Загадки TCP/IP (третья серия)

Если враг не сдается, его уничтожают

Вчера было принято решение таки поставить третий сервис-пак на винду.
Потратив еще часов 5 (к тем двум вечерам), мы порешили основные силы сопротивления противника :)
Убито порядка пяти пакетов софта и два зловреда, один из которых - стелс.
Установлено порядка 5-7 третьих сервис-паков для винды.
В итоге - почищенная и слегка оптимизированная винда ХП сп.3 и относительно правильные показатели трансфера по сети. С зеркала Яндекса качает всего вдвое медленнее чем положено.

Как оно было.
При установке сервис-пака машина висла. Иногда висла после перезагрузки.
Чтобы понять, что происходит, я включил журналирование установки с-п:
update.exe /nobackup /log:m:\t\sp.log

Файл апдейта - это из соотв.подкаталога уже распакованного с-п. Патамучта, чтобы не терять времени на распаковку с-п каждый раз, его можно распаковать самому:
WindowsXP-KB936929-SP3-x86-ENU.exe /x:c:\t\sp3

В журнале я увидел, что смертельными (для с-п) граблями указаны файлы, чьи имена какбэ намекают на блютуз. Драйвера блютуза были Тошибовские. Под нож.
После этого один раз с-п установился успешно. А после перезагрузки - зависон. Тут я вспомнил про параметры boot.ini и вернул их в первозданный вид.

А дальше в цикле - удаление/выключение/включение какой-либо софтины/сервиса/драйвера, переустановка с-п. И так до тех пор, пока он не установился и машина не заработала штатно.

В целом, мелкомягкие советуют обратить особое внимание на наличие полного доступа ко всем веткам реестра и ко всем файлам.
У нас, к примеру, некогда установился фактически зловред - драйвер SPTD. Ведет себя как типичный стелс, блокирует ветку реестра. Пришлось убить. А вышел я на него через виндовый эвентлог, в нем было красным по белому написано, что нет доступа к ветке реестра.

Мораль - чаще винду легче переустановить, чем лечить. Вот будет чем заняцца на новогодних каникулах.

Про наличие доступа к реестру и subinacl:
social.technet.microsoft.com/forums

Про ключики файла сервис-пака:
support.microsoft.com/kb/262841

Про уведомление в эвентлоге:
technet.microsoft.com/en-us/library/cc962896

Про стелс SPTD:
greatis.com/security/What is SPTD .sys