Ошибка svchost.exe. Вирус?

[Questor]

Здравствуйте. Вот уже второй день донимает следующая проблема.

Сперва вылазила ошибка с вот таким текстом:

svchost.exe - ошибка приложения

Инструкция по адресу "0x6f8917c2" обратилась к памяти по адресу "0x6f8917c2". Память не может быть "written".

Ок - завершение, Отмена - отладка.

После ошибки в Винде пропадал звук, если зайти в настройки звука - не отображается звуковое устройство. Звук встроенный. Перезагрузка всё исправляет до следующей ошибки.

ОС ставил с диска SP2, до третьего сервис пака апгрейдил патчем.

Сначала я грешил на вирус, но проверки Dd. Web и Trojan Remover ничего не дали, ещё проверял Sryware Doctor и AVZ.

Яндекс дал основания предполагать, что проблема довольно распространённая. Тем не менее, однозначного решения нигде не предлагается.
В итоге решил последовать совету во-первых, поставить заплатку WindowsXP-KB958644-x86-RUS.exe, во вторых запустить брандмауэр Windows.

После перезагрузки комп прямо сходу, ещё до загрузки декстопа порадовал ошибкой:


svchost.exe - ошибка приложения

Инструкция по адресу "0x00000000" обратилась к памяти по адресу "0x00000000". Память не может быть "written".

Ок - завершение, Отмена - отладка

Если нажимать ОК, или Отмена - вылазит ошибка ещё и lsass.exe, если попытаться перезагрузить систему через Пуск, может быть ошибка с налписью что служба nt/authority/system была остановлена, может появиться окошко о том, что система будет перезагружена через минуту, это мне напомнило, как я ещё на старой XP без сервис паков схватил сассер. Если просто убрать первоначальное окно в сторону, система рабоает, но некоторые приложение не запускаются. Например - Utorrent, бета-клиент Warhammer Online. В общем, убрал одну ошибку, получил вместо неё три.

Люди, помогите. Это ерундень уже всё настроение убила и кучу нервов мне испортила.

[V_Bond]

выполните скрипт

Код:

begin
SearchRootkit(true, true);
 QuarantineFile('C:\Documents and Settings\Док\Рабочий стол\Скаченное\winio.sys','');
BC_Importall;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил

[Questor]

При выполнении скрипта вылетает ошибка lsass.exe:

lsass.exe - ошибка приложения

Инструкция по адресу "0x00000000" обратилась к памяти по адресу "0x00000000". Память не может быть "written".

Кроме того, сразу же появляется окошко с перезагрузкой через минуту, nt/authority/system.
Если полминуты подождать, падает explorer.exe.

В AVZ что-то про ошибку прямого скрипта, не смог уловить, AVZ закрывается. В карантине появились какие-то два файла, но я не уверен, что это то, что нужно. На всякий случай прислылаю их.

[V_Bond]

поставте себе нормальный фаерволл ....
файла в карантине нет ....

[Questor]

Поставил, не помогло. Поставил Outpost Firewal Pro 2009. Файрволл не может обновлять сигнатуры, пишет что не удаётся загрузить драйвер afw.sys.
Я так понимаю, придётся ОС переустанавливать?

[V_Bond]

удалите все анти шпионы они бесполезны ....
лог http://www.gmer.net/index.php сделайте ...

[Questor]

Запустил GMER, он сделал быстрое сканирование, лог сохранил. Или нужно полное сканирование через кнопку Scan?

[Questor]

Сделал полное сканирование, вот ещё один лог.

[Questor]

Очень странно. Попробовал запустить скрипт, отрубив инет, и выключив всё из трея. Опять вылетела ошибка, но после резета никаких ошибок не было. Опять запустил AVZ - скрипт прошёл гладко. После перезагрузки ошибок нет, файрволл обновляется нормально. Ничего не понимаю.

[V_Bond]

C:\Documents and Settings\Док\Local Settings\Temp\fla7B.tmp и aaema1u4.SYS пришлите согласно приложения 2 правил ...

[Questor]

Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\Док\Local Settings\Temp\fla7B.tmp)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (aaema1u4.SYS)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\aaema1u4.SYS)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\aaema1u4.SYS)
Карантин с использованием прямого чтения - ошибка

Вот что пишет.

[V_Bond]

выполните скрипт

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\Documents and Settings\Док\Local Settings\Temp\fla7B.tmp');
  DeleteFile('aaema1u4.SYS');     
 BC_ImportDeletedList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

повторите логи

[Questor]

Скрипт прошёл без помех, вот логи. Доктор, скажите, как наш пациент?

[V_Bond]

не вижу ничего плохого

[Questor]

Огромное спасибо! А что это было, червь?

Всему виной моя беспечность - без файрволла сидел.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены