Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 35.

services.exe (ребут компа с отсчетом) (заявка № 6661)

  1. #1
    Junior Member Репутация
    Регистрация
    05.11.2006
    Сообщений
    19
    Вес репутации
    37

    Question services.exe (ребут компа с отсчетом)

    У меня такая проблема: один из задач svchost.exe начал очень сильно грузить систему , комп начал сильно лагать. Часо вылазиет табличка :"Неожиданно завершен системный процесс "C:\\WINDOWS\system32\services.exe" с кодом состояния - 2147483641.Будет произведена перезагрузка системы." И далее идет осчет 60 секунд , после чего комп перезагружается
    З.Ы. помоему таких тем как минимум две , был бы признателен за помощь , DrWeb , KAV , Panda platinum , NORTON не помогают делал проверки специальными утилитам , от червя sasser , он не был обнаружен.
    Последний раз редактировалось MrGrey; 24.11.2006 в 18:34.

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Пришлите для начала следующие файлы на анализ согласно правилам:
    C:\WINDOWS\system32\mscoree.dll
    C:\Program Files\Common Files\ReGet Shared\Catcher.dll
    statdss.dll
    iasamsre.dll
    e1.dll
    diagdss.dll
    confaud.dll
    cfgdss.dll
    audstat.dll
    audmgr32.dll
    ___synmgr.exe
    C:\WINDOWS\system32\audconf.exe
    C:\WINDOWS\system32\dssconf.exe
    C:\WINDOWS\system32\atkcadpt.dll
    C:\WINDOWS\system32\statdss.dll
    C:\WINDOWS\System32\iasamsre.dll
    C:\WINDOWS\System32\glu3panm.dll
    C:\WINDOWS\System32\diagdss.dll
    C:\WINDOWS\System32\confaud.dll
    C:\WINDOWS\SYSTEM32\cfgdss.dll
    c:\windows\system32\atkcadpt.exe
    Поместить эти файлы в карантин поможет скрипт AVZ (Файл\Выполнить скрипт):
    Код:
    begin
     QuarantineFile('c:\windows\system32\atkcadpt.exe','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\cfgdss.dll','');
     QuarantineFile('C:\WINDOWS\System32\confaud.dll','');
     QuarantineFile('C:\WINDOWS\System32\diagdss.dll','');
     QuarantineFile('C:\WINDOWS\System32\glu3panm.dll','');
     QuarantineFile('C:\WINDOWS\System32\iasamsre.dll','');
     QuarantineFile('C:\WINDOWS\system32\statdss.dll','');
     QuarantineFile('C:\WINDOWS\system32\atkcadpt.dll','');
     QuarantineFile('C:\WINDOWS\system32\dssconf.exe','');
     QuarantineFile('C:\WINDOWS\system32\audconf.exe','');
     QuarantineFile('___synmgr.exe','');
     QuarantineFile('audmgr32.dll','');
     QuarantineFile('audstat.dll','');
     QuarantineFile('cfgdss.dll','');
     QuarantineFile('confaud.dll','');
     QuarantineFile('diagdss.dll','');
     QuarantineFile('e1.dll','');
     QuarantineFile('iasamsre.dll','');
     QuarantineFile('statdss.dll','');
     QuarantineFile('C:\Program Files\Common Files\ReGet Shared\Catcher.dll','');
     QuarantineFile('C:\WINDOWS\system32\mscoree.dll','');
    end.

  4. #3
    Junior Member Репутация
    Регистрация
    05.11.2006
    Сообщений
    19
    Вес репутации
    37
    дошел архив ? Оо

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1636
    Из присланного
    Стандартный набор последних недель - Warezov aka Limar aka Stration
    C:\WINDOWS\system32\iasamsre.dll
    C:\WINDOWS\System32\glu3panm.dll
    C:\WINDOWS\system32\confaud.dll
    c:\windows\system32\atkcadpt.exe
    C:\WINDOWS\system32\atkcadpt.dll
    C:\WINDOWS\system32\audconf.exe

    C:\WINDOWS\Downloaded Program Files\popcaploader.dll -

    всех их нужно удалить через отложенное удаление в программе AVZ.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1636
    Так же пофиксить ( http://virusinfo.info/showthread.php?t=4491 ):
    O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab
    O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
    O20 - AppInit_DLLs: iasamsre.dll e1.dll diagdss.dll statdss.dll confaud.dll audstat.dll
    O20 - Winlogon Notify: atkcadpt - C:\WINDOWS\system32\atkcadpt.dll
    O20 - Winlogon Notify: audmgr - audmgr32.dll (file missing)
    O20 - Winlogon Notify: dssconf - C:\WINDOWS\SYSTEM32\cfgdss.dll
    O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

  7. #6
    Junior Member Репутация
    Регистрация
    05.11.2006
    Сообщений
    19
    Вес репутации
    37
    не долго я радовался .... эти фиксы я начал делать , там выскочила ошибка какая-то , я ребутнул комп , хотел было уже попробывать заново , но там этих строк уже не оказалось О_о кроме поседнего (O23 - Service: Power Manager) Комп опять начал грузиться , даже еще сильнее.......что это моглы бы быть?
    Последний раз редактировалось MrGrey; 05.11.2006 в 22:41.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    932
    -а как на счёт файлов из списка предложенного коллегой Shu_b, Вы их удалили?.. впрочем, в любом случае нужны свежие логи...
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  9. #8
    Junior Member Репутация
    Регистрация
    05.11.2006
    Сообщений
    19
    Вес репутации
    37
    файлы удалял , и сначала все получилось , но позже по не известным причинам все возобновилось, правда немного теперь поменьше начал грузиться комп. Вот новые логи
    Последний раз редактировалось MrGrey; 24.11.2006 в 18:34.

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    736
    Удалите файлы скриптом (будет перезагрузка):
    Код:
    begin
     QuarantineFile('C:\WINDOWS\system32\MF_ARB~1.SCR','');
     QuarantineFile('C:\WINDOWS\system32\___synmgr.exe','');
     DeleteFile('C:\WINDOWS\system32\diagdss.dll');
     DeleteFile('C:\WINDOWS\system32\statdss.dll');
     DeleteFile('C:\WINDOWS\system32\MF_ARB~1.SCR');
     DeleteFile('C:\WINDOWS\system32\dssconf.exe');
     ExecuteSysClean;
     RebootWindows(True);
    end.
    После перезагрузки пришлите то, что будет в карантине AVZ, согласно Правил (см. в самом конце)
    Адрес Вашей темы (для отправки) - http://www.virusinfo.info/showthread.php?t=6661

    Затем проверьте и, если останется, пофиксите в hijackthis:
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
    O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

    И сделаете логи.
    Что-то файерволла у Вас не видно. Если нет, очень стоило бы поставить - перестанете получать из сети всё что ни попадя.

  11. #10
    Junior Member Репутация
    Регистрация
    05.11.2006
    Сообщений
    19
    Вес репутации
    37
    1)файрволл есть , но тока он систему грузит и раздрожают постоянные табличики , это нкиак нельзя упростить? чтобы он молча все делал
    2)после всего проделанного , сказанного вами выше, svchost начал странно много занимать оО . Щас зделаю логи , с врубденным фаерволлом
    З.Ы. Когда я фиксю в hijackthis , после этого вылазиет табличка какаято , там надо нажимать ДА или НЕТ? я обычно нажимаю ДА.

  12. #11
    Junior Member Репутация
    Регистрация
    05.11.2006
    Сообщений
    19
    Вес репутации
    37
    а вот сопсна и сами логи
    Последний раз редактировалось MrGrey; 24.11.2006 в 18:34.

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    736
    Ничего вредного не вижу.
    Файлы из карантина пришлите.

  14. #13
    Junior Member Репутация
    Регистрация
    05.11.2006
    Сообщений
    19
    Вес репутации
    37
    отослал

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    736
    Большие. Сейчас посмотрю, что там.
    ЗЫ: Два раза-то зачем ?

    Файл скринсейвера C:\WINDOWS\system32\MF_Arbuznie_bashni_1280x1024.s cr никто не детектит, но мне он не нравится - зачем-то лезет на http://www.w3.org/. Возможно, что-то у него не чисто.
    Лучше его больше не ставьте. А карантин у AVZ очистьте - удалите всё оттуда.

    А ожидаемый файл ___synmgr.exe почему-то не попал в карантин. Найдите его поиском и отдельно пришлите, плиз.
    Последний раз редактировалось Alexey P.; 07.11.2006 в 01:15.

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    736
    Исчезли ли симптомы заражения - перезагрузки больше не повторяются ?
    ЗЫ: Файерволл не отключайте. Если тормозит - пробуйте другой.
    Иначе наловите добра.

  17. #16
    Junior Member Репутация
    Регистрация
    05.11.2006
    Сообщений
    19
    Вес репутации
    37
    1) ___syngmr странный вирус , он подгруживает систему , я его удалял раз 10 как минимум втечении месяца. Помоему у него есть чтото вроде вспомогательных файлов приме "____r" "____s" и т д . Все их удалял. бывает я могу найти эти файлы и сам ____syngmr , а бывает его вообще не видно Оо . Как его можно увидеть?
    2) насчет перезагрузо к- прошло уже 2 ии 3 дня после вашего совета . и с тех пор пока ничего не происходило!" помоему ЭТИМ вирусом все получилось , спасибо , ато он мне итак прилично потрепал мозги )
    3) насчет C:\WINDOWS\system32\MF_Arbuznie_bashni_1280x1024.s cr , по такому адресму не обнаружил , но по адресу \WINDOWS\MF_Arbuznie_bashni_1280x1024 нашелся , так будет нормально?

  18. #17
    Junior Member Репутация
    Регистрация
    05.11.2006
    Сообщений
    19
    Вес репутации
    37
    никто не может ответить на вопросы эти? Оо

  19. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    736
    Цитата Сообщение от MrGrey
    1) ___syngmr странный вирус , он подгруживает систему , я его удалял раз 10 как минимум втечении месяца. Помоему у него есть чтото вроде вспомогательных файлов приме "____r" "____s" и т д . Все их удалял. бывает я могу найти эти файлы и сам ____syngmr , а бывает его вообще не видно Оо . Как его можно увидеть?
    Если не виден и он действительно есть - в AVZ будут видны его перехваты. Искать надо из AVZ "поиском файлов на диске" после снятия перехватов - т.е. после запуска сканирования (даже без выделения дисков - так быстрее) с установленными птичками "Блокировать работу RootKit".
    2) насчет перезагрузок- прошло уже 2 ии 3 дня после вашего совета . и с тех пор пока ничего не происходило!" помоему ЭТИМ вирусом все получилось , спасибо , ато он мне итак прилично потрепал мозги )
    Хорошо, если так. Найдете еще - заходите .
    3) насчет C:\WINDOWS\system32\MF_Arbuznie_bashni_1280x1024.s cr , по такому адресму не обнаружил , но по адресу \WINDOWS\MF_Arbuznie_bashni_1280x1024 нашелся , так будет нормально?
    Угу, там пробела в расширении файла (.scr) не должно быть. Это форум хулиганит - вставляет пробелы там, где их не должно быть.
    Раз нашли - хорошо. Прибейте этот хранитель экрана.

  20. #19
    Junior Member Репутация
    Регистрация
    05.11.2006
    Сообщений
    19
    Вес репутации
    37
    Цитата Сообщение от Alexey P.
    Если не виден и он действительно есть - в AVZ будут видны его перехваты. Искать надо из AVZ "поиском файлов на диске" после снятия перехватов - т.е. после запуска сканирования (даже без выделения дисков - так быстрее) с установленными птичками "Блокировать работу RootKit".
    Дико извиняюсь , но я не оч понял этот момент если вас не затруднит, можно немного поподробнее пожалуйста:00000504:

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Цитата Сообщение от MrGrey
    Дико извиняюсь , но я не оч понял этот момент если вас не затруднит, можно немного поподробнее пожалуйста:00000504:
    Читайте справку AVZ:
    Содержание
    Работа с программой
    Главное окно программы
    Закладка "Параметры поиска"

  • Уважаемый(ая) MrGrey, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Помоги те с отчетом пожалуйста
      От Misha100896 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 18.02.2012, 05:22
    2. Ответов: 22
      Последнее сообщение: 30.08.2010, 11:35
    3. Ответов: 7
      Последнее сообщение: 28.05.2009, 23:36
    4. Lsas.exe с обратным отсчетом.
      От mike345 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 18.02.2009, 14:22
    5. ребут компа
      От snack в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 26.09.2007, 11:08

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01316 seconds with 23 queries