Sanchez
06.02.2006, 13:01
День добрый!
Пишу сюда, потому что уже не знаю, где искать.
Ситуация следующая: на одной из рабочих станций что в режиме реального времени, что в защищенном режиме 100% загрузка процессора одним процессом - svchost.exe. При попытке завершения этого процесса появляется окно с надписью "Система завершает работу. Сохраните данные и выйдите из системы", в описании о прекращении работы службы Удаленный вызов процедур (RPC).
Естественно, первое подозрение - Lovesan, он же Blaster. Но ни в процессах, ни в реестре, ни на диске соответствующих записей о наличии именно Blaster'а нет.
Ок. Прогоняю clrav от Касперски-лаб - тишина. Затем FixBlast от Symantec - тоже ничего не найдено. Антивирусная проверка Nod32 со свежими базами результата не дает.
Еще раз повторюсь - ни в безопасном режиме, ни в режиме реального времени попытка завершения процесса svchost.exe приводит к появлению окна с предупреждением о завершении работы, и собственно, к перезагрузке.
Попытка отмены запуска службы RPC не увенчалась успехом: по какой-то непонятной причине диалоговое окно свойств для служб (для всех служб) не появляется. Реально ли изменить тип запуска и действия при аварийном завершении службы через командную строку?
Что это может быть? Куда копать дальше?
Результаты исследования AVZ и лог hijackthis во вложении.
Пишу сюда, потому что уже не знаю, где искать.
Ситуация следующая: на одной из рабочих станций что в режиме реального времени, что в защищенном режиме 100% загрузка процессора одним процессом - svchost.exe. При попытке завершения этого процесса появляется окно с надписью "Система завершает работу. Сохраните данные и выйдите из системы", в описании о прекращении работы службы Удаленный вызов процедур (RPC).
Естественно, первое подозрение - Lovesan, он же Blaster. Но ни в процессах, ни в реестре, ни на диске соответствующих записей о наличии именно Blaster'а нет.
Ок. Прогоняю clrav от Касперски-лаб - тишина. Затем FixBlast от Symantec - тоже ничего не найдено. Антивирусная проверка Nod32 со свежими базами результата не дает.
Еще раз повторюсь - ни в безопасном режиме, ни в режиме реального времени попытка завершения процесса svchost.exe приводит к появлению окна с предупреждением о завершении работы, и собственно, к перезагрузке.
Попытка отмены запуска службы RPC не увенчалась успехом: по какой-то непонятной причине диалоговое окно свойств для служб (для всех служб) не появляется. Реально ли изменить тип запуска и действия при аварийном завершении службы через командную строку?
Что это может быть? Куда копать дальше?
Результаты исследования AVZ и лог hijackthis во вложении.