Problemy z rpc/paskiem zadań/połącz.sieciowymi etc.

[usamaibnladen]

Jakieś 10 dni temu wyskoczył mi ekranik typu blaster (rpc wyłączone / restart systemu) - wyłączyłem, zmieniłem ustawienie na 1000 min. - przeskanowałem ots i paroma innymi rzeczami , nic tam specjalnego chyba nie było, nast. dnia padł net - połączenia sieciowe zniknęły, neostrada kaput, nic - przeinstalowałem neostradę, net zadziałał, acz połączenia sieciowe dalej są puste. Potem były problemy ze skryptami vbs, pasek zadań - okna nie minimalizują się do niego ale nad nim, a aktualnie minimalizują się ale z prawejs trony pod sobą ... , program taskbar repair zwraca błędy typu "brak uprawnień getobject" lub "permission denied". Po restarcie komputera bywa, że główne usługi uruchamiające się z automatu trzeba włączać ręcznie (z problemami - np. rpc za trzecim razem, wcześniej dając błąd "input". Wczoraj był też ekranik typu blaster z komunkatem, że wyłączyła się usługa services.exe... dziś znowu screen z rpc. Skaner arcavir online daje błąd...

Gmer w trybie normalnym i awaryjnym dał bluesreeny z komunikatem, że błąd tyczy pliku fxtdapow.sys page_fault_in_nonpaged_area - takiego pliku nie ma na dysku, to ponoć plik Gmera... Rootkit Repeal zawiesił się dwa razy z 100% CPU...

Prosiłbym o pomoc, szczególnie może dałoby się naprawić połączenia sieciowe i pasek zadań, bo mocno jest wkurzający...

OTS.Txt

[Landuss]

Z Blasterem tego problemu nie wiąż - to infekcja sprzed wielu lat i od tamtej pory wiele się zmieniło a sama infekcja nie jest już spotykana od dawna. Obecnie takie problemy generuje wiele innych rzeczy i wygląda na to, że u ciebie nie chodzi o żadną infekcję. Log z OTS wygląda na czysty ale bez loga z rootkitdetectora to raczej się nie obejdzie bo nie ma pewności czy czegoś tam nie ma rzeczywiście. Czy przed wykonaniem loga z Gmer/RootRepeal zastosowałeś się do polecenia z tego tematu?: KLIK. Próbuj też uruchamiać program w trybie awaryjnym i zobacz czy ten sam efekt.

 

Poza tym wyeksportuj zawartość następujących kluczy rejestru:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

[usamaibnladen]

no oczywiście wiem, że to nie blaster, oprogr. emulującego napędy nie miałem nigdy zainstalowanego, też w logach nic specjalnego nie widzę, tylko te problemy z połączeniami sieciowymi i paskiem zadań na ogół miewają etiologię wirusową... komputer jest dość stary...

btw - wczoraj przez chwilę połączenia sieciowe się pojawiły - i znikły...

skrypty vbs typu silentrunners też nie działają, czasem dają komunikat, że wmi nie działa (wmi service not running), mimo iż sprawdzam, że usługa jest włączona...

nie wiem jak dodać dwa załączniki? zawsze ładuje się jeden...

drugi klucz z rpcss:

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs]

"Description"="Zapewnia program mapowania punktów końcowych i rozmaite inne usługi RPC."

"DisplayName"="Zdalne wywoływanie procedur (RPC)"

"ErrorControl"=dword:00000001

"Group"="COM Infrastructure"

"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\

74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\

00,76,00,63,00,68,00,6f,00,73,00,74,00,20,00,2d,00,6b,00,20,00,72,00,70,00,\

63,00,73,00,73,00,00,00

"ObjectName"="LocalSystem"

"Start"=dword:00000002

"Type"=dword:00000020

"FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,03,00,00,00,53,00,65,\

00,02,00,00,00,00,87,93,03,02,00,00,00,00,87,93,03,02,00,00,00,00,87,93,03

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Parameters]

"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\

00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\

72,00,70,00,63,00,73,00,73,00,2e,00,64,00,6c,00,6c,00,00,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Security]

"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\

00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\

00,00,02,00,60,00,04,00,00,00,00,00,14,00,8d,00,02,00,01,01,00,00,00,00,00,\

05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\

20,02,00,00,00,00,14,00,9d,00,00,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\

00,18,00,9d,00,00,00,01,02,00,00,00,00,00,05,20,00,00,00,21,02,00,00,01,01,\

00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Enum]

"0"="Root\\LEGACY_RPCSS\\0000"

"Count"=dword:00000001

"NextInstance"=dword:00000001

svchost.reg.txt

[Landuss]

Temat przenoszę na dział Windows bo to nie pasuje do działu wirusowego. Klucze moim zdaniem wyglądają dobrze i to prawdopodobnie nie jest problem samego rpc per se.

 

 

1. Wejdź w start >>> uruchom >>> services.msc i sprawdź czy usługa o nazwie Program uruchamiający proces serwera DCOM jest włączona i ustawiona na tryb Automatyczny.

 

 

2. Wykonaj reset uprawnień włącznie z rejestrem:

 

- ściągasz program SubInACL. Zainstaluje się do folderu C:\Program Files\Windows Resource Kits\Tools.

 

- wchodzisz do powyższego folderu i z prawokliku myszy dajesz >>> Nowy >>> Dokument tekstowy i wklejasz ten tekst:

 

subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=administrators=f

subinacl /subkeyreg HKEY_CURRENT_USER /grant=administrators=f

subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=administrators=f

subinacl /subdirectories %SystemDrive% /grant=administrators=f

subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=system=f

subinacl /subkeyreg HKEY_CURRENT_USER /grant=system=f

subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=system=f

subinacl /subdirectories %SystemDrive% /grant=system=f

 

Plik zapisujesz jako FIX.TXT. Następnie zmieniasz rozszerzenie pliku z TXT na CMD.

 

- Wchodzisz w Start >>> Uruchom >>> cmd i wpisujesz:

 

CD "C:\Program Files\Windows Resource Kits\Tools"

fix.cmd

 

 

3. Wchodzisz w Start >>> Uruchom >>> cmd i wklepujesz net stop winmgmt

 

Usuwasz zawartość folderu C:\WINDOWS\system32\wbem\Repository

 

Start >>> Uruchom >>> cmd i wklepujesz net start winmgmt

 

 

4. Start >>> Uruchom >>> cmd i wklepujesz

 

WINMGMT.EXE /REGSERVER

CD C:\WINDOWS\system32\WBEM

for %i in (*.dll) do RegSvr32 -s %i

net stop winmgmt

net start winmgmt

 

Oczywiście po tych działaniach wykonaj restart komputera i sprawdź czy coś się zmieniło.

 

 

 

[usamaibnladen]

OK, spróbuję dziś z tym powalczyć, acz co do uprawnień to jako jedyny użytkownik zawsze wsio działało +- OK.

Root repeal spróbowałem jeszcze dziś i to samo - na 100% CPU i systemu zawisł całkowicie, w awaryjnym to samo...

& nie wiem czy dobrze patrzę. ale:

"Program uruchamiający proces serwera DCOM"

takiej usługi nie mam w ogóle - ????

 

(takiego klucza w rejestrze:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DcomLaunch

też nie ma....)

 

I jeszcze takie coś znalazłem w zarządzaniu systemem - i to zasadniczo wtedy się zaczęło sypać - nie wiem co to jest USER32, nigdy wcześniej nic takiego nie było :

 

Typ zdarzenia: Informacje

Źródło zdarzenia: USER32

Kategoria zdarzenia: Brak

Identyfikator zdarzenia: 1074

Data: 2010-08-11

Godzina: 02:08:07

Użytkownik: ZARZĄDZANIE NT\SYSTEM

Komputer: PECET

Opis:

Proces winlogon.exe zainicjował ponowne uruchomienie PECET z następującej przyczyny: Nie można odnaleźć tytułu dla tej przyczyny

Pomniejsza przyczyna: 0xff

Typ zamknięcia systemu: ponowny rozruch

Komentarz: System Windows musi być uruchomiony ponownie, ponieważ usługa Zdalne wywoływanie procedur (RPC) została nieoczekiwanie przerwana

 

Aby znaleźć więcej informacji, zobacz http://go.microsoft.com/fwlink/events.asp w Centrum pomocy i obsługi technicznej.

Dane:

0000: ff 00 00 00 ÿ...

[picasso]

& nie wiem czy dobrze patrzę. ale:

"Program uruchamiający proces serwera DCOM"

takiej usługi nie mam w ogóle - ????

 

(takiego klucza w rejestrze:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DcomLaunch

też nie ma....)

 

Nie masz klucza, bo masz bardzo stary Windows:

 

Windows XP Home Edition Dodatek Service Pack. 1 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2800.1106)

 

Usługa DcomLaunch nie istnieje w tej wersji, wchodzi dopiero z instalacją SP2. Swoją drogą ten system kwalifikuje się do natychmiastowej aktualizacji do SP3. Siedzisz na bombie zegarowej, która sprasza ataki sieciowe, robaki i wirusy, a zabezpieczenia słabiuteńkie (tylko antywirus i to w wersji nienajnowszej, brak zapory sieciowej). Do wykonania:

 

1. Zamknij luki przez Windows Worms Doors Cleaner

 

2. Uprzątnij bałagan w oprogramowaniu zabezpieczającym:

 

----> Są tu resztki MKS i ZoneAlarm. W Autoruns usuń:

 

Karta Services:

 

[Win32 Services - Safe List]
(MksVirMonSvc) MkS_Vir Monitor [Disabled | Stopped] -> C:\Program Files\MKS\Bin\mksmonsv.exe -> File not found
(vsmon) TrueVector Internet Monitor [Disabled | Stopped] -> C:\WINDOWS\System32\ZoneLabs\vsmon.exe -> [2004-05-17 04:55:26 | 000,914,712 | ---- | M] (Zone Labs Inc.)

 

Karta Drivers:

 

[Driver Services - Safe List]
(MksMonFd) MkS_Mon Kernel Filter Driver [Kernel | On_Demand | Stopped] -> C:\Program Files\MKS\Bin\MksMonFd.sys -> File not found
(MksMonEv) MkS_Mon Kernel Events [Kernel | On_Demand | Stopped] -> C:\Program Files\MKS\Bin\MksMonEv.sys -> File not found
(MksMonEn) MkS_Mon Kernel Engine [Kernel | On_Demand | Stopped] -> C:\Program Files\MKS\Bin\MksMonEn.sys -> File not found
(vsdatant) vsdatant [Kernel | System | Stopped] -> C:\WINDOWS\system32\vsdatant.sys -> [2004-05-17 04:55:14 | 000,264,376 | ---- | M] (Zone Labs Inc.)

 

----> Odinstaluj Avira, będzie aktualizowana po nałożeniu SP3.

 

3. Pobierz na dysk instalator Service Pack 3. Przejdź do Trybu awaryjnego i z jego poziomu dokonaj aktualizacji systemu.

 

4. Zainstaluj najnowszą wersję Avira, chwilowo firewall zostawiam na boku.

 

I dopiero po tym będziemy oglądać co się dzieje i czy nadal coś się będzie działo. WWDC i aktualizacja do SP3 może rozwiązać pewne problemy.

 

 

 

 

.

[usamaibnladen]

Jakoś nic raczej nie złapałem (zapora jest - windowsowa ), więc nie sądzę, aby było tak źle - choć prawdę mówiąc, sądziłem, że sp2 mam zainstalowane...

Do SP3 jakoś nie mam zaufania, więc zainstalowałem SP2 - system ładuje się długo - połączenia sieciowe są OK, pasek zadań też OK (na razie...)

wwdc ustawiłem

w autoruns usunąłem w/w

Z tego co znalazłem - to objawy były podobne do wyłączenia procesu serwera DCOM - tyle, że ja miałem SP1 - długie uruchamianie systemu, skrypty nie odpowiadającem problemy z rpc, alerty w podglądzie zdarzeń - teraz usługa na SP2 chodzi -

objawy typu ciągłe "ostrzeżenie skrypt nie odpowiada" są dalej + inf. o uszkodzonym wmi, mimo ze robiłem naprawę wg powyższych wskazówek...

 

log z autoruns:

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" "" "" ""

+ "avgnt" "Antivirus System Tray Tool" "Avira GmbH" "c:\program files\avira\antivir personaledition classic\avgnt.exe"

+ "Freecorder FLV Service" "FLV Service for Freecorder 4" "Applian Technologies, Inc." "c:\program files\freecorder\flvsrvc.exe"

+ "NvCplDaemon" "NVIDIA Display Properties Extension" "NVIDIA Corporation" "c:\windows\system32\nvcpl.dll"

+ "WooCnxMon" "Application MFC CnxMon" "" "c:\program files\neostrada tp\cnxmon.exe"

+ "WOOTASKBARICON" "Gestion de l'icône de la barre des tâches" "France Télécom R&D" "c:\program files\neostrada tp\taskbaricon.exe"

+ "WOOWATCH" "Surveillance des modifications" "France Télécom R&D" "c:\program files\neostrada tp\watch.exe"

"HKCU\Software\Microsoft\Windows\CurrentVersion\Run" "" "" ""

+ "SpybotSD TeaTimer" "System settings protector" "Safer Networking Limited" "c:\program files\spybot - search & destroy\teatimer.exe"

"HKLM\SOFTWARE\Classes\Protocols\Handler" "" "" ""

+ "cdo" "Microsoft SharePoint Portal Server Object Model" "Microsoft Corporation" "c:\program files\common files\microsoft shared\web folders\pkmcdo.dll"

+ "ms-itss" "Microsoft® InfoTech Storage System Library" "Microsoft Corporation" "c:\program files\common files\microsoft shared\information retrieval\msitss.dll"

+ "mso-offdap" "Microsoft Office XP Web Components" "Microsoft Corporation" "c:\program files\common files\microsoft shared\web components\10\owc10.dll"

"HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components" "" "" ""

+ "0" "" "" "File not found: About:Home"

"HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components" "" "" ""

+ "Książka adresowa 6" "Outlook Express Setup Library" "Microsoft Corporation" "c:\program files\outlook express\setup50.exe"

+ "Microsoft Outlook Express 6" "Outlook Express Setup Library" "Microsoft Corporation" "c:\program files\outlook express\setup50.exe"

"HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers" "" "" ""

+ "Shell Extension for Malware scanning" "ShlExt.dll" "Avira GmbH" "c:\program files\avira\antivir personaledition classic\shlext.dll"

+ "WinRAR" "" "" "c:\program files\winrar\rarext.dll"

"HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers" "" "" ""

+ "WinRAR" "" "" "c:\program files\winrar\rarext.dll"

"HKLM\Software\Classes\Directory\Shellex\DragDropHandlers" "" "" ""

+ "WinRAR" "" "" "c:\program files\winrar\rarext.dll"

"HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers" "" "" ""

+ "Shell Extension for Malware scanning" "ShlExt.dll" "Avira GmbH" "c:\program files\avira\antivir personaledition classic\shlext.dll"

+ "WinRAR" "" "" "c:\program files\winrar\rarext.dll"

"HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved" "" "" ""

+ "&Do osób..." "Znajdowanie osób" "Microsoft Corporation" "c:\program files\outlook express\wabfind.dll"

+ "dBpowerAMP Music Converter" "dMCShell Module" "" "c:\program files\dbpoweramp\dmcshell.dll"

+ "dBpowerAMP Music Converter 1" "dBShell Module" "" "c:\program files\dbpoweramp\dbshell.dll"

+ "Desktop Explorer Menu" "NVIDIA Desktop Explorer, Version 52.16 " "NVIDIA Corporation" "c:\windows\system32\nvshell.dll"

+ "Eksplorator pulpitów" "NVIDIA Desktop Explorer, Version 52.16 " "NVIDIA Corporation" "c:\windows\system32\nvshell.dll"

+ "Foldery w sieci Web" "Microsoft Web Folders" "Microsoft Corporation" "c:\program files\common files\microsoft shared\web folders\msonsext.dll"

+ "Microsoft Data Link" "Microsoft Data Access - OLE DB Core Services" "Microsoft Corporation" "c:\program files\common files\system\ole db\oledb32.dll"

+ "Microsoft Office HTML Icon Handler" "Microsoft Office XP component" "Microsoft Corporation" "c:\program files\microsoft office\office10\msohev.dll"

+ "Microsoft Outlook Custom Icon Handler" "Outlook Shell Hook for Start/Find" "Microsoft Corporation" "c:\program files\microsoft office\office10\olkfstub.dll"

+ "Nero Shell Extension Property Sheet" "" "" "File not found: C:\Program Files\Ahead\Nero\neroshx.dll"

+ "Rozszerzenie CPL kadrowania wyświetlania" "" "" "File not found: deskpan.dll"

+ "Rozszerzenie ikony HyperTerminalu" "HyperTerminal Applet Library" "Hilgraeve, Inc." "c:\windows\system32\hticons.dll"

+ "Shell Extension for Malware scanning" "ShlExt.dll" "Avira GmbH" "c:\program files\avira\antivir personaledition classic\shlext.dll"

+ "Shell Extensions for RealOne Player" "RealOne Player Shell Extensions" "RealNetworks" "c:\program files\real\realone player\rpshellext.dll"

+ "UnlockerShellExtension" "" "" "c:\program files\unlocker\unlockercom.dll"

+ "WinRAR shell extension" "" "" "c:\program files\winrar\rarext.dll"

"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects" "" "" ""

+ "AcroIEHlprObj Class" "AcroIEHelper Module" "" "c:\program files\adobe\acrobat 5.0 ce\reader\activex\acroiehelper.ocx"

+ "{53707962-6F74-2D53-2644-206D7942484F}" "Bad download blocker" "Safer Networking Limited" "c:\program files\spybot - search & destroy\sdhelper.dll"

"HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks" "" "" ""

+ "Search Class" "SearchPageURL Module" "" "c:\program files\neostrada tp\searchpageurl.dll"

"HKLM\Software\Microsoft\Internet Explorer\Toolbar" "" "" ""

+ "FlashGet Bar" "FlashGet IE Bar" "Amaze Soft" "c:\program files\flashget\fgiebar.dll"

"HKLM\Software\Microsoft\Internet Explorer\Extensions" "" "" ""

+ "&FlashGet" "FlashGet" "Amaze Soft" "c:\program files\flashget\flashget.exe"

+ "Windows Messenger" "Windows Messenger" "Microsoft Corporation" "c:\program files\messenger\msmsgs.exe"

"HKLM\System\CurrentControlSet\Services" "" "" ""

+ "AntiVirScheduler" "Service to schedule Avira AntiVir Personal - Free Antivirus jobs and updates." "Avira GmbH" "c:\program files\avira\antivir personaledition classic\sched.exe"

+ "AntiVirService" "Offers permanent protection against viruses and malware with the AntiVir search engine." "Avira GmbH" "c:\program files\avira\antivir personaledition classic\avguard.exe"

+ "AppMgmt" "Zapewnia usługi związane z instalacją oprogramowania, takie jak Przypisz, Opublikuj i Usuń." "" "File not found: C:\WINDOWS\System32\appmgmts.dll"

+ "LexBceS" "LexBce Service" "Lexmark International, Inc." "c:\windows\system32\lexbces.exe"

+ "MDM" "Manages local and remote debugging for Visual Studio debuggers" "Microsoft Corporation" "c:\program files\common files\microsoft shared\vs7debug\mdm.exe"

"HKLM\System\CurrentControlSet\Services" "" "" ""

+ "ADILOADER" "" "" "File not found: System32\Drivers\adildr.sys"

+ "adiusbaw" "" "" "File not found: System32\DRIVERS\adiusbaw.sys"

+ "alcan5wn" "WAN Driver" "THOMSON" "c:\windows\system32\drivers\alcan5wn.sys"

+ "alcaudsl" "WDM Driver" "THOMSON" "c:\windows\system32\drivers\alcaudsl.sys"

+ "Aspi32" "ASPI for WIN32 Kernel Driver" "Adaptec" "c:\windows\system32\drivers\aspi32.sys"

+ "avgntdd" "Avira AntiVir File Filter Driver" "Avira GmbH" "c:\windows\system32\drivers\avgntdd.sys"

+ "avgntmgr" "Avira AntiVir File Filter Driver Manager" "Avira GmbH" "c:\windows\system32\drivers\avgntmgr.sys"

+ "avipbb" "Avira's Driver for RootKit Detection" "Avira GmbH" "c:\windows\system32\drivers\avipbb.sys"

+ "basic2" "NTRksample driver" "Conexant" "c:\windows\system32\drivers\hsf_bsc2.sys"

+ "CDRPDACC" "CD Device Access" "Arrowkey" "c:\program files\arrowkey\shared\cdrpdacc.sys"

+ "Changer" "" "" "File not found: C:\WINDOWS\System32\Drivers\Changer.sys"

+ "cmpci" "C-Media Audio WDM Driver" "C-Media Inc" "c:\windows\system32\drivers\cmaudio.sys"

+ "Fallback" "Fallback driver" "Conexant" "c:\windows\system32\drivers\hsf_fall.sys"

+ "Fsks" "FSKsNT driver" "Conexant" "c:\windows\system32\drivers\hsf_fsks.sys"

+ "hsf_msft" "WinACHSF driver" "Conexant" "c:\windows\system32\drivers\hsf_msft.sys"

+ "i2omgmt" "" "" "File not found: C:\WINDOWS\System32\Drivers\i2omgmt.sys"

+ "K56" "K56NT driver" "Conexant" "c:\windows\system32\drivers\hsf_k56k.sys"

+ "lbrtfdc" "" "" "File not found: C:\WINDOWS\System32\Drivers\lbrtfdc.sys"

+ "NeroCd2k" "Nero Filter Driver" "Ahead Software AG

 

im Stoeckmaedle 18

 

76307 Karlsbad, Germany

 

Fax: ++49-7248-911-888

 

e-mail: info@nero.com" "c:\windows\system32\drivers\nerocd2k.sys"

+ "nv" "NVIDIA Compatible Windows 2000 Miniport Driver, Version 52.16 " "NVIDIA Corporation" "c:\windows\system32\drivers\nv4_mini.sys"

+ "PCIDump" "" "" "File not found: C:\WINDOWS\System32\Drivers\PCIDump.sys"

+ "PDCOMP" "" "" "File not found: C:\WINDOWS\System32\Drivers\PDCOMP.sys"

+ "PDFRAME" "" "" "File not found: C:\WINDOWS\System32\Drivers\PDFRAME.sys"

+ "PDRELI" "" "" "File not found: C:\WINDOWS\System32\Drivers\PDRELI.sys"

+ "PDRFRAME" "" "" "File not found: C:\WINDOWS\System32\Drivers\PDRFRAME.sys"

+ "PLUsbbc2" "High Speed USB-USB Bridge Cable Driver" "Prolific Technology Inc." "c:\windows\system32\drivers\usbbc2.sys"

+ "Ptilink" "Sterownik bezpośredniego połączenia kablowego" "Parallel Technologies, Inc." "c:\windows\system32\drivers\ptilink.sys"

+ "Rksample" "Rksample WDM driver" "Conexant" "c:\windows\system32\drivers\hsf_samp.sys"

+ "rootrepeal" "" "" "File not found: C:\WINDOWS\System32\drivers\rootrepeal.sys"

+ "Secdrv" "SafeDisc driver" "" "c:\windows\system32\drivers\secdrv.sys"

+ "SoftFax" "FaxNT driver" "Conexant" "c:\windows\system32\drivers\hsf_faxx.sys"

+ "SpeakerPhone" "SpkpNT driver" "Conexant" "c:\windows\system32\drivers\hsf_spkp.sys"

+ "ssmdrv" "Avira Snapshot Driver" "Avira GmbH" "c:\windows\system32\drivers\ssmdrv.sys"

+ "Tones" "TonesNT driver" "Conexant" "c:\windows\system32\drivers\hsf_tone.sys"

+ "V124" "V124NT driver" "Conexant" "c:\windows\system32\drivers\hsf_v124.sys"

+ "viaagp1" "VIA NT AGP Filter" "VIA Technologies, Inc." "c:\windows\system32\drivers\viaagp1.sys"

+ "WDICA" "" "" "File not found: C:\WINDOWS\System32\Drivers\WDICA.sys"

"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers32" "" "" ""

+ "msacm.l3acm" "MPEG Layer-3 Audio Codec for MSACM" "Fraunhofer Institut Integrierte Schaltungen IIS" "c:\windows\system32\l3codeca.acm"

+ "msacm.sl_anet" "Audio codec for MS ACM" "Sipro Lab Telecom Inc." "c:\windows\system32\sl_anet.acm"

+ "msacm.trspch" "Koder-dekoder audio DSP Group TrueSpeech dla MSACM V3.50" "DSP GROUP, INC." "c:\windows\system32\tssoft32.acm"

+ "vidc.cvid" "Cinepak® Codec" "Radius Inc." "c:\windows\system32\iccvid.dll"

+ "vidc.DIVX" "DivX® Codec for Windows" "DivXNetworks, Inc." "c:\windows\system32\divx.dll"

+ "vidc.I420" "Intel I.263 Video Driver 2.55.016" "Intel Corporation" "c:\windows\system32\i263_32.drv"

+ "vidc.iv31" "" "" "c:\windows\system32\ir32_32.dll"

+ "vidc.iv32" "" "" "c:\windows\system32\ir32_32.dll"

+ "vidc.iv50" "Intel Indeo® video 5.10" "Intel Corporation" "c:\windows\system32\ir50_32.dll"

"HKLM\Software\Classes\Filter" "" "" ""

+ "Indeo® video 4.4 Compression Filter" "Intel Indeo® Video 4.5" "Intel Corporation" "c:\windows\system32\ir41_32.ax"

+ "Indeo® video 4.4 Decompression Filter" "Intel Indeo® Video 4.5" "Intel Corporation" "c:\windows\system32\ir41_32.ax"

"HKLM\Software\Classes\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance" "" "" ""

+ "9x8Resize" "Movie Maker Filters" "Microsoft Corporation" "c:\program files\movie maker\wmm2filt.dll"

+ "AC3 XForm audio filter" "MPEG Audio Codec (Sample)" "MyCompanyName" "c:\windows\system32\mpgaudio.ax"

+ "AC3Filter" "ac3filter" "" "c:\windows\system32\ac3filter.ax"

+ "ACELP.net Audio Decoder" "ACELP.net Audio Decoder" "Sipro Lab Telecom Inc." "c:\windows\system32\acelpdec.ax"

+ "Allocator Fix" "Movie Maker Filters" "Microsoft Corporation" "c:\program files\movie maker\wmm2filt.dll"

+ "Bitmap" "Movie Maker Filters" "Microsoft Corporation" "c:\program files\movie maker\wmm2filt.dll"

+ "CapWindow" "Bouncing Ball Filter (Sample)" "Microsoft Corporation" "c:\program files\winavi video converter\filter\capwindow.dll"

+ "CoreAAC Audio Decoder" "CoreAAC" "" "c:\windows\system32\coreaac.ax"

+ "CoreVorbis Audio Decoder" "" "" "c:\windows\system32\corevorbis.ax"

+ "DivX Decoder Filter" "DivX® Decoder Filter" "DivXNetworks, Inc." "c:\windows\system32\divxdec.ax"

+ "DV Muxer" "DirectShow Runtime." "Microsoft Corporation" "c:\program files\winavi video converter\filter\q3drv.dll"

+ "DV Splitter" "DirectShow Runtime." "Microsoft Corporation" "c:\program files\winavi video converter\filter\q3drv.dll"

+ "DV Video Decoder" "DirectShow Runtime." "Microsoft Corporation" "c:\program files\winavi video converter\filter\q3drv.dll"

+ "ffdshow MPEG-4 Video Decoder" "" "" "c:\program files\ffdshow\ffdshow.ax"

+ "Frame Eater" "Movie Maker Filters" "Microsoft Corporation" "c:\program files\movie maker\wmm2filt.dll"

+ "Fraunhofer Video Decoder" "Fraunhofer MPEG2 Video Filter" "Fraunhofer" "c:\windows\system32\dvdvideo.ax"

+ "Image Effects" "Special Effects Sample" "Microsoft Corporation" "c:\program files\winavi video converter\filter\q3cast.dll"

+ "Indeo® video 5.10 Compression Filter" "Intel Indeo® video 5.10" "Intel Corporation" "c:\windows\system32\ir50_32.dll"

+ "Indeo® video 5.10 Decompression Filter" "Intel Indeo® video 5.10" "Intel Corporation" "c:\windows\system32\ir50_32.dll"

+ "Ligos MPEG Splitter" "Ligos MPEG Splitter" "Ligos Corporation" "c:\windows\system32\lmpgspl.ax"

+ "Ligos MPEG Video Decoder" "Ligos MPEG Video Decoder" "Ligos Corporation" "c:\windows\system32\lmpgvd.ax"

+ "Matroska Filter" "Matroska Demuxer" "Matroska" "c:\windows\system32\mkxds.dll"

+ "MPEG Layer-3 Decoder" "MPEG Layer-3 Audio Decoder" "Fraunhofer Institut Integrierte Schaltungen IIS" "c:\windows\system32\l3codecx.ax"

+ "Nero Audio Source" "Nero Library" "Ahead Software AG" "c:\program files\common files\ahead\dsfilter\nerender.ax"

+ "Nero Audio Stream Renderer" "Nero Library" "Ahead Software AG" "c:\program files\common files\ahead\dsfilter\nerender.ax"

+ "Nero Audio Stream Renderer" "Nero Library" "Ahead Software AG" "c:\program files\common files\ahead\dsfilter\nerender.ax"

+ "Nero Digital Audio Decoder" "Nero Digital Audio Decoding Filter" "Ahead Software AG and its licensors" "c:\program files\common files\ahead\dsfilter\neaudio.ax"

+ "Nero Digital Parser" "NeroDigital / mp4 / avi / mov parser" "Ahead Software AG" "c:\program files\common files\ahead\dsfilter\ndparser.ax"

+ "Nero DVD Decoder" "MPEG-1/2/4 video decoder w/ DxVA" "Ahead Software AG" "c:\program files\common files\ahead\dsfilter\nevideo.ax"

+ "Nero ES Video Reader" "NeroDigital / mp4 / avi / mov parser" "Ahead Software AG" "c:\program files\common files\ahead\dsfilter\ndparser.ax"

+ "Nero File Source" "Nero Library" "Ahead Software AG

 

" "c:\program files\common files\ahead\dsfilter\nefilesrc.ax"

+ "Nero QuickTime Audio Decoder" "QuickTime Audio Decoder" "Ahead Software AG" "c:\program files\common files\ahead\dsfilter\neqtadec.ax"

+ "Nero QuickTime Video Decoder" "QuickTime Video Decoder" "Ahead Software AG" "c:\program files\common files\ahead\dsfilter\neqtvdec.ax"

+ "Nero Video Decoder" "MPEG-1/2/4 video decoder w/ DxVA" "Ahead Software AG" "c:\program files\common files\ahead\dsfilter\nevideo.ax"

+ "Nero Video Source" "Nero Library" "Ahead Software AG" "c:\program files\common files\ahead\dsfilter\nerender.ax"

+ "Ogg Multiplexer" "Ogg DirectShow Filter Collection" "" "c:\windows\system32\oggds.dll"

+ "Ogg Splitter" "Ogg DirectShow Filter Collection" "" "c:\windows\system32\oggds.dll"

+ "QTSrc" "CLQTSrc" "Cyberlink" "c:\program files\winavi video converter\filter\q3mod.dll"

+ "RealAudio Decoder" "RealMedia Splitter" "Gabest" "c:\program files\winavi video converter\filter\q3r.dll"

+ "RealMedia Source" "RealMedia Splitter" "Gabest" "c:\program files\winavi video converter\filter\q3r.dll"

+ "RealMedia Splitter" "RealMedia Splitter" "Gabest" "c:\program files\winavi video converter\filter\q3r.dll"

+ "RealPlayer Audio Filter" "DirectShow Playback Support" "RealNetworks, Inc." "c:\program files\real\realone player\rpplugins\rpds3260.dll"

+ "RealVideo Decoder" "RealMedia Splitter" "Gabest" "c:\program files\winavi video converter\filter\q3r.dll"

+ "Record Queue" "Movie Maker Filters" "Microsoft Corporation" "c:\program files\movie maker\wmm2filt.dll"

+ "ShotBoundaryDet" "Windows Movie Maker" "Microsoft Corporation" "c:\program files\movie maker\wmmfilt.dll"

+ "ShotDetect" "Movie Maker Filters" "Microsoft Corporation" "c:\program files\movie maker\wmm2filt.dll"

+ "Stetch" "Movie Maker Filters" "Microsoft Corporation" "c:\program files\movie maker\wmm2filt.dll"

+ "Vorbis Decoder" "Ogg DirectShow Filter Collection" "" "c:\windows\system32\oggds.dll"

+ "Vorbis Encoder" "Ogg DirectShow Filter Collection" "" "c:\windows\system32\oggds.dll"

+ "WIA Stream Snapshot Filter" "WIA Stream Snapshot Filter" "MyCompanyName" "c:\windows\system32\wiasf.ax"

+ "Windows Media Pad VU Data Grabber" "Windows Movie Maker" "Microsoft Corporation" "c:\program files\movie maker\wmmfilt.dll"

+ "WM VIH2 Fix" "Movie Maker Filters" "Microsoft Corporation" "c:\program files\movie maker\wmm2filt.dll"

+ "WMT Audio Analyzer" "Movie Maker Filters" "Microsoft Corporation" "c:\program files\movie maker\wmm2filt.dll"

+ "WMT Black Frame Generator" "Movie Maker Filters" "Microsoft Corporation" "c:\program files\movie maker\wmm2filt.dll"

+ "WMT DirectX Transform Wrapper" "Movie Maker Filters" "Microsoft Corporation" "c:\program files\movie maker\wmm2filt.dll"

+ "WMT DV Extract Filter" "Movie Maker Filters" "Microsoft Corporation" "c:\program files\movie maker\wmm2filt.dll"

+ "WMT FormatConversion" "Movie Maker Filters" "Microsoft Corporation" "c:\program files\movie maker\wmm2filt.dll"

+ "WMT Import Filter" "Movie Maker Filters" "Microsoft Corporation" "c:\program files\movie maker\wmm2filt.dll"

+ "WMT Interlacer" "Movie Maker Filters" "Microsoft Corporation" "c:\program files\movie maker\wmm2filt.dll"

+ "WMT Log Filter" "Movie Maker Filters" "Microsoft Corporation" "c:\program files\movie maker\wmm2filt.dll"

+ "WMT MuxDeMux Filter" "Movie Maker Filters" "Microsoft Corporation" "c:\program files\movie maker\wmm2filt.dll"

+ "WMT Sample Info Filter" "Movie Maker Filters" "Microsoft Corporation" "c:\program files\movie maker\wmm2filt.dll"

+ "WMT Screen capture Filter" "Movie Maker Filters" "Microsoft Corporation" "c:\program files\movie maker\wmm2filt.dll"

+ "WMT Switch Filter" "Movie Maker Filters" "Microsoft Corporation" "c:\program files\movie maker\wmm2filt.dll"

+ "WMT Virtual Renderer" "Movie Maker Filters" "Microsoft Corporation" "c:\program files\movie maker\wmm2filt.dll"

+ "WMT Virtual Source" "Movie Maker Filters" "Microsoft Corporation" "c:\program files\movie maker\wmm2filt.dll"

+ "WMT Volume" "Movie Maker Filters" "Microsoft Corporation" "c:\program files\movie maker\wmm2filt.dll"

+ "Xing® VideoCD Navigator" "DirectShow Playback Support" "RealNetworks, Inc." "c:\program files\real\realone player\rpplugins\rpds3260.dll"

+ "XviD MPEG-4 Video Decoder" "" "" "c:\windows\system32\xvid.ax"

"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" "" "" ""

+ "taskmgr.exe" "Sysinternals Process Explorer" "Sysinternals" "c:\program files\process_explorer\procexp.exe"

"HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors" "" "" ""

+ "Lexmark Network Port" "LEXLMPM DLL" "Lexmark International, Inc." "c:\windows\system32\lexlmpm.dll"

[picasso]

Jakoś nic raczej nie złapałem (zapora jest - windowsowa ), więc nie sądzę, aby było tak źle - choć prawdę mówiąc, sądziłem, że sp2 mam zainstalowane...

 

Beznadziejną Zaporę Windows można zatłuc jednym pociągnięciem, to jest bardzo słabe zabezpieczenie (choć lepsze także niż żadne) i to tylko jednokierunkowe (nie pilnuje w ogóle ruchu wychodzącego). Objawy tu widziane (i co istotne, że one ustąpiły po zastosowaniu WWDC + aktualizacja SP2) świadczą, że prawdopodobnie wykonywał się atak "Blaster-podobny".

 

Z tego co znalazłem - to objawy były podobne do wyłączenia procesu serwera DCOM - tyle, że ja miałem SP1 - długie uruchamianie systemu, skrypty nie odpowiadającem problemy z rpc, alerty w podglądzie zdarzeń - teraz usługa na SP2 chodzi -

 

Wg Twojego opisu to kluczowa usługa RPC była zamykana (DCOM to inna i nie była obecna). Jeśli usługa ulegnie awarii, praktycznie nic nie działa w Windows, ponieważ usługa jest nadrzędna nad wszystkimi innymi, które zależą od niej.

 

Do SP3 jakoś nie mam zaufania, więc zainstalowałem SP2 - system ładuje się długo - połączenia sieciowe są OK, pasek zadań też OK (na razie...)

 

Do SP3 nie masz zaufania ... a do swojego systemu w aktualnym stanie masz? . Niedawno był tu użytkownik z podobnymi obawami KLIK. On już jest po aktualizacji SP3, bo jednak ją zrobił na skutek intensywnych namów. SP2 to jest za mało i na dodatek jesteś odcięty od aktualizacji, bo MS zbanował XP poniżej SP3 z tego procesu. SP3 (i wszystkie łaty post-SP3 w tym bardzo ważna na infekcje via LNK) to aktualnie mus w zabezpieczeniach. SP3 nie jest opublikowane dla zabawy i by podziwiać / kręcić nosem. To jest aktualizacja statusu krytyczna.

 

 

W kwestii robót wyłączających, jeszcze można:

 

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" "" "" ""
+ "Freecorder FLV Service" "FLV Service for Freecorder 4" "Applian Technologies, Inc." "c:\program files\freecorder\flvsrvc.exe"
+ "WooCnxMon" "Application MFC CnxMon" "" "c:\program files\neostrada tp\cnxmon.exe"
+ "WOOTASKBARICON" "Gestion de l'icône de la barre des tâches" "France Télécom R&D" "c:\program files\neostrada tp\taskbaricon.exe"
+ "WOOWATCH" "Surveillance des modifications" "France Télécom R&D" "c:\program files\neostrada tp\watch.exe"
"HKCU\Software\Microsoft\Windows\CurrentVersion\Run" "" "" ""
+ "SpybotSD TeaTimer" "System settings protector" "Safer Networking Limited" "c:\program files\spybot - search & destroy\teatimer.exe"

 

W Autoruns wyłączyć ten pierwszy wpis. Odmontować aplikację dostępową Neostrady na rzecz czystych sterowników sieciowych. Odinstalować Spybota, który aktualnie nie jest programem podążającym z trendami. Można go zastąpić bardzo dobrym skanerem na żądanie (bez rezydenta): Malwarebytes' Anti-Malware.

 

 

.