Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

spide

Падает svchost

Рекомендованные сообщения

Здравствуйте.

Я похоже тоже заразился вирусом. Симптом следующий - файл svchost.exe аварийно завершает свою работу (с предложением отправить отчет об ошибке в Microsoft или нет и т.п.) и после этого через некоторое время (где-то через 5 минут, когда как) обычно (но не всегда) и Интернет и локальная сеть перестают работать. При этом в значке подключения к Интернету Корбины показывается, что подключение есть, но отключить его нельзя. Firewall (Outpost 4.0 Pro) показывает, что внешнего (интернетовского) IP-адреса нет. Заметил, что перед всеми этими симптомами Outpost оповещает о входящем соединении: разрешено соединение на адрес 10.159.68.219 (это мой IP), порт 139. И как раз после этого svchost падает. Интересно, что эта вещь происходит не только когда включен Интернет, но и когда включена только локалка.

Просканил весь жесткий диск последним Dr Web'ом, он ничего не нашел. Смотрел список выполняющихся процессов (программой Process Explorer от Sysinternals) ничего подозрительного, смотрел на службы, который грузит svchost, тоже вроде лишнего ничего нет.

Попытался поиграться настройками Outpost'а, но не помогло.

Надеюсь на помощь.

virusinfo_syscheck.zip

hijackthis.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Здравствуйте.

Выполните пожалуйста скрипт в AVZ:

begin
DelBHO('{44627E97-789B-40d4-B5C2-58BD171129A1}');
DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
QuarantineFile('G:\WINDOWS\System32\Drivers\Tetri5.sys','');
QuarantineFile('G:\WINDOWS\system32\DRIVERS\tansgt.sys','');
QuarantineFile('G:\WINDOWS\system32\DRIVERS\litsgt.sys','');
DeleteFile('G:\WINDOWS\system32\DRIVERS\beeper.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки еще один:

begin
CreateQurantineArchive(GetAVZDirectory+'virus.zip');
end.

Архив карантина virus.zip выложите на какой-нибудь файлообменник и пришлите ссылку (можно в личку)

 

Запустите в AVZ "Файл----Мастер поиска и устранения проблем", исправьте следующие проблемы:

>> Нарушение ассоциации REG файлов

>> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса

>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX

 

У вас удален антивирус TrendMicro?

 

После всего этого повторите логи, предварительно обновив базы АВЗ ("Файл---Обновление баз")

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Здравствуйте.

Я похоже тоже заразился вирусом. Симптом следующий - файл svchost.exe аварийно завершает свою работу ....

 

фиксить O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - G:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - G:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - G:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - G:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O24 - Desktop Component 0: (no name) - (no file)

обновите ie до 7 и поставь последние обновления.

обновите AVZ, отключите от сети , отключите outpost, avast, Malwarebytes' Anti-Malware , drweb

 

после этого пределайте логи

 

зыы вот - http://support.microsoft.com/kb/960714

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В AVZ "Файл----Выполнить скрипт". Но не стоит выполнять скрипты, написанные для др.компьютеров.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день.

Наконец сделал все, что вы посоветовали. Логи прилагаю.

to VLaD&K

ActiveX у меня блокируется Outpost'ом, поэтому в IE я их разрешил.

TrendMicro, если я правильно помню, я делал online-сканирование.

Ссылка на файл virus.zip http://ifolder.ru/9651580

 

to VladimirSS

пункт O24 - Desktop Component 0: (no name) - (no file) после фиксиния все равно остается, т.е. я ставлю галочку в HiJackThis, он нормально отрабатывает (не сообщает об ошибках), но при повторном запуске данный пункт все равно остается.

IE7 поставил, а как поставить последние обновления - через MicrosoftUpdate, но там же ActiveX, которую надо, как я понял, запрещать?

 

После скриптов и фиксиния Outpost опять мне показал, что разрешено входящее соединение на 139 порт и svchost опять упал.

hijackthis_2.txt

virusinfo_syscheck.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Файлы в карантине скорее всего чистые, но на всякий случай я отправил их на исследование.

ActiveX не нужно запрещать полностью, рекомендуется запрещать загрузку подписанных элементов ActiveX без запроса и автоматические запросы элементов управления ActiveX

Обновления для винды надо поставить через winupdate обязательно.

 

1. Выполните скрипт для удаления драйвера ТрендМикро:

begin
DeleteFile('G:\WINDOWS\system32\drivers\tmcomm.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

2. Думаю, стоит пофиксить:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

3. Поищите на диске файл wmplayer.exe (можно искать через АВЗ) и проверьте его на virustotal.com, дайте ссылку на результат.

4. Эти настройки прокси вы сами делали?

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 212.24.36.234:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.0.2

Если нет, то пофиксите.

 

Если ничего не изменится, попробуйте все-таки удалить Outpost.

Также можно провести полную проверку Malwarebytes' Anti-Malware

Еще нужно дождаться результата проверки файлов карантина

 

Файлы из карантина безопасные.

litsgt.sys, tansgt.sys, Tetri5.sys

 

Вредоносный код в файлах не обнаружен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сделал все как вы просили, но это не дало результата, т.е. svchost все равно падает.

В принципе, можно попробовать запретить входящее соединение на этот порт Outpost'ом, но он только закроет проблему, а не решит ее (если вообще это поможет).

Сделал полную проверку Malwarebytes' Anti-Malware, online-сканером Касперского, но они ничего не нашли (Malwarebytes' Anti-Malware нашел "мелкие шалости" в реестре, но зараженных файлов нет). Обновил Windows с windows update (правда SP3 ставить не стал, пока еще вроде оно сыровато).

 

Проверил файл wmplayer.exe. Их у меня оказалось 4 штуки. Привожу ссылки на проверку с путями откуда я брал эти файлы

wmplayer.exe #1 \Program files\Windows Media Player\

http://www.virustotal.com/ru/reanalisis.ht...3d5deb8b005dc8d

 

wmplayer.exe #2 \Windows\system32\DLLCache\

http://www.virustotal.com/ru/reanalisis.ht...c8e1a73c06a3be5

 

wmplayer.exe #3 \Windows\Registered Packages\{DD90D410-1823-43EB-9A16-A2331BF08799}\

http://www.virustotal.com/ru/reanalisis.ht...2347bb5ae0d3886

также в том каталоге есть файл wmplayer.adm, он показался мне странным, я тоже его проверил

 

wmplayer.exe #4 \Windows\Registered Packages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\

http://www.virustotal.com/ru/analisis/257d...9fef4446dfa30fc - один антивирус дал положительный ответ

wmplayer.adm

http://www.virustotal.com/ru/analisis/000c...f0b6bede61ca57d

 

P.S.

Чего то час назад у вас форум не работал, IE и opera выдавали ошибку IPS driver error. Это у всех так или только у меня?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Первые 3 ссылки не работают, но судя по всему, все файлы чистые. SP3 вышел давно, уже пора ставить. Ошибка на форуме у всех была.

Попробуйте деинсталлировать Outpost

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Попробуйте деинсталлировать Outpost

Не вижу если честно в этом смысла. Был момент когда Outpost был не активен (выключен) - как раз когда я делал логи, но svchost все равно упал, но уже без предупреждении о входящем соединении.

 

А сейчас вообще интересно - я заблокировал при помощи Outpost'а входящее соединение на 139 порт, о чем мне Outpost сообщил (т.е. заблокировано входящее соединение на 139 порт) и после этого svchost опять упал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Прочитайте это сообщение: Отключается интернет через 10 мин. Помогите! по поводу отключения лишних служб.

G:\WINDOWS\system32\vp6dec_settings.cpl -проверьте на ВирусТотал.

 

По поводу вирусов: в ваших логах я видел только 1 стопроцентный вирус- G:\WINDOWS\system32\DRIVERS\beeper.sys Он удален скриптом.

Из сообщения 7 вы все рекомендации выполнили?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
правда SP3 ставить не стал, пока еще вроде оно сыровато

А в чем сыроватость исправлений заключается? SP это не новая версия ОС, это пакет исправлений, и если их ставить выборочно, опираясь на какой-то неведомый опыт определения сыроватости, то можно бесконечно жаловаться на кривость винды и кучу уязвимостей, через которые вирусы поступают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
А в чем сыроватость исправлений заключается? SP это не новая версия ОС, это пакет исправлений, и если их ставить выборочно, опираясь на какой-то неведомый опыт определения сыроватости, то можно бесконечно жаловаться на кривость винды и кучу уязвимостей, через которые вирусы поступают.

Я помню историю с NT, когда нечетные SP делали только дыры в системе, а четные их затыкали (или наоборот, но суть одна), поэтому, по возможности, стараюсь не ставить всякие обновления (не только виндусовые).

 

to VLaD&K

Службы, которые были в сообщении отключил (некоторые и так не работали).

Файл G:\WINDOWS\system32\vp6dec_settings.cpl чист (это аудио или видеокодек).

Скрипты все сделал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну так когда это было, руководство как компании, так и отделов разработки и ОС и обновлений давно уже сменилось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

VLaD&K,

Прочитайте это сообщение: Отключается интернет через 10 мин. Помогите! по поводу отключения лишних служб.

Очень вредный совет, особенно для неподготовленного пользователя. Потом 10 раз вернётся на форум с криками "почему у меня не работает это".

 

spide, Вас не смущает статистика, что ни одного сообщения о подобных ошибках у людей, выполнящих рекоммендации MSFT, не поступало, а большинство их выполнивших от проблемы избавились?

Включайте автоматические обновления, это и есть решение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
VLaD&K,

 

Очень вредный совет, особенно для неподготовленного пользователя.

Там всё верно написано, не надо вводить в заблуждение.

 

Включайте автоматические обновления, это и есть решение.
Это и есть решение для сбора новых проблем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Автоматическое обновление - очень важная штука. По сети уже полно эксплойтов, которые мигом сделают из компа еще одного участника ботнета.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Автоматическое обновление - очень важная штука.
Я имел ввиду виндовое обновление. Сбор дополнительных глюков.

 

По сети уже полно эксплойтов, которые мигом сделают из компа еще одного участника ботнета.
Это всегда было, есть и будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

77xaker,

Там всё верно написано, не надо вводить в заблуждение.

Обоснуйте, с какой целью требуется вносить системные изменения в работающую систему. До этого момента будем считать, что дающий подобные рекоммендации некомпетентен и не представляет возможных последствий.

 

Это и есть решение для сбора новых проблем.

Откуда данные? Вы - системный интегратор, сборщик, сисадмин, MVP? Подобные высказывания принято подкреплять статистикой.

 

Это всегда было, есть и будет.

Позиция страуса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Это всегда было, есть и будет.

 

А почему у меня нет такого? Неужели я эксплойтам совсем не нужен, или дело все же в своевременной установке обновлений?

Пока такое отношение к безопасности, всегда будет риск повторения истории с червем Slammer, заплатка была доступна за 6месяцев до эпидемии, но никто не потрудился ее поставить, зато когда интернет встал раком, ругали конечно же майкрософт.

 

djet, сомневаюсь что тут можно встретить MVP :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
djet, сомневаюсь что тут можно встретить MVP :)

 

Зато горе-советчиков - в изобилии. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

spide, а может стоит просто отключить NetBIOS в сетевых подключениях, если он не нужен ?

 

Как вариант проблемы: взаимодействие аваста и аутпоста в сетевом контроле или проактивной защите, вот только не знаю, есть ли второе в авасте... Без этих программ проблемы с svchost есть ?

 

Всё-таки стоит обновить систему, а до обновления провести проверку: ПУСК-Выполнить-sfc /scannow

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кхм, прошу прощения, но я лучше не буду создавать новую тему, потому что у меня тоже проблема с svchost'ом, правда, другая. Как и у многих (как выяснилось из форума), у меня вылетал инет (ну, когда и тема на серую виндоус меняется и значок корбины не реагирует и показывает, что сеть включена). Решила сегодня переустановить Винду, поставила Zver v.7.12.4 (ну, короче, тот же ХР SP2). Создала подключение к инету, все хорошо... Но вдруг выскакивает ошибка post-294073-1229968593_thumb.jpg

Если нажать "ОК", то система просто отказывается что-либо делать - диспетчер задач не открывается, пытаюсь перезагрузиться, но компьютер ничего не делает, спасает только кнопочка Reset. Если же нажать "Отмена", то я просто вылетаю из интернета. Сейчас вот снова эта ошибка выскочила, я ее отодвинула и ничего с ней не делаю, и сижу в инете уже полчаса.

Вобщем, не знаю, что делать, спасайте :) Только заумных словей мне не говорите, пожалейте девушку, обьясните на пальцах :)

ПыСы: антивирус Нод32, никаких файрволов нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Обоснуйте, с какой целью требуется вносить системные изменения в работающую систему.

Обоснуй тогда например, кому и для чего нужна служба удалённый реестр, которая в винде включена по-умолчанию после установки?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

FrameDi,

Решила сегодня переустановить Винду, поставила Zver v.7.12.4 (ну, короче, тот же ХР SP2).

Удаляй это безобразие под корень - намучаешься ещё. Скачай оригинальный Windows XP SP3 (искать на торрентах образ ru_winxp_pro_with_sp3_vl.iso), затем по шагам.

 

ПыСы: антивирус Нод32, никаких файрволов нет.

Обязательно включи встроенный фаервол (Брандмауэр).

 

77xaker,

Обоснуй тогда например, кому и для чего нужна служба удалённый реестр, которая в винде включена по-умолчанию после установки?

Для удалённого администрирования реестра с правами локального администратора (подсказываю: эти права сначала нужно получить. причём получение прав с самой службой не связано никак). Обрисовать дальше поверхность атаки?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
77xaker,

Для удалённого администрирования реестра с правами локального администратора (подсказываю: эти права сначала нужно получить. причём получение прав с самой службой не связано никак). Обрисовать дальше поверхность атаки?

Это я и без объяснений знаю.

Вопрос в другом, зачем это нужно простому пользователю, который даже не знает что такое реестр? Не говоря уж о том, что его значения, можно по сети менять.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Потому что он может быть не простым пользователем.

Windows, как и любая другая ОС "из коробки" сделана для всех сразу и ни для кого лично. Можете себе отключить, если хотите. Мне, вот, служба записей дисков не нужна и я ее отключаю. Но знаю людей, которые ее используют.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Мне, вот, служба записей дисков не нужна и я ее отключаю. Но знаю людей, которые ее используют.

Это естественно.

При использовании других прог, например той же Nero.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

77xaker, удалённый реестр -- достаточно автономная служба с очень специфическим применением. А вот остальные службы из того же поста имеют вполне приземлённое применение, кроме того часть - глубоко системное.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Гость
Эта тема закрыта для публикации сообщений.