Strange pings and broken Windows services

Ich staunte nicht schlecht, als ich folgende Ping-Ergebnisse zu sehen bekam - man achte mal auf die fett dargestellten Sonderzeichen:

$ ping localhost

Ping notebook [°ÿ] mit 32 Bytes Daten:

Antwort von 127.0.0.1: Bytes=32 Zeit<1ms TTL=128
Antwort von 127.0.0.1: Bytes=32 Zeit<1ms TTL=128

Ping-Statistik für ¨ ?"8q:
Pakete: Gesendet = 2, Empfangen = 2, Verloren = 0 (0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 0ms, Maximum = 0ms, Mittelwert = 0ms
STRG-C
^C

Statt den zu erwartenden IP-Adressen sah man kuriose Sonderzeichen und das war immer der Fall egal, was man versucht hat anzupingen.

Erstmal war mir nicht ganz klar, was das zu bedeuten hat, weil mir so etwas bisher noch nicht untergekommen ist, weshalb ich mir als naechstes die gestarteten Services angesehen habe. Etwas stutzig wurde ich als ich sah, dass diverse Services beendet waren, welche eigentlich gestartet sein sollten und sich diese nicht mehr starten haben lassen. Zu diesem Zeitpunkt bin ich von einer Kompromittierung des Systemes ausgegangen, da ich keine Erklaerung fuer dieses Verhalten hatte. Auf die Loesung des Problemes bin ich dann durch den Fehlercode, welcher beim Starten eines fehlerhaften Windows-Dienstes angezeigt wurde, gekommen.

Das Problem war, dass eine LSP (Layered Service Provider) einer Anwendung fehlerhaft war und somit auch die kompletten Netzwerkfaehigkeiten des Systemes gestoert waren. Da es sich bei dem System um ein XP Home SP2 handelte war die Loesung ein einfacher netsh-Befehl:

Two new Netsh commands are available in Windows XP Service Pack 2.

netsh winsock reset catalog

This command resets the Winsock catalog to the default configuration. This can be useful if a malformed LSP is installed that results in loss of network connectivity. While use of this command can restore network connectivity, it should be used with care because any previously-installed LSPs will need to be re-installed.

netsh winsock show catalog

This command displays the list of Winsock LSPs that are installed on the computer.

Zu finden unter Changes to Functionality in Microsoft Windows XP Service Pack 2 - Part 2: Network Protection Technologies.

Wie oben beschrieben wird mit dem ersten Befehl der Winsock Catalog resetet. Natuerlich sind von dieser Aenderung dann auch andere Anwendungen betroffen, allerdings werden LSPs wohl eher selten von Anwendungen genutzt. Verbreitete "Sicherheitstools" wie Personal Firewalls und Antivirenscanner greifen ohnehin viel tiefer ins System (entweder auf TDI- oder NDIS-Ebene oder auch beides) ein.

An dieser Stelle noch ein paar andere, brauchbare netsh-Kommandos fuer ein XP mit SP2:

netsh int ip reset [log_file_name]

Dieses Kommando ermoeglicht es den TCP/IP Stack, welchen sich nicht de- und wieder installieren laesst, in den urspruenglichen Zustand bei der Installation zurueckzusetzen. Mehr dazu kann man unter Q299357 "How to reset Internet Protocol (TCP/IP) in Windows XP" nachlesen.

Mit dem Tool `netdiag' der Windows XP Support Tools kann man ueberpruefen, ob diverse Netzwerkomponenten von Windows - darunter auch Winsock - fehlerfrei arbeiten:

netdiag /test:winsock /v

Mittels

netsh winsock reset

hat man die Moeglichkeit eine korrupte Winsock zu reparieren. Mehr dazu findet man unter Q811259 "How to determine and recover from Winsock2 corruption".