Windows Vista Business cz.1

Gdy rozpoczynałem rozwiązywanie problemu z procesem NETSCVS, poszukując informacji w sieci internetowej, nie byłem pewien od czego zaczynać. Generalnie każda instalacja systemu operacyjnego, kończyła się w ten sam sposób. Kilka ważniejszych wniosków, które zawiera ten poradnik, może być pomocą dla osób analizujących własne kłopoty z systemem, jednak tylko w wersji 64 bit. Znalezione informacje, były niewystarczające do tego, aby naprawić system operacyjny. Symptomatyczny proces o nazwie netsvcs, postanowił zastrajkować, obciążając komputer w taki sposób, że ingerencja ze strony użytkownika, nie była możliwa do przeprowadzenia. Płyta DVD z Windows Vista (oryginalna), system miał zainstalowane wszystkie aktualizacje, brak problemów sprzętowych, a do tego programy antywirusowe, nie wykrywały nic groźnego.

Problem powstawał głównie, po instalacji dodatku Service Pack 2, proces netscvs wyzwalał kilka usług, a następnie powiększał swoją objętość do 1,2 Gb w pamięci RAM, przy czym obciążenie procesora wynosiło 30%. Trudno się nie denerwować, gdyż monitor wydajności, oblicza te procenty nie na jeden rdzeń ale jest to średnia z sumy wszystkich rdzeni procesora. Jak sobie z tym radzić? Na początku, zrobiłem backup ważniejszych plików w systemie Windows Vista, które mogły mieć związek z tym błędem.

- backup usług ładowanych przez Windows (skrypt backup.vbs).

- plik datastore.ebd (ważna jest oryginalna wielkość).

- cały katalog self update.

"C:/Windows/SoftwareDistribution/DataStore" {odwrócony backslash}

- plik secedit.sdb

"C:/Windows/SoftwareDistribution/DataStore>"

- plik trustedinstaller.exe

"C:/Windows/Servicing"

Następnie postanowiłem sprawdzić na innym komputerze, jaki może być udział, powstałego błędu poprzez swoje własne aplikacje, aktualizacje które ściągnięte były, np. z Internetu. Okazało się, że tylko jeden plik był niekompletny.

- uszkodzony instalator pliku BootScreen Vista, prawdopodobnie przez wirusa, zostawiającego tzw. backdoor. Nie był to jednak powód, wywoływania zgrupowanych usług, obciążających komputer (netscvs). Patrząc dalej, jedynie instalator sterownika Creative Audigy SB0090, zawierał pewien niebezpieczny wpis, który mógł otwierać lukę pozwalającą na przejęcie kontroli nad wszystkimi plikami w katalogu

%root%/Windows

"C:Users\%naz. użytkownika%SearchesShared By Me.search-ms",

Po usunięciu wpisów w rejestrze, powiązanych z powyższą ścieżką, a dotyczącego sprzętu Creative, znalazłem dwa podejrzane pliki.

{00000002-00000000-00000006-00001102-00000004-00511102}.CDF

{00000002-00000000-00000006-00001102-00000004-00511102}.BAK

"C:/Users/ST-MAN/AppDataLocal/VirtualStore/Windows" {odwrócony backslash}

Niestety, nie udało mi się ustalić, dlaczego pliki po usunięciu, postanowiły się odbudowywać. Po przeskanowaniu antywirusem okazało się, że są bezpieczne i związane bezpośrednio z zasobami karty dźwiękowej SB Audigy (nigdy nie było problemów z kartą dźwiękową, więc darowałem sobie taką możliwość). Słaba ochrona poczty elektronicznej, zmusiła mnie do zainstalowania oprogramowanie Mozilla Thunderbird, w wersji 38 oraz przekierowania ochrony konta, na program antywirusowy AVAST. Po tych czynnościach, zdołałem odkryć, że system Windows Vista, uzależnia wykonywanie funkcji pulpitu (kompozycji AERO), od globalnej oceny wydajności. Jeśli nie ma potwierdzenia to ogólna stabilność oraz optymalizacja systemu jest dużo wolniejsza.

"Panel sterowania/System i konserwacja/Informacje wydajności i narzędzia"

Po ponownej klasyfikacji wydajności komputera, okazało się, że składnik "GRAFIKA", zwiększył się do wyniku cząstkowego 5.9, natomiast wynik podstawowy, podniósł się do składnika "GRAFIKA W GRACH" i wynosił 5.5. Wydaje się, że ta diagnostyka w skrajnych "momentach", może być niebezpieczna, więc odnalazłem usługi, które mogą być odpowiedzialne za te procedury (klawisz win + R, services.msc)

Usługa zasad diagnostyki

Usługa Zasady diagnostyki umożliwia wykrywanie problemów, rozwiązywanie problemów i rozpoznawanie składników systemu Windows. Jeśli ta usługa zostanie zatrzymana, diagnostyka nie będzie już działać. Jeśli ta usługa zostanie wyłączona, wszelkie usługi jawnie od niej zależne przestaną się uruchamiać.

Zatrzymano ---> Wyłączone ---> Usługa lokalna

Host systemu diagnostyki

Usługa Host systemu diagnostyki umożliwia wykrywanie problemów, rozwiązywanie problemów i rozpoznawanie składników systemu Windows. Jeśli ta usługa zostanie zatrzymana, niektóre funkcje diagnostyczne przestaną działać. Jeśli ta usługa zostanie wyłączona, nie będzie możliwe uruchamianie żadnych usług jawnie od niej zależnych.

Zatrzymano ---> Wyłączone ---> System lokalny

Postanowiłem przeskanować system programem Antywirusowym Avast. Okazało się, że oprócz kilku szpiegujących plików cookies, nie znaleziono żadnych innych szkodników. Ten proces uruchamiałem również na takich programach jak ESET NOD32 (wersja 8), Symantec Norton Antyvirus 2012 oraz Malewarebytes Anti-Maleware. Niestety system operacyjny, nie wyrażał chęci powrotu do tzw. "normalności". Postanowiłem poszukać odpowiedzi w Internecie. Udało mi się odnaleźć opis klucza rejestru

"HKEY_LOCAL_MACHINE/Software/Microsoft/WBEMCIMOM/Unsec/AppAccess/Control/Default"

Niektóre ustawienia podklucza, mogą pomóc w lepszej ochronie sieci (połączeń) - w temacie "asynchronous Calls "(łącza asynchroniczne), które mogą być narażone na łatwiejsze próby włamania. Po tych czynnościach, uruchomiłem narzędzie administracyjne odpowiedzialne za określanie zasad grup oraz zabezpieczeń lokalnych w systemie Windows. I tutaj coś dziwnego...

"uszkodzenie pliku C:Windowssecuritydatabasesecedit.sdb"

Uniemożliwiało jakąkolwiek ingerencję w system, za pomocą narzędzia administracyjnego secpol.msc. Po odwiedzeniu oczywiście przeglądarki Google, dowiedziałem się, że można naprawiać takie uszkodzenia za pomocą komendy esentutl w konsoli cmd. Niestety naprawa okazała się nie do wykonania, zarówno przywracanie jak i inne metody!!!.

Skandal i hańba, kolejna reinstalacja Windows :)

Skąd w systemie nagle wzięło się uszkodzenie tego pliku? Po tym fakcie postanowiłem wrócić do przeglądania Internetu(samodzielna naprawa Visty to naprawdę nie było układanie puzzli). Niestety uruchamianie stron, trwało bardzo długo, co zmusiło mnie do instalacji dodatku do przeglądarki FireFox - addson.mozilla.org o nazwie Disconnect. Przekierowanie linku do dodatku doprowadziło do uruchomienia połączenia z serwerem Proxy, który rozpoczął ściąganie szpiegujących plików cookies (dodatek ten wydaje się być szpiegiem).

Uwaga! Dodatek do Mozilla Firefox o nazwie Disconnect posiada pewne niebezpieczne "furtki".

Po uruchomieniu programu antywirusowego Norton Antywirus 2012, nastąpiło unieszkodliwienie plików cookies. Przy okazji, postanowiłem zainstalować pakiet Sun Java Script, który dziwnym trafem nie posiadał możliwości konfigurowania opcji. Pierwszy raz spotkałem się z taką anomalią, gdyż zawsze takie posiadał, a pochodził z płyty skanowanej (przed tłoczeniem) programami antywirusowymi. Każdy krok, wykonywany jeden po drugim, wydawał się błędny. Kolejna porażka związana z aplikacją?

System operacyjny, nadal nie pozwalał na pełną kontrolę, więc postanowiłem "pobawić się" w zamienianie plików w katalogu system32 oraz servicing (znowu podpowiedź z sieci), były to trustedinstaller.exe, svchost.exe oraz svchost.exe.mui, które podobno miały mieć wpływ na grupę NETSVCS i proces svchost.exe (bardzo pamięcio chłonny oraz obciążający CPU). Okazało się, że pliki rzeczywiście różnią się sumą kontrolną, jednak obydwie wersje są oryginalne tzn. być może chodziło o wersje x86 i x64 (różne wielkości/objętości plików). Taka procedura nie przyniosła jednak rezultatów. Kolejny plik, za który należało się zabrać to Windll.dll. Ten plik podobno miał mieć duży wpływ na usługi systemowe i mógł być zawirusowany. Niestety przed zamienieniem tego pliku, a po wymianie powyższych (wcześniej), system operacyjny ZAWIÓDŁ i "PADŁ NA AMEN". Żadne przywracanie, uruchamianie awaryjne nie przynosiło oczekiwanych rezultatów.

Przed zawieszeniem systemu, postanowiłem spróbować uruchomić proces przywracania systemu do poprzedniego stanu

"Panel Sterowania -> System i konserwacja- System -> Zaawan. ustawienia systemu -> właściwości"

"Ochrona systemu -> funkcja przywracanie systemu"

Niestety przywracanie do poprzedniego stanu po przeprowadzeniu operacji wyrzuciło komunikat


"Przywracanie Systemu zakończyło się niepowodzeniem (nie wszystkie pliki zostały przywrócone)."


Postanowiłem rozpocząć reinstalację systemu Windows Vista Bussines 64 bit. Podobny scenariusz jaki opisałem, powtarzał się wielokrotnie (ok. 4 razy) i nie należało to do przyjemnych doświadczeń związanych z komputerami. Nie wiem dlaczego właśnie ten proces wywołał taki problem. W większości wcześniejszych instalacji, nie było żadnych problemów i wszystko działało w 100% poprawnie. Trudno powiedzieć ile godzin spędziłem nad rozwiązywaniem tego problemu, bo dopiero za piątym razem udało się postawić system (jest tutaj mowa cały czas o oryginalnym systemie operacyjnym wraz z certyfikatem, aktywowany - zarejestrowany).

PODSUMOWANIE TREŚCI DOKUMENTU

- Rezygnacja z aktualizacji Windows Update, w tym z Service Pack 2. System działa szybko i 100% bezbłędnie.

Co jednak z postawionym pytaniem "Jak radzić sobie z takimi sytuacjami?".

1. Trudno "zrzucić" log procesu, który ma 1,2 Gb objętości.

2. Pakiet Microsoft Windows SDK 7.1 (należący do Framework 4.0?) udostępnia narzędzie o nazwie Windbg,exe. Takie narzędzie jest w tym momencie zupełnie nie przydatne.

3. Obecnie, niektóre zrzuty procesów jak np. lsass.exe (prawdopodobnie ważny jeśli chodzi o ochronę dostępu do sieci) wykazuje błąd... Nie wiem dlaczego, bo nigdy nie było tego typu problemów - jak napisałem wcześniej, już wielokrotnie - i zakładam że tak naprawdę jest to błąd tegoż pakietu, a nie systemu Windows.

WNIOSKI Z BADAŃ NAD PROBLEMEM

1. PRZYCZYNY WYSTĄPIENIA BŁĘDÓW ZWIĄZANYCH Z PROCESEM SVCHOST.EXE NALEŻĄCYM DO GRUPY NETSVCS

a. Niezgodność czasowa następujących po sobie aktualizacji (w tym ważnych oraz opcjonalnych)
b. Słaba ochrona zasobów wrażliwych na ataki z sieci internetowej, w tym poczty elektronicznej (blokowana zawartość), identyfikatora bezpieczeństwa (SID), podwyższonych ustawień IE ochrony oraz instalatora aplikacji,
c. Błędna interpretacja sposobu użycia plików cdf (ang. Chanel Definition Format) lub niepotwierdzenia ich przez klienta, w tym skrzyżowanie wysyłania powiadomień i pobierania zawartości
d. Zawirusowany instalator oprogramowania, którego celem jest przejęcie kontroli nad zasobami (w tym udziałami) komputera.
e. Problem wyboru aktualizacji opcjonalnych Windows Update. Potwierdzenie obserwacji

- Powershell 2.0 i WinRM dla systemów Windows Vista (KB968930)
- Update for Rights Managment Services Client for Windows Vista x64 based systems (KB979099)
- Rozszerzenie klienta preferencji zasad grupy dla systemu Windows Vista x64 Edition (KB943729)
, w tym sterowników do różnych urządzeń w komputerze pobieranych z Windows Update

f. Nieznany problem wpływu na koordynację transakcji rozproszonych (usługa KtmRm). Powiązany z procesem svchost.exe oraz usługami zdalnych wywołań procedur RPC oraz modelu DCOM, który pozwala na wzajemną współpracę w sieci lub internecie modelowi obiektów rozproszonych,
g. Nieznany problem pliku Windll.dll, ochrony zasad grupy (patrz wyżej) oraz podobnych przykładów.

2. SPOSOBY OBRONY PRZED WYSTĄPIENIEM PROBLEMU W PRZYPADKU WYKRYCIA SZKODNIKÓW

a. Zmiana identyfikatora bezpieczeństwa (SID)
b. Podniesienie stopnia ochrony sieci programu Internet Explorer na HIGH
c. Zmiana nazwy komputera w sieci
d. Zmiana nazwy grupy roboczej
e. Wyłączenie opcji netbios we właściwościach połączeń protokołu TCP/IP
f. Tworzenie kopii zapasowych i punktów przywracania
g. Założenie bardziej rozbudowanych haseł w systemie jak również ochrona za pomocą szyfrowania danych

3. USŁUGI POWIĄZANE PROCESEM SVCHOST.EXE NALEŻĄCYM DO GRUPY NETSVCS

AeLookUpSvc, Appinfo, gpsvc, IKEEXT, LanmanServer, MMCSS, ProfSvc, Sheudle, Seclogon, SENS, ShellHWDetection, Themes, Winmgmt, Bits, wuauserv (Windows Update)

FAQ

komenda wiersza poleceń cmd

net start wuauserv - pozwala na uruchomienie usługi Windows Update

net user administrator /active:yes - umożliwia aktywację konta administratora

• Pobierz folder
• Zachomikuj folder