Не удалось запустить службу Удаленный вызов процедур (RPC) на Локальный компьютер. Ошибка 5. Отказано в доступе

[IHmG]

Прошу прощения за несколько спутанное изложение, правила знаю и выполню. Пока хочу описать ситуацию и уже предпринятые (видимо в горячке) действия.

Пока был в отпуске с моим рабочим компьютером случился непонятный глюк, последствия которого исправляю. Дело в том, что он автоматически включается при подаче питания, а тут еще стал циклически перезагружаться. Спасибо коллеге, что сообщил о проблеме! В результате система сообщила, что появились проблемы на жестком диске. Хотя со стороны железа вроде проблем нет (отчет программы Виктория, SMART - good, бэдов нет). Со стороны системы были в результате работы chkdisk множественные сообщения вида Replacing invalid security id with default security id for file NumberFile


Может быть поймал какой-то вирус. Думаю так, потому что закончился срок ключа на касперского и решил попробовать триальный drweb. А потом ушел в отпуск ... и тут или я что-то не так сделал ... или drweb какую-то заразу все-таки пропустил. Плюс видел попытки атак на свою машинку, в Linux (на машинке стоят XP, Vista. AltLinux - выбор загрузки через grub) даже в по-моему в iptable приходилось прописывать юных китайских дарований. Под атаками я понимаю безуспешные попытки подключения по удаленному рабочему столу, но которые я просто заметил когда-то.


Сейчас осталась проблема на XP (а я отсюда все еще пока не переехал!!!) Не работает служба от которой много чего зависит. Выходил в субботу и понедельник, пытался поднять ее. Но при любом способе net start, sc, вручную из списка служб ... получаю сообщение не удалось запустить службу Удаленный вызов процедур (RPC) на Локальный компьютер. Ошибка 5. Отказано в доступе.


Переустанавливать боюсь так как в таком процессе часто что-нибудь терял. Хочется восстановить. Любые идеи с благодарностью приму Как можно системным файлам вернуть разрешения по-умолчанию... на форумах пишут про шаблоны администрирования - может быть кто-нибудь подскажет что это такое?


прогонал Kaspersky Virus Removal Tool - звери не обнаружены, выполнял sfc \scannow


есть три рецепта, которые не применял так как пока еще не понимаю их сути... стоит ли это делать и почему?

netsh winsock reset

sc sdset RpcSs DA;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CR;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)



и твик реестра

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\RpcSs]
"Description"="Обеспечивает сопоставление конечных точек и иных служб RPC."
"DisplayName"="Удаленный вызов процедур (RPC)"
"ErrorControl"=dword:00000001
"Group"="COM Infrastructure"
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,6 5,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d ,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,20,00,2d,00 ,6b,00,20,00,72,00,70,00,\
63,00,73,00,73,00,00,00
"ObjectName"="NT AUTHORITY\\NetworkService"
"Start"=dword:00000002
"Type"=dword:00000020
"FailureActions"=hex:00,00,00,00,00,00,00,00,00,00 ,00,00,01,00,00,00,00,00,00,\
00,02,00,00,00,60,ea,00,00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\RpcSs\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00, 65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00 ,6d,00,33,00,32,00,5c,00,\
72,00,70,00,63,00,73,00,73,00,2e,00,64,00,6c,00,6c ,00,00,00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\RpcSs\Security]
"Security"=hex:01,00,14,80,a8,00,00,00,b4,00,00,00 ,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01 ,00,00,00,00,00,01,00,00,\
00,00,02,00,78,00,05,00,00,00,00,00,14,00,8d,00,02 ,00,01,01,00,00,00,00,00,\
05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00 ,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,18,00,8d,00,02,00,01,02,00,00,00 ,00,00,05,20,00,00,00,23,\
02,00,00,00,00,14,00,9d,00,00,00,01,01,00,00,00,00 ,00,05,04,00,00,00,00,00,\
18,00,9d,00,00,00,01,02,00,00,00,00,00,05,20,00,00 ,00,21,02,00,00,01,01,00,\
00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05 ,12,00,00,00

[Info_bot]

Уважаемый(ая) IHmG, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Уведомление

Внимание !!! База поcледний раз обновлялась 12.07.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.41

Обновите базы и переделайте логи. Если базы не обновляются, сделайте это на другом компьютере и перенесите на флэшке.
Сделайте лог HijackThis и MiniToolBox при подключённом сетевом соединении.

[IHmG]

Сети на больной машинке нет. Обновить базы не могу. Или можно это сделать на любой машине?

[Vvvyg]

Конечно, на флэшку распакуйте и обновите.

[IHmG]

ок

делаю. отпишусь дополнительно... а в HJ нашли что-нибудь подозрительное?

обнаружились дополнительные симптомы

1. копирование через explorer правой кнопкой мыши-копировать клик-вставить не работает. но в far копировать можно
2.при попытке удалить программку пишет Нет доступа к службе установки Windows. Возможно система работает в безопасном режиме или Windows Installer установлен не правильно....

хотя может быть такое и последствие HJ, AVZ, MiniToolBox а не первоначальный симптом?

- - - Добавлено - - -

Уведомление

Внимание !!! База поcледний раз обновлялась 12.07.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.41

Обновите базы и переделайте логи. Если базы не обновляются, сделайте это на другом компьютере и перенесите на флэшке.
Сделайте лог HijackThis и MiniToolBox при подключённом сетевом соединении.

все готово

[Vvvyg]

Скачайте Windows Repair (All In One), установите, запустите, закладка "Start Repairs", "Start", на предложение сохранить реестр и создать точку восстановления соглашайтесь, отметьте пункты "Restore Important Windows Services", "Set Windows Services To Default Startup" и нажмите "Start".

После перезагрузки сделайте новый лог MiniToolBox.

[IHmG]

Скачайте Windows Repair (All In One), установите, запустите, закладка "Start Repairs", "Start", на предложение сохранить реестр и создать точку восстановления соглашайтесь, отметьте пункты "Restore Important Windows Services", "Set Windows Services To Default Startup" и нажмите "Start".
После перезагрузки сделайте новый лог MiniToolBox.

выполнено. логи MiniToolBox отправить не могу. так как сайт отвечает, что превышен предел для загрузок, удалить старые при этом не могу :-( служба так и не запускается при работе tweaking.com_windows_repair_aio проскакивал отчет о действиях черeз sc... и там много failed было... так и должно быть?

[Vvvyg]

Удалите старые вложения.

[IHmG]

В папке Windows repair\Logs\Restore_Important_Windows_Services.txt 8 сообщений Ошибка: Не удается найти указанный файл

Еще заинтересовало, что в папке repairs_info\Restore Imortant Windows Services RpcSs нет в списке... но есть фраза More services will be added to this repair in the future

sc sdshow RpcSs дает следующее

D:(A;;CCLCSWLORC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWD WO;;;BA)(A;;CCLCSWLORC;;;PU)(A;;CCLCSWRPLO;;;IU)(A ;;CCLCSWRPLO;;;BU)

а если посмотреть в базе знаний Microsoft

SY Локальная система

две последних литеры для каждой круглой скобочки таких прав вообще нет

проблема в том, что не понятно что нужно писать программе sc sdset ...

или Вы видите проблему в другом? научите быть хелпером плиз... на курсы записался... но тут как-то думать надо по-другому, а не только материалы читать

[IHmG]

проблема по-прежнему остается

[Vvvyg]

Сделайте полный образ автозапуска uVS.

[IHmG]

Образ сделал. Еще один момент заметил. В журнале системы сообщения о невозможности старта некоторых служб. Причем везде в качестве пользователя светится NT AUTHORITY\NETWORK SERVICE. В том числе такое для службы RpcSs. В качестве симптомов со стороны системы имеем недоступной вкладку расширенные в апплете службы, нет возможности открыть окно для просмотра описания события в журнале Windows и пр. В качестве эксперимента поменял запуск службы RpcSs от имени локальной системы и служба успешно стартанула. При этом многие вещи, которые не работали - заработали и даже стало возможным выполнять срочные задачи строгого начальства. Ясно, что так я ослабил безопасность... но может быть это даст возможность понять корень неисправности...

Вы когда помогаете на портале делаете какие-то заметки по ходу анализа? Просто интересно было бы почитать такие заметки и тоже научиться что-то делать самостоятельно и помогать также как Вы

[Vvvyg]

Сохраните ветку реестра

Код:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs

и попробуйте твик реестра из Вашего первого сообщения.

[IHmG]

Запустил твик. Прикладываю его. Раширение естественно было reg
Перегружалась машинка достаточно долго... но вот удивило меня то, что служба так и запускается от LocalSystem, причем изменить взод от имени другой учетки нельзя - серым затенен переключатель... у других служб такого нет.
В логах системы сообщения

Тип события: Ошибка
Источник события: DCOM
Категория события: Отсутствует
Код события: 10000
Дата: 22.11.2013
Время: 8:47:46
Пользователь: NT AUTHORITY\NETWORK SERVICE
Компьютер: SHLYKOVAV2012
Описание:
Не удается запустить сервер DCOM: {1F87137D-0E7C-44D5-8C73-4EFFB68962F2}. Ошибка:
"Отказано в доступе. "
возникла при запуске команды:
C:\WINDOWS\system32\wbem\wmiprvse.exe -secured -Embedding

Еще один симптом... в панели задач видно, что пытается установиться какая-то программа... setup какой-то... окошко на панели задач появляется и исчезает. В процессах я не вижу чего-то необычного. Такое происходит только в админской учетке, в ограниченной такого не замечаю.

[mrak74]

Свободно на системном диске: 1.8GB

желательно бы побольше свободного места, переместите большие файлы на другие диски, видео, папки с фотографиями (если имеются) и т.п.

Скачайте и установите утилиту User Profile Hive Cleanup Service

Установите в CD привод диск с ОС Windows XP SP3, в командной строке введите команду sfc /scannow после проверки целостности файлов, перезагрузите компьютер и проверьте не устранилась ли проблема.

[IHmG]

освободил 4,3 гб на системном диске, UPHClean успешно установил, с sfc \scannow возникли проблемы, говорит, что не видит диск, хотя ранее с этим же диском данную комманду выполнял без проблем... не могу сейчас найти образ подходящий, все сколько пробовал говорит не та версия

проблема с подключением сетевых дисков и вообще попытка открыть любую шару с другого компьютера не удается, говорит, что "Ни одна из служб доступа к сети не смогла обработать заданный сетевой путь"... но при этом по ip шары доступны!

[Vvvyg]

Служба "Обозреватель компьютеров" везде запущена? Все в одной рабочей группе?

[IHmG]

шары находятся на Linux-системе, но эти же шары с другого компьютера я вижу без проблем. проблема только на моей локальной машинке с Windows XP SP3

[Vvvyg]

Честно говоря, это уже не относится к теме данного раздела форума. Как, впрочем, и первоначальная проблема
При таких множественных глюках вообще проще переустановить систему (хоть это и не наш метод), а мужественная борьба с ними только в целях самообразования полезна