Systém nabíhá normálně, ale mezi načtením a použitelností internetu je prodleva 1-2 minuty
Ahoj,
mám tu počítač známých s netradičním problémem. Po klasickém vyklizení asi milionu zbytečných položek z položek Po spuštění, odvšivení a dalšího odklízení zbytečností zůstává ještě jeden problém - systém nastartuje, Skype taky funguje, ale když se spustí jakýkoliv internetový prohlížeč, zůstává zatuhnutý až do té doby, co dole vpravo "problikne" asi po dobu 5s nápis, že brána firewall je vypnuta, počítač je ohrožen a poté zase zmizí. Pak už se začne načítat domovská stránka. Udělal jsem screen Task Manageru a oproti stavu "bez internetu" se poté spustí wmiprvse.exe, wmiapsrv.exe, wmiprvse.exe a alg.exe. Zatím jsem našel, že by to mohl způsobovat firewall třetí strany, ale takový jsem tam nikde nenašel, ze security softwaru je tam pouze Avast a SUPERAntiSpyware. Systém je Windows XP SP3. Čistou instalaci prosím až jako poslední možnost, všechno je nakupené na ploše (SuperBFU, pokusím se tenhle zlozvyk odnaučit) a navíc vše na jednom xxx GB oddílu (harakiri s partition softem bez zazálohování dělat nebudu), externí disk u sebe nemám a dost místa na stolním PC taky ne. Díky za případné rady. Další info dodám, tohle píšu ve spěchu, tak sorry, jestli jsem něco důležitého opomněl.
jsi znalec, takže si vyjeď log z hijackthis a studuj. co se ti nebude líbit za proces / služba / bho doplněk / toolbar, nemilosrdně zabíjej.
zkontroluj mu i hosts, bůh ví čím je zaneřáděný.
jestli máš instalační cd xp s sp3, spustil bych: "sfc /scannow"
nebo aspoň winsockfix.
podívej se na to process explorerem, ať při startu vidíš co se skrývá za kterým svchost.exe - dej si zástupce do "po spuštění", a ty 1-2 minuty na to koukej.
stejně užitečný může být zástupce na tcpview (když není v xp pořádný firewall).
Hijackthis jsem projel a byl tam nějaký divný toolbar - to jsem vyhodil, bez výsledku
Hosts byl plný nějakých pornostránek či co - asi tam kdysi byl nějakej antispyware co ho naplnil - zkusil jsem vyprázdnit, nepomohlo
Winsockfix bez výsledku, instalační CD s SP3 vyrobím až zítra nebo pozítří
V process exploreru a tcpview se po startu nic nedělo a v ten moment, kdy to začalo fungovat, si akorát Avast udělal nových 5 vláken v tcpview a pod jeden svchost se přidaly právě ty wmi.....exe + se dole objevil alg.exe.
Díky za rady, aspoň jsem si rozšířil obzory
jinak wmiprvse.exe se mi spouští jen v práci a taky tam občas nadbytečně visí a zdržuje (tamnější korporátní instalace je fak chuťovka). doma nic takového nevedu, netuším které zlo to spouští.
alg.exe je normální win proces.
nepoužívá ten člověk 2-3 softy pro dálkový přístup najednou? a ví že je tam vůbec má?
možná by neškodilo to proskenovat "av rescue cd" - kvůli offline kontrole na rootkity. třeba avg.
AVG rescue CD - nic to nenašlo, je tam jen Teamviewer a ten se nespouští po startu.
natrasuj si start procmonem
prohlížeč událostlí
jestli je to notes, zkontroluj, jestli se nezahřívá - dneska jsem řešil na tuty mrtvý notes- fouknul vzduch a jede, odezva nemusí být způsobena nejen softem a os, ale i ovladači a hw.
Je to stolní počítač, vyfoukaný od prachu. Co se týče procmonu, tak 186MB log co to vyblilo sem dávat nebudu , ale co je zajímavé, při tom "rozjetí internetu" vyprodukuje services.exe velký kvantum dat (prakticky třetina až půlka celého výpisu).
tak tam bude asik chyba. procmon je o filtrování, časech.
rozjetí netu by ti to řeklo, hledej chyby, ty najdi, a hledej akci ci předchází- mmchdm, komprimace logu do zipu to smrskne ukrutně.
Když vyfiltruju SUCCESS položky, tak nejvíc toho způsobuje právě to services.exe - a to chybu "NAME NOT FOUND", když to provádí operaci RegOpenKey a RegWriteKey.
dobře. a hodnota registry je jaká? patrně se bude snažit načíst službu, která má chybnou cestu, nebo není. tu službu může třeba volat jiná služba, která má závislost na téhle.
------
zkusme tuto:
nouzák vyzkoušet net, pokud je ok, je chyba pravděpodobně v konfiguraci
ostrý start, procmon:
filtry-
process name is services.exe
process name is prohlížeč, který použiješ - to už bude použitelný log
dále u chyby, kterou označíš za chybnou si pravou krysou podíváš do stacku, mrkneš na načtený moduly (bez milosti střílej nesystémový).
process explorer-
načíst prohlížeč
v proc expl - proces vlastnosti
prohlížeč- načti stránku
pe- klikni na stack - uvidíš tam posloupnost modulů+ jejich akce- opět vystřílet nesystémové.
--------
vlastně cílem je:
- zjistit ohnisko průseru (hezký je třeba zacyklení)
- zjistit důvod průseru: konfigurace, utržení splašený kůň třetí strany, konfig systému, chybějící něco.
- a pak postupuj standardně
to je toliko ze systémové strany.
jinak jsi zkoušel brtníka?
sfc je lehký a bezbolestný přeinstal
socket se dá resetnout
dns keška vyčistit
hlavne si kontroluj stack u akcí- která mrcha je tam zainteresovaná, systémové jen systému.
jinak marku, zkus potom v procmonu až najede log, nefiltrovat, ale zvýrazňovat.
takhle vidíš jen chybu a ne co tomu předcházelo.
Je tam XP Home a tohle na mě vyplivnul sfc /scannow:
V nouzáku funguje vše tak, jak má, domovská stránka se načte hned. Socket i DNS cache vymazána, bez výsledku.
Teď prohlížím log z toho procmonu, pak napíšu, jestli jsem něco našel.
sfc hledá instalační cestu v registry- hledej installation path http://www.mydigitallife.info/how-to-change-defaul t-windows-installation-path-to-your-desired-path/
Installation path v registry se shoduje s reálnou. Teď mě napadlo, nemohl bych najít evt. zacyklenou aplikaci pomocí programu WhatIsHang?
kdepak- to se klidně koukni do prohlížeče událostí na hangy.
hledej souvislost, kdy prohlížeč něco načítá a druhá cesta je systém, kdy má blbou konfiguraci.
edit// a omlouvám se, jdu spát, zítra toho dost.