Perverzní dubnová aktualizace MS Windows
Na PC s MS Windows XP Home mi začala probíhat aktualizace, v jejímž rámci se mi do rootu nainstalovaly dva adresáře s nesmyslnými označeními. V jednom z nich se nacházejí soubory mrtstub.exe, jenž sám sebe prohlašuje za Malicious Software Removal Tool Update Stub a dále jakýsi mrt.exe_p. Předpokládám, už s ohledem na to nomen omen označení (z)mrt, že se jedná o programy Microsoftu.
Při té aktualizaci se mi dále v paměti spustil pravděpodobně jako důsledek shora uvedených skutečností program mrt.exe, který mi vytížil CPU na 90 %, což mi v podstatě znemožnilo se dostat na zabezpečenou stránku s homebankingovou aplikací.
Tak jsem holt aktualizace zakázal, vyřídil si tu banku, ale docela mě to vytočilo. Všude doporučují aktualizace provádět automaticky, ale přece si ten MS nebude určovat, kdy si Windows budou spouštět svoje quasiantivirové aplikace, které zákazníkovi fakticky znemožní pracovat s počítačem.
Jestli tohle MS nezavinil, jsem připraven se mu omluvit.
mrt.exe už je tu s námi pár let... instaluje a spouští se v rámci aktualizací každý měsíc.
Dočasný adresář v rootu zůstal nesmazán nejspíš proto, že se něco nekorektního stalo v průběhu instalace, buď vinou programu samého, nebo že ses jej pokusil násilně ukončit (nebo proces installeru který ho spouští).
Vytížení procesoru na 100% u jakéhokoliv programu instalovaného přes Windows Installer není nic divného.
Dříve jsem však ty problémy s mrt.exe nemívával, přičemž jsem žádné zásadní změny na SW ani HW za poslední čtvrtrok nespáchal.
Takže co doporučuješ? Mě nenapadá nic jiného než nechat proběhnout aktualizaci v mimopracovní době a pak se podívat, zda ty adresáře jako dočasné zmizí; v opačném případě provést obnovu např. z února a aktualizovat znovu.
jestli po sobě instalátor "neuklidí", tak to můžeš smazat ručně. (Nebo to nechat být mě osobně nějaké tempy nevzrušují).
Aktuální aktualizace právě v tenhle okamžik instaluju na server, tak uvidíme co to (mrt.exe) udělá.
edit: v rootu nic nemám. Process explorer neprotestuje.
dostal jsem se náhodou k legálním xp, a když už jsem si omylem odkliknul nejdřív stahovat automatické aktualizace, a pak i nainstalovat, nechávám to být a pozoruju co to dělá:
pomalejší start xp, občasná nestabilita různých aplikací, včera se mi nainstaloval paskvil ie7 - neumí zacházet ani s vlastními lištami.
těším se na sp3; nainstaluju xp znovu a automatické aktualizace navždy zakážu.
Taky mám fungl nové problémy. Právě jsem zjistil, že nemohu spustit Process Explorer; z popisky zjišťuji, že by to měla být verze 11.04.
IMHO nezáleží na tom jestli se instaluje automaticky nebo ručně, ale že pravidelně. (pokud je to důležitý produkční počítač, tak předtím otestovat na jiném.)
Tak ta moje situace je ještě tragičtější. Po obnově a ručním spuštění aktualizace se stahování po třetí položce trvale zasekne a když to killnu, zůstanou mi viset v paměti dva procesy msiexec.exe, které mi zatěžují CPU až na 99 % a ty už zabít nejdou.
spuštěný msiexec.exe znamená, že se aktualizace už instaluje, ne že se teprve stahuje. parent toho procesu by měl mít jméno aktualizace která se instaluje a nedaří se.
Tohle je poměrně zamotaná situace a neexistuje univerzální řešení /není jím univerzálně ani windows update reset/
Přijde mi to, že je ten systém nabořený (a nedá se vyloučit, že se to rozdrbalo samo - ale může být i nějaký SW/HW konflikt.
souhlas. já to píšu ve smyslu že pokud ruční instalace - tak jen výběrová pro megakritické záplaty.
prostě mě zajímalo jak se vlastně chová legální systém - a nejsem z toho zrovna odvázaný. no, už aby tu byl sp3.
Ten IE 7 polidští udělátor IE7 Pro
Minulý měsíc jsem u aktualizací (nikdy ne automatických) udělal chybu,
že jsem si tentokrát vůbec nepřečetl, co jsou přesně zač.
Včil mi pokaždé SpyBot ukáže, že mám 3 Entries v "Microsoft redirect" hosts souboru,
teď z hlavy nenapíšu, vo co go, ale nevypadá to na nic záludného.
Stejně mi to pije krev, takže při placení složenek přes netbanking
nechám ty 3 bordely napřed smazat v obavě o svůj malý uzlíček naspořených peněz.
Vždycky zapomenu ty řádky v hosts smazat.
Zítra budou aktualizace, pak to vezmu najednou a příště budu zase už pořádně číst,
tedy jedná se o naprosto legal W2000 SP4.
Tak jsem to jakž takž vyřešil. Vrátil jsem se obnovou nějaký ten pátek dozadu a udělal funglnágl všechny aktualizace. Tím jsem dosáhl, že mi svchost.exe začal vytěžovat CPU na 100 %.
Protože jsem filuta, odebral jsem se na Poradnu.net, kde jsem vyhledal trik od kolegy Mabrika, který na http://pc.poradna.net/question/view/136021-cpu-100# re-136363 radí nainstalovat opravu WindowsXP-KB927891-v3-x86-CSY.exe. To jsem učinil a svchost.exe se zklidnil.
Tři nesmyslně označené adresáře mi však v rootu zůstaly; jsou plné souborů s příponou .mst a týkají se nějak .NET Frameworku, přičemž nejdou smazat ani pomocí Unlockeru. Tak jsem je alespoň zneviditelnil, aby mne neiritovaly.
//Edit: Process Explorer jsem inovoval na verzi 3.12, čímž jsem dosáhl toho, že po jeho spuštění mi totálně zamrzne celý PC. Apropó, nekoupil ho nedávno MS od Sysinternalsů?
U mně Net Framework nedělá problémy, ale mám jen verzi 1.1
a 2.0 + SP1 pro NF 2.0. Verzi 3 NF jsem nezkoušel, to je patrně tvoje verze.
Nedávno?http://technet.microsoft.com/en-us/sysinternals/bb8 96653.aspx Process Explorer v11.12 - Pokud tvá paranoia nesnese MS výrobek použij jeden z posledních Sysinternals verzí "Sysinternals Process Explorer (8.35) Copyright © 1998-2004 Mark Russinovic". Verze 3,12 musí být hodně stará nebo se jedná o překlep.
----
mst jsou installerský skripty - win installer nejede v nouzovým režimu, smazej si je tam, na nepovedenou MSI instalaci zkus použít Windows Installer Clean Up (MsiZap)290301 ///odstraňuje hodnoty z registry, na soubory nesáhne///, event viewer snad taky nemlčí.
Podle mého časového rozlišení to bylo skutečně nedávno. Jinak jsi měl pravdu, přepsal jsem se, ta verze Process Exploreru je skutečně 11.12. Kupodivu v nouzovém režimu běží, zasekne se jen v plném.
Ty *.mst soubory nejdou smazat ani v nouzovém režimu. Windows Installer Clean Up se bojím použít, abych si neudělal nějaké nezvratné změny a nemusel přeinstalovávat desítky programů.
Holt se s tím musím naučit žít. Inu, jak říká J. Wolker: "MS není zlý, MS je jen kus života těžkého"...
když ti nechce jít ms process explorer s ms windows, zkus tento:
http://pc.poradna.net/flash/view/793-upm-kladivo-na -havet-verze-4
Toho UPM mi zase nedovolí spustit antivirus.
život je zlý.
služba windows installer běží jen na vyžádání, čili neblokuje ty soubory. pokud přesto nejdou adresáře smazat, není jejich vlastníkem "system" - nešly by převzít práva?
Windows Installer Clean Up - se použije pouze pokuď víš, která instalace přes MSI je pojebaná.
-------------------------
Není nic jednoduššího, než si důvod zjistit. Buď filemon nebo process monitor(tam odškrtni aby čmuchal registry-takže zase filemon).
----
Spusť process monitor
Klikni na tlačítko lupa a deaktivuj výpis
CTRL+X a vymazej výpis - máš čisté okno.
Odškrtni- registry summary(tlačítko zelených kostiček)
Otevři si v průzkumníku složku která nejde smazat.
V process monitoru klikni na tlačítko terče, drž ho a upusťho na okno toho průzkumníku.
Klikni na tlačítko lupa a aktivuj výpis.
Pokus se smazat složku.
Čekej až do oznámení, že to nejde.
Klikni na tlačítko lupa a deaktivuj výpis.
------------------------------------------- -----------------------------------------
Jak se v tom vyznat:
Nejhlavnější je pro tebe kolonka Resolut.Česky:Takže proces Explorer.exe s PIDem 1234 čte výpis adresáře(query directory)xxx Resolut Success (úspěch).Při mazání zůstává poslední na řadě adresář (soubory "přesunuty" do koše)- Resolut: NO MORE FILES
a končí operací closefile.
Resolut kterých si budeš všímat:
BUffer Overflow -jen pokud jich bude na stejným úkonu hodně, jestli jeden je to žádoucí stav.
Access Denied - přístup zamítnut: toto je už konečný stav, příčina se bude vyskytovat před tímto. Příklad: explorer.exe opakovaně načítá nějaký modul a končí to Access Denied u mazání složky = může za to modul.V kolonce detail zjistíš konkrétní důvod.
-------------
Vypadá to složitě, ale je to hodně jednoduchý.
Kmochno a Brtníku díky, ale než jsem si stačil Vaše rady přečíst, vymazal jsem si ty adresáře prostřednictvím Linuxu na USB flashdisku.
Jinak stav mých XP je stále poněkud inkoherentní; normálně mi všechno šlape, ale jakmile spustím třeba taskmanager, vytíží mi CPU na 90 %. Proč tak činí MS program a nikoli proslulý paměťový žrout Firefox, je mi záhadou.
Dalším paranormálním jevem je, že nejnověji nainstalovaný (z)mrt.exe se mi po chvíli zasekne na položce pid:400 (to je jeden z mých security programů), totálně zamrzne a nejde killnout. Asi dám za pravdu Vladimírovi, že mám nějak nabořený systém. Nechápu ale proč, můžu totiž stejně jako hostinský Palivec (když ho odváděli na komisařství a odtud k soudu, kde dostal deset let) říci: "Já byl přece tak vopatrnej"...
Někdo bude brblat, ale co už. Dovol mi, abych tě co nejsrdečněji přivítal mezi ostatní pokusné králíky, zařazené do výzkumného programu Automatic Windows Update.
Už mi je z té MS mrkve na blití....
systém sa nechová štandartne,to je jasné,z toho vyplýva,že je nejako poškodený.Ako prvý krok zadaj do príkazového riadku sfc/scannow,čo obnoví poškodené a prepísané systémové a chránené súbory do pôvodnej ,správnej podoby,obvykle si to samo vyžiada vloženie inštalačného disku windows,potom si skontroluj,či máš nainštalovanú KB927891,čo je update pre msi installer,ktorý na niektorých zostavách spôsobuje mrznutie inštalačného programu,bezdôvodné predčasné ukončenie inštalácie bez chybovej hlášky alebo nezmyselné vyťaženie procesora počas inštalačného procesu,tak isto si pozri KB938828-update pre explorer/nie internet explorer/,potom nechaj prebehnúť scandisk,defragmentáciu a kontrolu antivírom a antispywarom,doporučujem aj nejaký jednorazový čistič na zlob/zotob/haxdoor/elkern/klez sériu trojanov,ktoré takisto vedia dostať systém do naprosto abnormálneho stavu a sú velmi ťažko identifikovatelnné,nespoliehaj sa na nejaký free avg a spol,s nimi majú problémy aj antivíry iného kalibru,skús norman malware cleaner,emco malware destroyer,spycatcher express,bitdefender online ,trendmicro housecall.....
Tak já to napíšu pod tebe.
Zaujal bych naprosto odlišný postup. Ten sfc/scannow ok, ale myslím ti že vyruší veškerý aktualizace co jsi měl .Pokud srovnáš chování ve stavu nouze (kdy šlape jak hodinky ?) a v normálním - musí tam blbnout nějaký resident nebo ovladač.
----
---- event viewer projít vyzjistit chybu----
1. antivir antispy antivšechno - ven
2. firewall - ven
--- regclean od MS a vyčistit registry, restart, regclean od MS a vyčistit registry, restart -----
3. čištění: tempy, int. cache,....
restart
4. pokusit se spustit process explorer (zběžně mrkni jestli nevytěžují: interrupts a dpc´s)
------ ověřit jestli je vše vpořádku, pokud ne, tak----
5. autoruns (popřípadě msconfig) a podívat se na služby a moduly co se spouštějí. (vše ověřovat pomocí event vieweru), hodně bývá na vině ovladač krysy nebo multi klávky, pokud používáš motivy tak ty bych zastavil.
Vejra bych prolítával ve stavu nouze nebo z boot cd a antivir bych do ostrého provozu zatím nezapojoval dokuď to nevyřešíš.
restart
Ogl a Kmochno, díky.
Vyzkoušel jsem první fázi vašich rad a to odstranit antivir. Zatím to vypadá, že se jednalo o kámen úrazu. Paměť reaguje přiměřeně, už se mi spouští Process Explorer; i ten nešťastný (z)mrt.exe je schopen dokončit kontrolu.
Zřejmě došlo ke kolizi antiviru (Avira) z novými komponenty systému nabytými v rámci Windows Update.
Prima -u Aviry jsou na aktualizace čiperní - oprava by mohla být cobydup.
SFC by neměl vyrušit aktualizace, protože mají vlastní certifikát.