svchost.exe

**Do3e** · 25.11.2008, 18:35

Есть офисная сеть. Без домена, просто рабочая группа. Часть компьютеров с Win XP Home SP2, часть с Win XP Prof SP2, один комп с Win 2003 R2. На одном из Win XP Prof SP2 стоял Kerio WinRoute.
24.11.2008 пришел на работу и вижу такую штуку:

на всех офисных компьютерах, где стоит Win XP Home, выключились службы: Брендмауер, Сервер, Рабочая станция, Сетевые подключения.
Все включил сам, кроме брендмауера. Пишет ошибку 5 Не удалось запустить службу ICS. Решил проблему так:
1. В cmd: Rundll32 setupapi,InstallHinfSection Ndi-Steelhead 132 %windir%\inf\netrass.inf
2. Перезагрузка.
3. В cmd: Netsh firewall reset
4. Выполнить: firewall.cpl
В открывшемся окне нажать ОК.

На компе, где стоит Kerio WinRoute, настройки Керио сбились непонятно как. Все стояло в норме, но Керио не работал верно. Интернет не доступен. Выключаю Керио, включаю Керио - интернет работает пару минут и опять исчезает. Проверял пингом, трасертом. После переустановки Керио, он стал работать норм. Интернет заработал.

На моем компьютере после включения через 5-60 минут вылезает ошибка "Generic Host Process For Win32 Services", память не может быть read, отправлять - не отправлять и т.д. После нажатия "Не отправлять" компьютер зависает, мышью курсор двигается, но никуда не нажимается. Диспетчер задач включается нажатием ctrl+shift+esc, но появляется секунд через 15-20.
Пытался поэксперементировать и понять после чего вылетает ошибка. Ничего не вышло. Ошибка вылетала в разное время не зависимо от того, что я делал и даже если я ничего не делал, вылетала.
Единственное что, сразу после старта компа включал сканирование AVZ-а на руткиты, он находил и исправлял какую-то инструкцию (есть в логе) и после этого ошибка svchost.exe вылетала в интервале от 40 до 120 минут.
Исправил так:
втащил родной диск Виндовс и сделал "Обновление системы". Ошибка не вылазиет уже 4 часа, но AVZ опять натыкается на ту же инструкцию.

Логи пока что только моего компа до "Обнавления системы".
Какие логи еще нужны, говорите.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Do3e** · 25.11.2008, 18:36

логи

**Do3e** · 26.11.2008, 10:59

Проблема не устранилась. Теперь на всех компьютерах после включения вылазиет ошибка "Generic Host Process For Win32 Services" и на компах перестает работать сеть и выключаются службы: Брендмауер, Сервер, Рабочая станция.

Помогите!

**kps** · 26.11.2008, 17:56

Отключите восстановление системы, как написано в правилах.

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\soundmix.exe','');
 QuarantineFile('C:\WINDOWS\system32\dllcache\zipexr.dll','');
 DeleteFile('C:\WINDOWS\system32\soundmix.exe');
 DeleteFile('C:\WINDOWS\system32\dllcache\zipexr.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин по правилам (загружать здесь: http://virusinfo.info/upload_virus.php?tid=34548 ).

Сделайте новые логи.
Вам надо будет обновить Windows до SP3, после чего может потребоваться активация системы.

**Do3e** · 27.11.2008, 12:39

сделал виндовс апдейт, сделал скрипт.
вот новые логи.
карантин выслал.

**V_Bond** · 27.11.2008, 12:46

C:\WINDOWS\system32\APlusServer.exe - пришлите согласно приложения 2 правил

**Do3e** · 27.11.2008, 13:27

Выслал. Но сомневаюсь, что проблема в этом файле.
Это приложение использует порт 5555 и служит для закачивания файлов с Коммуникаторов для дальнейшей их обработки в 1С.

**V_Bond** · 27.11.2008, 14:30

значит пришло время устанавливать сп3 и приличный фаерволл ....

**Do3e** · 27.11.2008, 15:17

на одном компьютере сделал виндовс апдейт и ошибка перестала иметь место.
Ночью скачаю из дома СП3, ибо на работе дорого, и завтра поставлю везде сервис пак. Если что, отпишусь.
Спасибо.

Добавлено через 1 минуту

Кстати, есть бесплатные "приличные" фаерволы?
Какой посоветуете?

**V_Bond** · 27.11.2008, 15:44

http://www.comodo.com/

**Do3e** · 27.11.2008, 16:10

Спасибо!

**Do3e** · 28.11.2008, 14:03

SP3 не помог(
Комп, где сделал виндовс апдейт, тольше не ругается.
В понедельник попробую везде сделать виндовс апдейт...

Щас сделаю логи с того компа, где поставил SP3.
Подозреваю, что там есть вредоносное ПО.
Логи выложить в отдельную тему?

**kps** · 28.11.2008, 14:40

Если с другого компьютера (не с того, с которого Вы выложили логи в посте 2), то да, открывайте новую тему и выкладывайте логи там.

**CyberHelper** · 22.02.2009, 09:01

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 9
В ходе лечения вредоносные программы в карантинах не обнаружены

svchost.exe (заявка № 34548)

Опции темы

svchost.exe

Итог лечения

Похожие темы

Trojan-PSW.Win32.Agent.mzh в svchost.exe/svchost.exe

Модуль svchost.exe\svchost.exe, обнаружено: троянская программа 'Trojan-PSW.Win32.Agent.mzh'

svchost.exe

Троянская программа Trojan.Win32.Agent.goa Модуль: svchost.exe\svchost.exe

Help! Маскировка процесса "svchost.exe" \HarddiskVolume1\~\svchost.exe

Ваши права в разделе