Servisneva.ru

Сервис Нева
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Архитектура Windows

Архитектура Windows

Windows представляет собой операционную систему с гибридным ядром (см. лекцию 1 «Введение в операционные системы»). В ней основные системные функции по управлению процессами, памятью, устройствами, файловой системой и безопасностью реализованы в компонентах, работающих в режиме ядра; но существует ряд важных системных компонентов пользовательского режима, например системные процессы входа в систему, локальной аутентификации, диспетчера сеансов, а также подсистемы окружения.

Архитектура Windows представлена на рис.4.1 [5; 2].

Архитектура Windows

Компоненты пользовательского режима

В пользовательском режиме работают следующие виды процессов:

  • системные процессы (system processes) – компоненты Windows, отвечающие за решение критически важных системных задач (т. е. аварийное завершение одного из этих процессов вызывает крах или нестабильную работу всей системы), но выполняемые в пользовательском режиме. Основные системные процессы:
    • Winlogon.exe – процесс входа в систему и выхода из неё;
    • Smss.exe (Session Manager – диспетчер сеансов) – процесс выполняет важные операции при инициализации системы (загрузка необходимых DLL, запуск процессов Winlogon и Csrss и др.), а затем контролирует работу Winlogon и Csrss;
    • Lsass.exe (Local Security Authentication Subsystem Server – сервер подсистемы локальной аутентификации) – процесс проверяет правильность введенных имени пользователя и пароля;
    • Wininit.exe – процесс инициализации системы (например, запускает процессы Lsass и Services);
    • Userinit.exe – процесс инициализации пользовательской среды (например, запускает системную оболочку – по умолчанию, Explorer.exe);
    • Services.exe (SCM, Service Control Manager – диспетчер управления службами) – процесс, отвечающий за выполнение служб – см. ниже;
    • собственно Windows – при помощи данной подсистемы выполняются 32 разрядные приложения Windows (Win32), а также 16 разрядные приложения Windows (Win16), приложения MS DOS и консольные приложения (Console). За подсистему Windows отвечает системный процесс Csrss.exe и драйвер режима ядра Win32k.sys;
    • POSIX (Portable Operating System Interface for UNIX – переносимый интерфейс операционных систем UNIX) – подсистема для UNIX-приложений. Начиная с Windows Server 2003 R2 компонент, реализующий эту подсистему, называется SUA (Subsystem for UNIX-based Applications). Компонент не устанавливается в Windows по умолчанию.

    Все перечисленные процессы пользовательского режима (кроме подсистемы POSIX 1 Подсистема POSIX использует библиотеку Psxdll.dll. ) для взаимодействия с модулями режима ядра используют библиотеки Windows DLL ( Dynamic Link Library – динамически подключаемая библиотека). Каждая DLL экспортирует набор Windows API функций, которые может вызывать процесс.

    Windows API ( Windows Application Programming Interface , WinAPI) – это способ взаимодействия процессов пользовательского режима с модулями режима ядра. WinAPI включает тысячи функций и хорошо документирован [10].

    Основные Windows DLL следующие:

    • Kernel32.dll – базовые функции, в том числе работа с процессами и потоками, управление памятью и вводом выводом;
    • Advapi32.dll – функции, в основном связанные с управлением безопасностью и доступом к реестру;
    • User32.dll – функции, отвечающие за управление окнами и их элементами в GUI приложениях (Graphical User Interface – графический интерфейс пользователя);
    • Gdi32.dll – функции графического пользовательского интерфейса (Graphics Device Interface, GDI), обеспечивающие рисование на дисплее и принтере графических примитивов и вывод текста.

    Библиотека Ntdll. dll экспортирует в большинстве своем недокументированные системные функции, реализованные, в основном, в Ntoskrnl.exe. Набор таких функций называется Native API («родной» API ).

    Библиотеки Windows DLL преобразуют вызовы документированных WinAPI функций в вызовы функций Native API и переключают процессор на режим ядра.

    Компоненты режима ядра

    Диспетчер системных сервисов ( System Service Dispatcher ) работает в режиме ядра, перехватывает вызовы функций от Ntdll. dll , проверяет их параметры и вызывает соответствующие функции из Ntoskrnl.exe.

    Исполнительная система и ядро содержатся в Ntoskrnl.exe (NT Operating System Kernel – ядро операционной системы NT) (по поводу использования термина » ядро » в Windows см. лекцию 1 «Введение в операционные системы»).

    Исполнительная система ( Executive ) представляет собой совокупность компонентов (называемых диспетчерами – manager ), которые реализуют основные задачи операционной системы:

    • диспетчер процессов (process manager) – управление процессами и потоками (см. лекцию 6 «Процессы и потоки»);
    • диспетчер памяти (memory manager) – управление виртуальной памятью и отображение её на физическую (см. лекцию 8 «Управление памятью»);
    • монитор контроля безопасности (security reference monitor) – управление безопасностью (см. лекцию 9 «Безопасность»);
    • диспетчер ввода вывода (I/O manager), диспетчер кэша (cache Manager), диспетчер Plug and Play (PnP Manager) – управление внешними устройствами и файловыми системами (см. лекцию 10 «Управление устройствами» и лекцию 11 «Файловая система NTFS»);
    • диспетчер электропитания (power manager) – управление электропитанием и энергопотреблением;
    • диспетчер объектов (object manager), диспетчер конфигурации (configuration manager), механизм вызова локальных процедур (local procedure call) – управление служебными процедурами и структурами данных, которые необходимы остальным компонентам.

    Ядро ( Kernel ) содержит функции, обеспечивающие поддержку компонентам исполнительной системы и осуществляющие планирование потоков (см. лекцию 7 «Планирование потоков»), механизмы синхронизации, обработку прерываний.

    Компонент Windows USER и GDI отвечает за пользовательский графический интерфейс (окна, элементы управления в окнах – меню , кнопки и т. п., рисование), является частью подсистемы Windows и реализован в драйвере Win32k.sys.

    Взаимодействие диспетчера ввода вывода с устройствами обеспечивают драйверы (drivers) – программные модули, работающие в режиме ядра, обладающие максимально полной информацией о конкретном устройстве (драйверы подробнее рассматриваются в лекции 10 «Управление устройствами»).

    Однако, и драйверы, и ядро не взаимодействуют с физическими устройствами напрямую – посредником между программными компонентами режима ядра и аппаратурой является HAL ( Hardware Abstraction Layer ) – уровень абстрагирования от оборудования, реализованный в Hal . dll . HAL позволяет скрыть от всех программных компонентов особенности аппаратной платформы (например, различия между материнскими платами), на которой установлена операционная система .

    Резюме

    В лекции представлена архитектура операционной системы Windows и описаны основные компоненты пользовательского режима и режима ядра.

    What is wininit.exe?

    In short, wininit.exe is a Windows Start-Up Application that is a vital process required in Windows 10 and older version Operating system. This file is required during booting up the system and therefore it should be renamed or removed from the system.

    As the name signifies, wininit.exe is an initialization file. It is called into action at the early stage of booting by the file smss.exe (session manager subsystem). wininit.exe then creates lsass.exe (local security authority subsystem), services.exe (services controller manager), and lsm.exe (local session manager).

    The wininit.exe process is responsible for creating Winlogon (to provide login interface), Winsta0 (window station), and the %windir%temp folder. Even when the system is running winint.exe is a facilitator for initializing and starting various important processes

    wininit.exe — Что это такое? Следует ли мне его удалить?

    В операционной системе Windows есть множество приложений и служб, работающих в фоновом режиме, чтобы обеспечить бесперебойную работу ОС. Чтобы проверить службы, запущенные в настоящее время в вашей системе, вы можете просто перейти на панель задач ниже и щелкнуть ее правой кнопкой мыши. Вы увидите опцию под названием «Диспетчер задач», и щелкнув по ней, вы увидите все процессы, запущенные в настоящее время в системе.

    Здесь в списке отображается несколько сервисов, и большинство пользователей не понимают, что это за процессы. Одним из таких процессов является «wininit», и в этой статье мы рассмотрим, что это такое и является ли это вредным для вашей системы.

    wininit.exe - Что это такое? Следует ли мне его удалить?

    Что такое wininit.exe?

    На самом деле Wininit — это файл операционной системы Windows, который очень важен для правильной работы среды Windows. Имя Wininit означает инициализацию Windows, а расширение файла .exe означает, что это исполняемый файл. Он запускается, как только система загружается, и не может быть остановлен или перезапущен, если не будет перезапущена вся система полностью. Когда Windows загружается, smss.exe запускается в фоновом режиме и запускает файл wininit.exe. Это снова создаст файлы isass.exe, services.exe и ism.exe. Ism.exe — это исполняемый файл для Local Session Manager, isass.exe — это исполняемый файл для Local Security Authority Subsystem, а services.exe — это исполняемый файл для Services Controller Manager. Итак, wininit отвечает за запуск трех основных процессов Windows. Он также отвечает за создание папок Winlogon, Winstao и% windir% temp в системе. Таким образом, невозможно загрузить окна в системе, если процесс wininit.exe не работает в фоновом режиме.

    Это безопасно?

    Если это настоящий файл wininit, то он, безусловно, безопасен и необходим для системы. Но проблема заключается в том, что некоторые разработчики осознают необходимость этого процесса, и поэтому они разрабатывают троянские программы с этим конкретным именем файла, чтобы обмануть систему и заставить ее думать, что она является частью системы. Многие антивирусы тоже не обнаруживают и не пропускают его в систему. Таким образом, будучи трояном, он предоставляет несанкционированный доступ к вашей системе. Это потенциально может убить запущенные системные процессы, получить личную информацию и удаленно выполнять команды. Мы этого совсем не хотим, так как это может привести к полному отключению нашей системы Windows.

    Вам не нужно паниковать, так как есть очень простой способ определить, является ли файл wininit.exe, запущенный в вашей системе, файлом Windows или вредоносной программой. Все, что вам нужно сделать, это проверить расположение файла, и если он отображается C: Windows System32, то вы в полной безопасности и можете быть спокойны, потому что это файл Windows. Однако, если вы видите другое местоположение, вам необходимо как можно скорее удалить его. Чтобы проверить расположение процесса wininit.exe, запущенного в вашей системе, просто щелкните правой кнопкой мыши файл, который отображается в диспетчере задач, и выберите параметр «Открыть расположение файла». Откроется новое окно, в котором будет показано расположение процесса wininit.exe.

    Стоит ли его удалить?

    Да, вам следует удалить его, если вы обнаружите, что расположение файла несколько отличается от C: Windows System32. Если он находится в папке C: Windows System32, то оставьте как есть, так как тогда это системный файл. Удаление или отключение этого системного файла приведет к выключению вашей системы, после чего вам придется выполнить полную перезагрузку.

    Теперь, чтобы удалить троян Wininit из вашей системы, во-первых, вам необходимо установить антивирус, например антивирус AVG или Malware Bytes. Затем откройте свой антивирус и обновите описания вирусов до последней версии. Теперь просто перезапустите свою систему, и когда появится логотип Windows, несколько раз нажмите кнопку F8, пока не попадете в «расширенное меню запуска Windows». Теперь просто прокрутите список параметров и выберите «Загрузка в безопасном режиме». После загрузки системы в безопасном режиме откройте антивирус и выполните полное сканирование системы. Удалите все вирусы, обнаруженные при этом сканировании.

    Теперь нажмите кнопку Windows и откройте «Выполнить». Введите здесь «Regedit» и нажмите Enter. Это откроет реестр. Теперь на левой панели нажмите «HKEY_LOCAL_MACHINE». Затем выберите «ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ», щелкните «Microsoft» и выберите «Windows». Теперь нажмите на опцию «Текущая версия» и выберите опцию «RunServices». На правой панели просто удалите значение «wininit» = «% System% wininit.exe», и это должно помочь. Теперь ваша система полностью свободна от трояна, маскирующегося под файл «wininit.exe». Обязательно настройте точку восстановления перед тем, как продолжить этот процесс, чтобы убедиться, что если что-то пойдет не так, вы можете просто вернуться к этой предыдущей точке.

    Надеюсь, этот совет был полезен для вашей системы. Прокомментируйте, помогла ли эта статья определить троян в вашей системе. Кроме того, ознакомьтесь с нашими советами по Windows, Android, iPhone и другими разделами для получения дополнительной информации.

    Модератор: Tim308

    • Версия для печати
    • Страница 1 из 15
    • Перейти на страницу:

    DesignerMix Администратор
    АдминистраторСообщения: 6816 meble kuchenne PL this is the official website Зарегистрирован: 25 апр 2014, 10:51 Откуда: Белгород Контактная информация:

    Исправляем синий экран смерти (BSOD). Windows Debugging Tool

    • Цитата

    Сообщение DesignerMix » 29 апр 2014, 09:55

    • Windows Debugging Tool — http://msdn.microsoft.com/ru-RU/windows . e/hh852363
    • Отредактированный скрипт KDFE (должен работать сразу) — http://goo.gl/WiEPBY
    • Оригинальный скрипт KDFE — http://tools.oszone.net/Vadikan/files/kdfe.zip
    • Справочник BSOD — http://soft.oszone.net/program/809/Spravka_po_BSOD/
    • Утилита BlueScreenView — http://www.nirsoft.net/utils/blue_screen_view.html

    Отредактированный мной скрипт KDFE:

    Re: Исправляем синий экран смерти (BSOD). Windows Debugging

    • Цитата

    Сообщение Belyj » 09 июн 2014, 22:28

    DesignerMix Администратор
    АдминистраторСообщения: 6816 Зарегистрирован: 25 апр 2014, 10:51 Откуда: Белгород Контактная информация:

    Re: Исправляем синий экран смерти (BSOD). Windows Debugging

    • Цитата

    Сообщение DesignerMix » 09 июн 2014, 22:45

    Belyj, если грамотно проводить диагностику программно, при этом анализируя дампы памяти, заглядывая в журнал событий Windows и делая правильные выводы, то можно довольно быстро понять в чем именно проблема.

    С тем что на опере часто окисляются контакты согласен, но вы-же сами сказали что тема обширна и поэтому сразу бросаться в поиск аппаратных неисправностей наверное не стоит. Тем более те люди которые смотрели это видео в большинстве своем не имеют опыта в разборе компьютера не говоря уже о извлечении отдельных его частей и было-бы опрометчиво им это советовать т.к. если они не исправят проблему, а сделают только хуже будет не очень хорошо.

    Re: Исправляем синий экран смерти (BSOD). Windows Debugging

    • Цитата

    Сообщение Belyj » 11 июн 2014, 00:03

    Re: Исправляем синий экран смерти (BSOD). Windows Debugging

    • Цитата

    Сообщение banzay_man » 12 июн 2014, 07:59

    Re: Исправляем синий экран смерти (BSOD). Windows Debugging

    • Цитата

    Сообщение Belyj » 12 июн 2014, 22:41

    DesignerMix Администратор
    АдминистраторСообщения: 6816 Зарегистрирован: 25 апр 2014, 10:51 Откуда: Белгород Контактная информация:

    Re: Исправляем синий экран смерти (BSOD). Windows Debugging

    • Цитата

    Сообщение DesignerMix » 12 июн 2014, 23:01

    Re: Исправляем синий экран смерти (BSOD). Windows Debugging

    • Цитата

    Сообщение banzay_man » 13 июн 2014, 07:13

    DesignerMix Администратор
    АдминистраторСообщения: 6816 Зарегистрирован: 25 апр 2014, 10:51 Откуда: Белгород Контактная информация:

    Re: Исправляем синий экран смерти (BSOD). Windows Debugging

    • Цитата

    Сообщение DesignerMix » 13 июн 2014, 10:26

    Если файл подкачки у вас тоже был включен, попробуйте вручную создать папку Minidump (путь в итоге должен быть таким «Имя_диска_с_ОС:WindowsMinidump»).

    Если ничего не поможет и после появления синего экрана дамп так и не появиться сделайте следующее:

    • Прокрутите от правой границы экрана и затем последовательно коснитесь элементов Параметры и Изменить параметры компьютера. (Если вы используете мышь, переместите указатель в верхний правый угол экрана, затем вниз и последовательно щелкните Параметры и Изменить параметры компьютера.)
    • В разделе Параметры компьютера выберите Обновление и восстановление.
    • Теперь выберете Восстановление
    • В разделе Особые варианты загрузки выберете Перезагрузить сейчас
    • Далее последовательно зайдите — Диагностика -> Дополнительные параметры -> Параметры загрузки -> Перезагрузить -> При запросе нажмите клавишу F9, таким образом вы отключите автоматическую перезагрузку при отказе системы.

    Re: Исправляем синий экран смерти (BSOD). Windows Debugging

    • Цитата

    Сообщение banzay_man » 15 июн 2014, 08:59

    DesignerMix Администратор
    АдминистраторСообщения: 6816 Зарегистрирован: 25 апр 2014, 10:51 Откуда: Белгород Контактная информация:

    Re: Исправляем синий экран смерти (BSOD). Windows Debugging

    • Цитата

    Сообщение DesignerMix » 15 июн 2014, 12:24

    Вам выше задавали вопрос, но вы так и не ответили. У вас ноутбук или стационарный компьютер? Если ноут, напишите его модель.

    По поводу ошибки SYSTEM_THREAD_EXCEPTION_NOT_HANDLED:
    — Попробуйте отключить все USB-устройства из портов (кроме клавиатуры и мышки , если они USB);
    — Если не помогло, попробуйте восстановить BIOS на значения по умолчанию. Для этого зайдите в BIOS и в пункте «Exit» выберите «load optimal defaults» и затем нажмите F10, таким образом будут восстановлены значения по умолчанию для BIOS материнской платы:

    Шаг 1. Перезагружаем компьютер
    — Включите компьютер, либо начните перезагрузку компьютера.

    Шаг 2. Входим в BIOS
    — Нажмите клавишу Del сразу после включения компьютера (до начала загрузки операционной системы), лучше несколько раз.
    — В момент включения компьютера сначала отображаются служебные сообщения от компьютера. Обычно они быстро исчезают, но можно успеть прочитать надпись «press <Delete> for setup» — вот тут-то и надо нажимать. Вместо этой фразы или клавиши Del может быть написана другая, тогда нажимайте ее.

    Что делать, если не сработало?
    — Если у вас ноутбук или «брендовый» компьютер, нажатие Del может не сработать, в этом случае попробуйте клавишу F2.
    — Следует заметить, что каждый сборщик/производитель компьютера волен использовать любые клавиши для входа пользователя в BIOS. Однако клавиша (или же комбинация клавиш), как правило, указывается на экране сразу после включения компьютера. Чтобы задержать изображение на экране следует пользоваться клавишей Pause (верхний ряд клавиатуры).
    Del и F2 встречаются чаще всего, однако в некоторых моделях компьютеров возможны различные варианты входа в BIOS — это могут быть клавиши F8, F10, Esc.

    — Если ничего из вышеперечисленного не помогло, попробуйте переключить режим работы жесткого диска в BIOS — на «Compateble IDE» если он стоит на «AHCI», либо наоборот на «AHCI» если он стоял на «Compateble IDE». Если это не изменит ситуацию верните значение на то, которое было изначально.

    — Ну и наконец если все вышеперечисленное не принесет результата, нужно проверить жесткий диск на ошибки. К примеру воспользовавшись утилитой HDD Regenerator

    Процессы в Windows 10 и их описание

    Окно процессы (Processes)

    Как уже было сказано, при необходимости можно развернуть подробное окно диспетчера задач и открыть окно процессов. В этом окошке будут отображаться запущенные на данном ПК процессы и их характеристики. Изначально они сортируются по именам. Вы можете нажать на верхушку любого столбца и отсортировать их по параметру, на который нажали. К примеру, можно выстроить процессы по занимаемому объему оперативной памяти.

    Взгляните на колонку «Тип» (Type), там можно встретить несколько разных типов процессов:

    • Приложение (App) – любые программы, работающие в оконном режиме;
    • Фоновые процессы (Background Process) – вы их не видите, они работают в фоновом режиме;
    • Процессы Windows (Windows Process) – эти процессы запустила сама операционная система и они необходимы для нормального функционирования Windows.

    Есть еще одна интересная колонка – Издатель (Publisher). С помощью нее можно узнать о происхождении запущенного процесса, если он кажется подозрительным. Так можно найти вирусы, прикрывающиеся другими процессами, или бесполезный софт, который непонятно как установился в систему и только потребляет ресурсы. Необходимо просто посмотреть местоположение исполняемого файла и удалить его.

    Если что-то сильно грузит вашу систему, и вы хотите найти виновника, сделайте клик по колонке «ЦП» (CPU). Все процессы будут построены в порядке нагрузки на центральный процессор. Например, в нашем случае (см. картинку ниже), самым ресурсоемким процессом оказался «Microsoft Edge», это связанно с тем, что в нем было открыто очень много вкладок. Любой процесс можно легко завершить. Для этого сделайте по нему клик правой кнопкой мышки и нажмите на «Завершить задачу» (End Task).

    Внимание! Перед закрытием процесса точно убедитесь в том, что прекращение его работы не повлечет за собой серьезных нарушений в работе системы. Не завершайте важные для системы приложения типа Windows Process.

    Процесс WININIT.EXE

    wininit.exe - что это за процесс

    Далее рассмотрим цели и задачи данного процесса в системе, а также некоторые особенности его функционирования.

    Описание

    Визуально он отображается во вкладке «Процессы» Диспетчера задач. Принадлежит к системным процессам. Поэтому, чтобы его найти, надо поставить галочку в «Отображать процессы всех пользователей».

    Сведения о процессе wininit

    Можно посмотреть сведения об объекте, нажав на «Свойства» в меню.

    переход свойствам wininit

    Окно с описанием процесса.

    свойства wininit

    Основные функции

    Перечислим задачи, которые последовательно выполняет процесс WININIT.EXE при старте операционной системы:

    • В первую очередь, он присваивает самому себе статус критического процесса, чтобы избежать аварийного завершения системы при ее выходе на отладку;
    • Приводит в действие процесс SERVICES.EXE, который отвечает за управление службами;
    • Запускает поток LSASS.EXE, который расшифровывается как «Сервер проверки подлинности локальной системы безопасности». Он ответственен за авторизацию локальных пользователей системы;
    • Включает службу диспетчера локальных сеансов, который отображается в Диспетчере задач под названием LSM.EXE.

    Под деятельность данного процесса также попадает создание папки TEMP в системной папке. Важным свидетельством критичности этого WININIT.EXE является уведомление, которое выводится при попытке завершить процесс при помощи Диспетчера задач. Как можно увидеть, без WININIT система не может корректно функционировать.

    завершение процесса wininit

    Тем не менее, этот прием можно отнести к еще одному способу завершить работу системы в случае ее зависания или возникновения других аварийных ситуаций.

    Расположение файла

    WININIT.EXE располагается в папке System32, которая, в свою очередь, находится в системной директории Windows. В этом можно убедиться, нажав «Открыть место хранения файла» в контекстном меню процесса.

    открыть местоположение wininit

    Местоположение файла процесса.

    расположение wininit

    Полный путь к файлу выглядит следующим образом:
    C:WindowsSystem32

    Идентификация файла

    Известно, что под данным процессом может маскироваться вирус W32/Rbot-AOM. При заражении он подключается к серверу IRC, откуда ждет команд.

    Как правило, вирусный файл проявляет высокую активность. В то время как, настоящий процесс находится чаще всего в режиме ожидания. Это является признаком установления его подлинности.

    идентификация wininit

    Другим признаком для идентификации процесса может послужить расположение файла. Если при проверке окажется, что объект ссылается на иное расположение, чем вышеуказанное, то это скорее всего вирусный агент.

    Можно также вычислить процесс по принадлежности к категории «Пользователи». Настоящий процесс всегда запускается от имени «Системы».

    категория wininit

    Устранение угрозы

    При возникновении подозрения на заражение необходимо скачать Dr.Web CureIt. Затем нужно запустить сканирование всей системы.

    Далее запускаем проверку, щелкнув «Начать проверку».

    запуск сканирования dr web

    Так выглядит окно сканирования.

    проверка dr web

    При детальном рассмотрении WININIT.EXE мы выяснили, что он является критически важным процессом, который отвечает стабильную работу при старте системы. Иногда может случится так, что процесс подменяется вирусным файлом, и в таком случае нужно оперативно устранять потенциальную угрозу.

    ЗакрытьМы рады, что смогли помочь Вам в решении проблемы.

    Помимо этой статьи, на сайте еще 12351 инструкций.
    Добавьте сайт Lumpics.ru в закладки (CTRL+D) и мы точно еще пригодимся вам.

    Отблагодарите автора, поделитесь статьей в социальных сетях.

    ЗакрытьОпишите, что у вас не получилось. Наши специалисты постараются ответить максимально быстро.

    Re: remote IPs trying to access my wininit.exe

    Calls wrote:

    Thanks Reese- So I’m not THAT crazy, eh ?

    I cannot remember the path and it is no longer in the logs. But the alert in Internet Worm Protection activity log (NAV2008) said something to the effect of

    user created a rul eto allow IP 89.200.147.119 to access wininit.exe

    and it indicated port 49152. The rule allowed this first remote IP address to access wininit.exe, After that there were like 5-6 requestes from other remote IP addresses to do the same. On those requests I received a Norton prompt asking if I wanted to allow or deny

    I have since received a new IP from my service provider ( actually sevral since that time

    I also went into the program rules in Norton Internet Worm Protection- Program Rules and removed wininit.exe from the list of programs. It was showing allowed. Hope it was ok that I removed it from there?

    So could it be that the previous owner of the IP address I had assigned to me at the time, had maybe also been attacked by malicious intenders that had the door opened by the firs remote IP?

    When I run netstat -b here is what I see for port 49152

    Prtoocol Local Address Foreign Address state

    TCP 0.0.0.0:49152 My-PC:0 listening

    [wininite.exe]

    1. so does this indicate anything concerning?

    Also I tried to create a general rule to block port 49152.(again I have NAV2008)

    Block

    inbound connections

    any computer

    TCP/UDP

    local port 49152

    log after 1 event

    I currently have another specific port block rule and that is at the top of the general rules heirarchy.

    I put this new rule second from the top (2. Is that the correct way to do it?)

    I noticed when I boot up that the first specific port block rule will show up in the activity log as a rule in effect. But this new rule does not seem to show at boot up. When I go into Norton protection panel under genral rules, I see the new rule I created and it has a check mark by the box next to it. 3. Why is it not showing at boot up?

    Thanks for helping me resolve this

    Is the «wininite.exe» a typo? Did you mean wininit.exe?

    I don’t know what your first rule does so I can’t answer for certain. If the first rule blocks the communication, you won’t see activity for the second rule associated with that same communication.

    голоса
    Рейтинг статьи
    Читать еще:  Как освободить место на локальном диске C в Windows 10
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector