opisów jak też to prowadzić ową "analizę ComboFix" ograniczy liczbę pseudoekspertów i pozwoli nam uniknąć repety z HijackThis. Do czego zmierzam, do tego narzędzia jest tutorial a skutki tego są następujące: użytkownik umie analizować log z HijackThis, ale jednocześnie nie potrafi zanalizować innych logów. Wniosek: nie potrafi nawet tego pierwszego, bo wszystkie logi pokazują te same miejsca w systemie, tylko ich formatowanie jest nieco inne. Po prostu kucie na pamięć bez zrozumienia i tyle. Spis poleceń Informacje te mają charakter niepubliczny z bardzo określonych powodów i nie są udostępniane od źródła. Wszelkie dostępne na Google "opisy" budowy CFScript to czysta inżynieria wsteczna na podstawie przesłanek pośrednich i domysłów, na dodatek przeprowadzona w sposób niekompletny i amatorski. Z mojego punktu widzenia najważniejszy powód, dla którego podawanie takich poleceń i istnienie mimetycznych "instrukcji" jest bardzo ale to bardzo niepożądane to zestawienie potężnego programu o właściwościach paralizatora systemu z następującymi modelami użytkowników: - Użytkownik, któremu się wydaje, że jest zaawansowany. Osoby niewykwalifikowane, nie umiejące wystarczająco dużo by prowadzić tak poważną pomoc, zaczynają jej udzielać - często obierając błędne metody. Takim skryptem można komuś załatwić system. Taki skrypt nie jest potrzebny do kosmetyki systemowej! - Użytkownik początkujący dostanie w ręce potężną broń samodestrukcji. Śmiem twierdzić, że z tego skorzysta. Po pierwsze już to widziałam na forum w dwóch wariantach: użytkownik bierze skrypt przeznaczony do cudzego (!) przypadku i próbuje go sobie ładować, użytkownik podejmuje nieudolną dezynfekcję ze skutkiem w usunięciu prawidłowych plików. Po drugie: zdesperowany user jest pozbawiony logiki działań, chce się pozbyć problemu, widzi że istnieje taki sposób, a przez formę jego podania bagatelizującą zagrożenie nabiera całkowicie błędnego wrażenia, że da radę to sam wykonać, .... z tragicznym skutkiem. To jest proste: jeśli użytkownik nie potrafi nawet zdefiniować infekcji i wykonać poprawnej analizy loga (patrz wyżej), to znaczy tym bardziej nie powinien w żadnym ale to żadnym wypadku tworzyć samodzielnie takich skryptów. W moim dziale Malware osoby uprawnione do konstruowania skryptów to są moderatorzy. Wielka prośba ... do wszelkich polskich forów bezpieczeństwa i portali oprogramowania o usunięcie: - ze swoich zasad działu prośby o obowiązkowy log z ComboFix (lub wątków sugerujących podawanie tego loga w startowej prośbie o pomoc) - ze swoich opisów stosowania ComboFix (i tak niepełne) instrukcje ręcznego produkowania skryptów - programu z linkowni i odniesień do "znakomitego skanera" Zdaję sobie sprawę, że to walenie w ścianę, i jeszcze na dodatek zapewne wzbudzi to uśmieszki politowania. Ale Wy zdajcie sobie sprawę jak to "profesjonalnie" wygląda, na co narażacie użytkowników, i że jest to wbrew autorowi programu ComboFix. .
  19. Skutki uboczne stosowania ComboFix Konsekwencje użycia: 1. Sieć: ComboFix podczas skanowania celowo wyłącza internet. Powinien go na samym końcu przed utworzeniem loga samoczynnie przywrócić. Niestety tak nie zawsze się dzieje i po operacji ComboFixa pada całkowicie sieć. Proszę nie panikować, tylko po prostu zresetować komputer. Jeśli to nie pomoże, wywołać ręczną naprawę połączenia: Jeśli ikonka sieciowa jest obecna w zasobniku, tam spożyć opcję. Jeśli ikonki brak, udać się do: Panel sterowania > Połączenia sieciowe > z prawokliku na wybrane wybrać opcję Reperacji (XP) lub Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > Diagnozuj i napraw (Vista) | Rozwiązywanie problemów (Windows 7) Jeśli jednak i to nie przywróci łączności, proszę zgłosić się na forum z logami wymaganymi naszym ogłoszeniem, podając detale i rodzaj połączenia sieciowego (telefoniczne / szerokopasmowe etc..). 2. Konsola Odzyskiwania: Skutkiem zamontowania (ważnej) Konsoli Odzyskiwania będzie pojawiające się przy każdym starcie komputera menu wyboru systemów. Menu to jest mało inwazyjne, zaplanowane z minimalnym czasem wyświetlania, a domyślną pozycją jest po staremu Windows XP (czyli i tak zostanie automatycznie załadowany). Jeśli komuś to przeszkadza, należy przeczytać poniżej linkowany tutorial w jaki sposób przeprowadza się deinstalację Konsoli Odzyskiwania z dysku. Na to składa się m.in. korekcja pliku BOOT.INI (poniżej jest zaznaczony na szaro fragment, który należy usunąć z pliku). Proszę się jednak zastanowić nad tym krokiem, bo ogólnie warto posiadać dodatkowe koło ratunkowe. BOOT.INI [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect Tutorial: Opis Konsoli Odzyskiwania 3. Autoodtwarzanie: Procedury ComboFix adresują infekcje rozprzestrzeniane via urządzenia przenośne USB (opis zlokalizowany w tutorialu poniżej), a w celu zabezpieczenia systemu są wprowadzane blokady Autoodtwarzania w rejestrze. Wynikową jest brak Autoodtwarzanie dysków, niezależnie od ich rodzaju (czyli np. płyta DVD z materiałem filmowym również nie wystartuje). Tutorial: Zabezpieczenia: Infekcje z pendrive / mediów przenośnych 4. Domyślna przeglądarka: ComboFix resetuje ustawienia domyślnej przeglądarki. Jeśli w systemie jako domyślną wybrano inną niż Internet Explorer, po ukończeniu pracy ComboFix następuje powrót do standardu Microsoftu i typowy objaw to zgłoszenie komunikatu podobnego do prezentowanego niżej podczas startu przeglądarki alternatywnej. Należy ręcznie ustawić z powrotem Firefox / Opera etc. jako domyślną z poziomu opcji konfiguracyjnych tych przeglądarek. 5. Modyfikowane Windows: "Rękodzieła domowe" przygotowane w sposób sztuczny charakteryzuje nie do końca normalny wygląd. ComboFix odnosi się zawsze do parametrów domyślnych Windows i nie bierze pod uwagę żadnych modyfikacji. Skutkiem uruchomienia procesu ComboFix na takich systemach może być usunięcie określonych plików systemowych, gdyż lokalizacje czy inne właściwości plików nie są zgodne z domyślnymi. To kolejny powód, dla którego stosowanie tego narzędzia powinno być ograniczone tylko do nadzoru osób obeznanych z jego działaniem.
  20. Kopie zapasowe Kopia rejestru: ComboFix przed rozpoczęciem swoich działań tworzy bardzo ważny zestaw kopii zapasowych: całościowy punkt Przywracania systemu oraz kopię rejestru za pośrednictwem programu ERUNT. Kopia rejestru zrobiona przez ERUNT ląduje w folderze C:\Windows\ERDNT\Hiv-backup: (Proszę przeczytać opis ERUNT, by zrozumieć w pełni co to za obiekty) Jak odzyskać rejestr? Zakładając, że coś się stanie i nastąpi fatalistyczny skutek usuwania infekcji / uszkodzenie plików rejestru (objaw: po uruchomieniu ComboFixa system już nie startuje), można przywrócić cały rejestr właśnie z folderu erdnt. Niestety to jest niemożliwe spod Windows (niestartującego). By móc wykorzystać kopię zapasową, należy: Windows Vista / Windows 7: 1. Należy zastartować do modułu Napraw komputer / Repair computer: Tutorial: Opis startu do środowiska WinRE i pobieranie gotowej płyty 2. Pojawi się menu wyboru: I tutaj są dwie możliwości, a preferowaną jest skorzystanie z tej pierwszej jako zdrowszej i kompletniejszej dla systemu: ----> Najprostsza to wybranie opcji Przywracania systemu / System Restore, korzystając z gotowego punktu Przywracania wytworzonego przez ComboFix przed rozpoczęciem jego działań dezynfekujących. ----> Druga możliwość to wybranie opcji Wiersz polecenia / Command Prompt i uruchomienie przywracania rejestru z kopii ERUNT. Polecenia rozkładają się na zmianę napędu na dysk systemowy, przejście do ścieżki kopii zapasowych, wywołanie wariantu EXE narzędzia: X:\SOURCES>C: C:\>CD C:\WINDOWS\ERDNT\HIV-BACKUP C:\WINDOWS\ERDNT\HIV-BACKUP>erdnt.exe Windows XP: 1. Zastartować do wspominanej już tutaj Konsoli Odzyskiwania. Tutorial: Opis startu do Konsoli Odzyskiwania i pobieranie gotowej płyty 2. W linii poleceń wpisać następujące komendy: C:\WINDOWS>CD ERDNT\HIV-BACKUP C:\WINDOWS\ERDNT\HIV-BACKUP>BATCH erdnt.con Kopie usuniętych obiektów: ComboFix, niezależnie w którym z trybów uruchomiony, tworzy własny folder kwarantanny C:\Qoobox\Quarantine: Jak przywrócić błędnie skasowany obiekt? O ile damy takie instrukcje: należy wejść do folderu C:\Qoobox\Quarantine. Będą tam dwa główne foldery, jeden trzymający pliki, drugi kopię kasowanych wpisów rejestru. Wszystkie pliki kasowane przez Combofixa dostają rozszerzenie *.vir, zaś wpisy rejestru *.dat. Należy usunąć to extra rozszerzenie. Pliki przywrócić do pierwotnej ścieżki. Wpisy rejestru zostaną przywrócone poprzez dwuklik na pliki *.reg.
  21. Pobieranie i uruchomienie właściwe programu Założeniem jest, że poprawnie wykonano opisywane powyżej kroki i wyeliminowano kolidujące oprogramowanie. Czyli: wyłączona ochrona rezydentna oprogramowania zabezpieczającego, odinstalowane oprogramowanie emulujące napędy. Instrukcja uruchomienia (automatyczne): 1. Narzędzie pobieramy z oficjalnego źródła tzn. BleepingComputer: Pobierz To jedyny autoryzowany link pobierania gwarantujący otrzymanie oryginalnej, poprawnej i aktualnej wersji programu. Proszę pod żadnym pozorem nie pobierać ComboFix z innych linków (istnieją sfałszowane serwisy pozorujące relacje), ani tym bardziej z torrentów (!) i Chomików. Jest także zabronione rehostowanie ComboFix na serwisach pośrednich i pokątne udostępnianie linków użytkownikom. Jeśli oficjalny link nie działa, są dla tego określone powody: narzędzie usunięto chwilowo ze względów bezpieczeństwa (krytyczny błąd operacyjny) lub jest infekcja blokująca pobieranie. Ponawiam: proszę nie szukać alternatywnych linków pobierania. To w gestii prowadzącego pomoc podanie odpowiednich instrukcji. Plik zapisujemy na Pulpicie. 2. Uruchamiamy przez dwuklik. Vista - Windows 8: wymagane potwierdzenie dialogu UAC. 3. Zgłosi się klauzula zrzeczenia gwarancji. Po jej potwierdzeniu program rozpakuje się na dysk twardy. Po chwili zastartuje niebieskie konsolowe okno programu. 4. Aktualizacja: ComboFix posiada moduł samoaktualizacji. Podczas uruchomienia sprawdza dostępność nowszych wersji, umożliwiając inicjowanie połączenia z serwerem i pobranie nowej kopii programu. Jeśli pojawi się komunikat poniższej treści, mimo możliwości pominięcia tego, należy wyrazić zgodę na aktualizację. Czasami pojawiają się całkowicie wymuszone aktualizacje, sygnowane jako "krytyczne", i jest to oczywista sprawa. Łączenie z serwerami programu ComboFix . . . ################################## 48,5% (Jeśli kopia, którą się posługujecie, jest przestarzała, ale nie będzie dostępna aktualizacja, narzędzie zaproponuje uruchomienie w "trybie zredukowanej funkcjonalności") 5. Detekcja osłon rezydentnych: Aplikacja wykonuje detekcję aktywnych osłon rezydentnych programów zabezpieczających, w celu eliminacji potencjalnych kolizji użytkowych. W przypadku obecności aktywnej ochrony dostaniemy komunikat z listą wykrytych programów. Należy się zastosować do prośby komunikatu i wyłączyć ochronę. Jeśli to nie nastąpi, zatwierdzenie jest już prowadzone na własne ryzyko. (Jeśli jest pewność, że w systemie nie ma zainstalowanego programu, a mimo to nadal są widoczne komunikaty o aktywnej ochronie, należy spojrzeć do spoilera) 6. Kopie bezpieczeństwa: ComboFix rozpocznie swoje działanie. Wstępem jest generowanie kopii bezpieczeństwa: próba utworzenia punktu Przywracania Systemu oraz kompleksowa kopia zapasowa rejestru zrzucona przy udziale zintegrowanego narzędzia ERUNT. Są to bardzo istotne kroki umożliwiające odzyskanie systemu w przypadku niepowodzenia jego startu po nieudanej dezynfekcji lub w wyniku innych niefortunnych okoliczności. Przypominam co musicie wiedzieć: --------> Przywracanie systemu --------> Przywracanie systemu Proszę czekać. ComboFix rozpoczyna działanie. Próba utworzenia nowego punktu Przywracania Systemu 7. Konsola Odzyskiwania Windows XP (nie dotyczy systemów Windows Vista i Windows 7): ComboFix przeprowadza sprawdzanie na okoliczność jej obecności na dysku twardym. Brak tego mechanizmu jest notowany przez komunikat o treści: Proszę czekać. ComboFix rozpoczyna działanie. Próba utworzenia nowego punktu Przywracania Systemu Co odpowiedzieć i z czym to jest związane: Tak - Zatwierdzenie instalacji Konsoli Krok ten ogólnie jest silnie zalecany, a zwłaszcza musowy gdy: brak jakiejkolwiek płyty CD (i możliwości jej wytworzenia) dającej dostęp do Konsoli Odzyskiwania brak przeszkód ze strony samego systemu, by coś pobrać i zainstalować jesteś początkujący, nie wiesz za dużo o systemie, przeraża Cię jego reinstalacja Proces wynikający z zatwierdzenia jest opisany w spoilerze. Nie - Ominięcie instalacji Konsoli Sytuacje, w których można pominąć ten krok: posiadanie płyty dającej dostęp do Konsoli: instalacyjna CD XP (ale nie w wersji Recovery dołączanej do laptopów!) lub utworzona z mojego obrazu Konsola(fixitpc.pl).iso ciężkie warunki systemowe uniemożliwiające pobranie czegokolwiek na dysk przy aktywnym połączeniu sieciowym albo też zupełny brak sieci w wyniku ingerencji infekcji jesteś zaawansowanym użytkownikiem i wiesz o systemie dostatecznie dużo, by móc go postawić do życia niestandardowymi metodami 8. Skanowanie: Rozpoczyna się właściwa procedura skanująca. W tym momencie ComboFix rozłącza internet i jest to normalne. ComboFix będzie przywracał łączność w późniejszej fazie (jeśli to nie nastąpi = patrz sekcja Skutki uboczne). Teoretycznie skan zajmuje do 10 minut, ale mocno zainfekowane komputery mogą mieć skan trwający o wieeeele dłużej. Skanowanie w poszukiwaniu zainfekowanych plików . . . Zwykle operacja ta nie zajmuje więcej niż 10 minut W przypadku mocno zainfekowanych komputerów czas skanowania może się nieznacznie przedłużyć Skan jest kilkuetapowy, co obrazują znaczniki "Etap_Numer". Aktualnie faz jest około 50 (liczba ta zmienia się wraz z aktualizacjami narzędzia) i wszystko przeczekać cierpliwie: Ukończono etap_1 Ukończono etap_2 Ukończono etap_3 .... Ukończono etap_23 Ukończono etap_24 Ukończono etap_25 Ukończono etap_26 Ukończono etap_27 Ukończono etap_28 Ukończono etap_29 Ukończono etap_30 Ukończono etap_31 ... Jeżeli usuwane obiekty będą wymagały restartu komputera, ComboFix poprosi o to: Ponowne uruchamianie systemu Windows ... Proszę czekać Proszę zezwolić programowi ComboFix na ponowne uruchomienie komputera. (Po restarcie systemu znów będzie zgłaszana detekcja ochrony tłowej, w razie konieczności proszę postąpić tak samo jak na początku) 9. Raport: Finałowo ComboFix oznajmi, że przygotowuje log: Przygotowywanie wyniku skanowania. Nie uruchamiaj żadnych programów, dopóki ComboFix nie zakończy swojego działania To może dość długo potrwać i czekać cierpliwie, nie uruchamiać żadnych programów. Może na chwilę zniknąć Pulpit (= ComboFix resetuje powłokę explorer.exe). Na końcu pojawi się ostatni komunikat z "prawie gotowe", podający też, gdzie będzie umieszczony plik loga: Prawie skończono . . To okno wkrótce się zamknie Proszę poczekać kilka sekund na pokazanie się wyników skanowania Log wygenerowany przez program ComboFix znajdziesz w C:\COMBOFIX.TXT Po pomyślnym ukończeniu pracy ComboFix jego okno samoczynnie się zamyka. Zostanie automatycznie otworzony Notatnik z logiem, którego zawartość należy przekleić na forum. Log jest zlokalizowany na dysku w postaci pliku C:\ComboFix.txt. Jeśli ComboFix będzie uruchamiany więcej niż raz, pliki logów się rozmnożą i będą odpowiednio ponumerowane. Instrukcja uruchomienia (zaawansowane): Na forum na podstawie logów tworzymy specjalne instrukcje usuwające w postaci skryptów do ComboFixa. Skrypty te będą zawierały komendy kasacji obiektów. Takie skrypty zostaną podane konkretnemu użytkownikowi indywidualnie. Są to skrypty unikatowe tworzone pod konkretny przypadek i proszę pod żadnym pozorem nie próbować ich w ciemno wykorzystywać! Proszę nie uruchamiać skryptów przeznaczonych do cudzych przypadków, pomimo zbieżności objawów! Proszę nie próbować samemu robić skryptów na podstawie "podpatrzenia" w cudzym poście! Jeśli o to poprosimy, należy otworzyć Notatnik (żaden inny procesor tekstu, ComboFix jest niekompatybilny z resztą) i w Notatniku wkleić co podamy. Plik zapisać pod nazwą CFScript.txt. Ten plik ma zostać przeciągnięty i upuszczony na ikonę ComboFixa, dokładnie jak na obrazku: To uruchomi ComboFix w specjalny sposób, to znaczy będzie poinstruowany, by wykonać usuwanie / modyfikacje przez nas zaplanowane. Jednakże wygląd operacji z poziomu użytkownika wygląda tak samo jak podczas normalnego uruchamiania ComboFix z dwukliku. Czyli będzie przechodzenie przez całą wyżej opisaną procedurę. Log robi się też w taki sam sposób. Deinstalacja narzędzia: ComboFix posiada swój własny przełącznik /uninstall prowadzący usuwanie narzędzia z systemu. Jest to jedyny w pełni prawidłowy sposób usuwania programu. Niech się nikomu nie wydaje, że skasowanie pliku ComboFix.exe, katalogu Qoobox i plików log to jest odpowiednik na ten mechanizm.
  22. Obowiązkowe przygotowania przed uruchomieniem Kolidujące oprogramowanie: Uruchamianie programu jest obwarowane licznymi zasadami antykolizyjnymi. Oprogramowanie zabezpieczające: ComboFix ze względu na swoją naturę i skład specjalistycznych narzędzi może być obiektem zainteresowań programów antywirusowych, które błędnie ocenią zjawisko kasując z ComboFix jego składniki już podczas pobierania narzędzia na dysk. Kolejnym dysonansem może być zetknięcie się samej procedury ComboFix z pracującą tłowo ochroną, z konsekwencją zaburzeń działania czy uszkodzeń systemowych. Proszę przed pobraniem i uruchomieniem ComboFix wyłączyć wszystkie programy ochronne (antywirus / firewall ...). Emulatory napędów (Alcohol / DAEMON Tools etc.) Sterowniki wirtualnych napędów działają według technik rootkit-podobnych. Ten typ wchodzi w konflikt, zarówno na płaszczyźnie działania ComboFix, jak i usuwania potencjalnej infekcji. Programy tego typu powinny zostać całkowicie odinstalowane przed uruchomieniem ComboFix. Obowiązkowe kroki do wykonania opisane w wątku: Oprogramowanie emulujące napędy Mechanizmy ratunkowe: Przed uruchomieniem ComboFix należy zaopatrzyć się w Konsolę Odzyskiwania / Dysk Odzyskiwania, ponieważ skutki uruchomienia ComboFix są nieprzewidywalne i może pojawić się sytuacja, że system już się nie uruchomi. Niedoświadczony użytkownik nie poradzi sobie sam i prawdopodobnie skończy się na reinstalacji Windows. Proszę dokładnie przeczytać w linkach jak się nimi posługiwać, oraz wątek przywracania z kopii zapasowych utworzonych przez ComboFix. Windows Vista / Windows 7: --------> Opis startu do Środowiska Odzyskiwania (WinRE) Moduł Napraw komputer / Repair computer jest dostępny z poziomu pełnego DVD instalacyjnego Windows Vista / Windows 7. Dodatkowo na Windows 7 jest wbudowany lokalnie i dostępny z menu startowego wywołanego klawiszem F8, a na zasadzie wyjątku można to spotkać także w Vista (znanym mi producentem jest Dell). Posiadając taki typ DVD lub opcję w menu F8 wystarczy tylko przeczytać linkowany opis jak z tego skorzystać w omawianym tu kontekście. Proszę przeczytać w jaki sposób skorzystać z modułu "Napraw komputer", by przywrócić system w razie katastrofy po użyciu ComboFix: --------> Przywracanie systemu Windows XP: --------> Opis i użytkowanie Konsoli Odzyskiwania Konsola Odzyskiwania jest dostępna według dwóch metod: z poziomu instalacyjnej CD Windows XP lub jako instalacja ręczna na dysku twardym. Jeśli posiadacie płytkę Windows, poniższe kroki nie są konieczne. Jeśli natomiast płytki nie ma (zwłaszcza laptopy = Recovery CD nie ma Konsoli!), skorzystajcie z jednego z tych sposobów do wyboru. 1. SAMOSTARTUJĄCA CD: Udostępniam minimalistyczną płytę (~7MB) mojego autorstwa, zawierającą tylko Konsolę Odzyskiwania. Płytka została wytworzona z oferowanych przez Microsoft dysków rozruchowych w wersji XP SP2 PL. Jej wersja jest nieistotna, w sensie że niezależnie od stanu Service packa Waszego zainstalowanego systemu i tak będzie działać / wykona zadania. Czyli mając XP bez SP lub XP SP3 proszę się "nie zastanawiać" czy pójdzie. Powinna bootować bez problemu. Należy ściągnąć obraz ISO i wypalić na CD za pomocą Active ISO Burner. To będzie ratunkowa płytka, z której wchodzi się do Konsoli. Pobierz Proszę przeczytać w jaki sposób skorzystać z tej płyty, by przywrócić system w razie katastrofy po użyciu ComboFix: --------> Przywracanie systemu 2. MONTAŻ KONSOLI NA DYSKU: ComboFix ma wbudowane montowanie konsoli na dysku. Można wywołać to na dwa różne sposoby: Automatyczne zainstalowanie Konsoli Odzyskiwania. Podczas normalnego uruchomienia ComboFix, program przeprowadza detekcję, czy na dysku jest już zainstalowana Konsola. Zgłasza jej brak i pozwala poprzez stosowanie się do dialogów jej automatyczne zainstalowanie. Patrz na opis zlokalizowany w następnym poście jak ten proces wygląda. Ręczne zainstalowanie Konsoli Odzyskiwania, poprzez poinstruowanie ComboFix jeszcze przed jego normalnym uruchomieniem. Instrukcja ta w większości przypadków nie jest konieczna do wdrożenia. Opis w spoilerze, by nie zakłócał odbioru całości przekazu. Proszę przeczytać w jaki sposób można przywrócić system w razie katastrofy po użyciu ComboFix: --------> Przywracanie systemu
  23. The Avenger Strona domowa Platforma: Windows 2000/XP/Vista 32-bit (x86) Licencja: freeware do zastosowań niekomercyjnych The Avenger - Narzędzie sterownikowe trybu kernel, dedykowane usuwaniu szczególnie opornych obiektów malware i rootkitów. Umożliwia szeroką pulę operacji zarówno na obiektach dyskowych jak i w rejestrze: kasowanie / podmiana plików, folderów, wartości oraz kluczy w rejestrze. Akcje te są wykonywane podczas resetowania komputera. Pomimo datowania programu na rok 2008 narzędzie jest nadal aktualne i używane na wspieranych platformach do usuwania infekcji. Avenger jest programem skryptowym i do prowadzenia akcji wymaga wskazania pliku skryptu "TXT" z zestawem specyficznych komend. Za produkcję takich skryptów w oparciu o przedstawiane logi systemowe odpowiadają tutaj na forum Moderatorzy działu Malware. Narzędzie jest niskopoziomowe i wykonuje silne instrukcje, dlatego nie powinno być stosowane całkowicie bezmyślnie przez użytkowników początkujących lub pseudo ekspertów do likwidowania plików czy wpisów rejestru, które nie wymagają wszczynania tak silnej procedury. To narzędzie w polskim klimacie dotknęła podobna choroba jak narzędzie ComboFix, zaczęto go używać do bzdur oraz absurdalnych zadań! Nieprawidłowe użycie programu grozi odcięciem dostępu do Windows i uszkodzeniami. PODSTAWOWA OBSŁUGA PROGRAMU / OPIS OPCJI: Uruchomienie programu podaje wstępny komunikat ostrzeżeniowy o braku 100% bezpieczeństwa stosowania: Po zatwierdzeniu komunikatu załaduje się główne okno programu: Opcje ładowania skryptu są trzy: Load Script from File... - Wskazanie pliku skryptu (*.TXT) z dysku. Load Script from Internet URL... - Wskazanie pliku skryptu (*.TXT) na serwerze. Wpisujemy URL (adres musi mieć prefiks http://). Paste Script from Clipboard - Wklejenie ze schowka systemowego komend podanych na forum. Te wszystkie opcje są dostępne też z menu Load Script: 1. Rzeczą podstawową jest wskazanie skryptu wykonującego zadania dezynfekcyjne. Skąd wziąźć skrypt? Każdy na forum go dostanie na podstawie przedstawionych logów. Po otrzymaniu takiego należy opcją kontekstową tła programu Paste przekleić go z posta na forum do okna. 2. Po wskazaniu skryptu (obojętną z wybranych metod) należy go uruchomić poprzez wybór opcji Execute. Pojawi się pytanie "czy na pewno chcecie tego dokonać" .... co zatwierdzacie. To właśnie w tym momencie Avenger tworzy swoją losową usługę i plik *.bat. 3. Otrzymacie kolejne okno potwierdzające ustawienie Avengera na resetowanie komputera z pytaniem o zatwierdzenie resetu ... co potwierdzacie a komputer się zresetuje. 4. W trakcie procesu resetowania zostaną wykonane wszelkie zadania kasacyjne zaprojektowane do wykonania w Avengerze. Na chwilę mignie czarne dosowe okno będące znakiem wykonywania się pliku *.bat. 5. Zostanie wygenerowany i auto-wyświetlony log przebiegu całości operacji. Zlokalizowany na dysku w postaci pliku C:\Avenger.txt. Log ten należy pokazać na forum. Przykładowy log: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows Vista ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File move operation "C:\atapi.sys|C:\Windows\System32\drivers\atapi.sys" completed successfully. Completed script processing. ******************* Finished! Terminate. Kasowane obiekty zostaną automatycznie zbackupowane przez plik zip.exe do pliku C:\Avenger\backup.zip. Tych kopii należy się po dezynfekcji pozbyć, jeśli zostanie stwierdzone że można to uczynić. EKSPERT - BUDOWA SKRYPTÓW: Szczegółowy opis jest zlokalizowany na stronie domowej programu w ustępie: Script Tutorial
  24. Systemy skryptowe wbudowane w narzędzia: Avenger BlitzBlank Catchme AVZ Antiviral Toolkit / AVZ Help File Kaspersky Virus Removal Tool 2011 Zostaną tu podane tylko i wyłącznie informacje publiczne, które mogą być udostępnione. Temat będzie miał także dysproporcję, tzn. ekspozycję instrukcji dla użytkownika oczekującego pomocy, lecz nie instrukcji eksperckich. Copyright @picasso fixitpc.pl Powielanie tej pracy zabronione.
  25. Copyright @picasso fixitpc.pl Powielanie tej pracy zabronione. START W TRYBIE AWARYJNYM (Safe Mode): Metody startu do trybu awaryjnego: 1. Przez klawisz F8 (lub F5): W momencie kiedy komputer startuje, w fazie czarnego ekranu tupiemy nieustannie i szybko w klawisz F8. Na starszych komputerach może być przypisany inny klawisz. Np. jeśli komuś po wciśnięciu F8 wyskoczy wybór urządzenia bootującego, to znaczy, że u niego klawiszem dzięki, któremu przechodzi się w tryb awaryjny prawdopodobnie jest F5. Strzelanie w klawisz ma się odbyć we właściwym momencie: na czarnym ekranie, ale nie za wcześnie (inaczej wystąpi błąd klawiatury) i nie za późno (inaczej załaduje się Windows w trybie Normalnym). Adnotacja dla klawiatur "programowanych" przez producentów - jeżeli klawisze funkcyjne mają podwójne oznakowania, realizują główną funkcję + alternatywną zaprogramowaną przez producenta. Za przełączanie zachowania odpowiada klawisz F-lock, i musi on być zapalony, by klawisz F8 działał w pożądany sposób. W takiej sytuacji należy przy starcie komputera szybko wywołać ten klawisz, a następnie F8. 2. Przez narzędzie systemowe MSCONFIG. Patrz niżej na różnice w jego użyciu pomiędzy Windowsami. Ta metoda może się nie powieść, jeśli w systemie jest infekcja blokująca narzędzie msconfig. Poza tym bardzo istotna uwaga: Uwaga: Jeśli nie startuje awaryjny metodą F8, a jest podejrzenie infekcji, jest mocno niewskazane próbować startować do awaryjnego przez msconfig. Przy rootkitach kasujących w całości tryb awaryjny ma to krytyczne skutki w niemożności wejścia w ogóle do Windows! Tutorial: Rekonstrukcja uszkodzonego trybu awaryjnego Windows 7: 1. Metoda przez klawisz F8. Po wybraniu metody przez F8 pojawi się menu startowe Advanced Boot Options / Zaawansowane opcje rozruchu. Artykuł Microsoftu: Zaawansowane opcje uruchamiania (w tym tryb awaryjny) Domyślnie podświetloną pozycją jest Repair Your Computer / Napraw komputer. Przy pomocy strzałki z klawiatury zaznaczamy odpowiednią pozycję i ENTER: Pojawi się ekran ładowania plików trybu awaryjnego: W dalszej kolejności na użytkownika oczekuje ekran logowania i wreszcie Pulpit trybu awaryjnego, na którym automatycznie otwiera się pomoc systemu Windows: 2. Lub użycie narzędzia MSCONFIG: Start > w polu szukania wpisz msconfig > w karcie Rozruch/ Boot zaznacz Bezpieczny rozruch / Safe boot: Potwierdzenie opcji sprowokuje ujawnienie się komunikatu, na którym wybieramy Uruchom ponownie / Restart: Metoda przez msconfig omija etap pokazywania menu startowego i przechodzi bezpośrednio do ładowania trybu awaryjnego. A dalej jak na obrazkach. Windows Vista: 1. Metoda przez klawisz F8. Wszystkie etapy wyglądają tak jak w Windows 7 (patrz na opis powyżej). 2. Lub użycie narzędzia MSCONFIG. Wygląda to identycznie jak dla Windows 7 (patrz na opis powyżej). Windows XP: 1. Metoda przez klawisz F8. Po wybraniu metody przez F8 pojawi się menu startowe Windows Advanced Options Menu / Menu opcji zaawansowanych systemu Windows. Artykuł Microsoftu: Opis opcji rozruchu w trybie awaryjnym w systemie Windows XP Domyślnie podświetloną pozycją jest Start Windows Normally / Uruchom system Windows normalnie. Przy pomocy strzałki z klawiatury zaznaczamy odpowiednią pozycję i ENTER: Zgłosi się ekran z wyborem systemu operacyjnego: Po pomyślnym załadowaniu sterowników pojawi się ekran logowania: Uwaga: Na ekranie logowania w Trybie awaryjnym ujawnia się ukryte serwisowe konto systemowe o nazwie "Administrator". Należy zalogować się na konto własne użytkownika, na którym zaistniał problem. Następnie należy zatwierdzić kontynuację pracy w Trybie awaryjnym: Załaduje się Pulpit Trybu awaryjnego: 2. Lub użycie narzędzia MSCONFIG: Start > Uruchom > msconfig > w karcie BOOT.INI zaznacz /SAFEBOOT a jako podtyp MINIMAL: Po zatwierdzeniu opcji pojawi się komunikat, na którym wybieramy Uruchom ponownie / Restart: Metoda przez msconfig omija etap pokazywania menu startowego i przechodzi bezpośrednio do ładowania trybu awaryjnego. A dalej jak na obrazkach.
×
×
  • Dodaj nową pozycję...