svchost.exe

Printable View

25.11.2008, 18:35
Do3e

svchost.exe

Есть офисная сеть. Без домена, просто рабочая группа. Часть компьютеров с Win XP Home SP2, часть с Win XP Prof SP2, один комп с Win 2003 R2. На одном из Win XP Prof SP2 стоял Kerio WinRoute.
24.11.2008 пришел на работу и вижу такую штуку:

на всех офисных компьютерах, где стоит Win XP Home, выключились службы: Брендмауер, Сервер, Рабочая станция, Сетевые подключения.
Все включил сам, кроме брендмауера. Пишет ошибку 5 Не удалось запустить службу ICS. Решил проблему так:
1. В cmd: Rundll32 setupapi,InstallHinfSection Ndi-Steelhead 132 %windir%\inf\netrass.inf
2. Перезагрузка.
3. В cmd: Netsh firewall reset
4. Выполнить: firewall.cpl
В открывшемся окне нажать ОК.

На компе, где стоит Kerio WinRoute, настройки Керио сбились непонятно как. Все стояло в норме, но Керио не работал верно. Интернет не доступен. Выключаю Керио, включаю Керио - интернет работает пару минут и опять исчезает. Проверял пингом, трасертом. После переустановки Керио, он стал работать норм. Интернет заработал.

На моем компьютере после включения через 5-60 минут вылезает ошибка "Generic Host Process For Win32 Services", память не может быть read, отправлять - не отправлять и т.д. После нажатия "Не отправлять" компьютер зависает, мышью курсор двигается, но никуда не нажимается. Диспетчер задач включается нажатием ctrl+shift+esc, но появляется секунд через 15-20.
Пытался поэксперементировать и понять после чего вылетает ошибка. Ничего не вышло. Ошибка вылетала в разное время не зависимо от того, что я делал и даже если я ничего не делал, вылетала.
Единственное что, сразу после старта компа включал сканирование AVZ-а на руткиты, он находил и исправлял какую-то инструкцию (есть в логе) и после этого ошибка svchost.exe вылетала в интервале от 40 до 120 минут.
Исправил так:
втащил родной диск Виндовс и сделал "Обновление системы". Ошибка не вылазиет уже 4 часа, но AVZ опять натыкается на ту же инструкцию.

Логи пока что только моего компа до "Обнавления системы".
Какие логи еще нужны, говорите.
25.11.2008, 18:36
Do3e

Вложений: 3

логи
26.11.2008, 10:59
Do3e

Проблема не устранилась. Теперь на всех компьютерах после включения вылазиет ошибка "Generic Host Process For Win32 Services" и на компах перестает работать сеть и выключаются службы: Брендмауер, Сервер, Рабочая станция.

Помогите!
26.11.2008, 17:56
kps

Отключите восстановление системы, как написано в правилах.

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\soundmix.exe','');
QuarantineFile('C:\WINDOWS\system32\dllcache\zipexr.dll','');
DeleteFile('C:\WINDOWS\system32\soundmix.exe');
DeleteFile('C:\WINDOWS\system32\dllcache\zipexr.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.

Пришлите карантин по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=34548[/url] ).

Сделайте новые логи.
Вам надо будет обновить Windows до SP3, после чего может потребоваться активация системы.
27.11.2008, 12:39
Do3e

Вложений: 3

сделал виндовс апдейт, сделал скрипт.
вот новые логи.
карантин выслал.
27.11.2008, 12:46
V_Bond

C:\WINDOWS\system32\APlusServer.exe - пришлите согласно приложения 2 правил
27.11.2008, 13:27
Do3e

Выслал. Но сомневаюсь, что проблема в этом файле.
Это приложение использует порт 5555 и служит для закачивания файлов с Коммуникаторов для дальнейшей их обработки в 1С.
27.11.2008, 14:30
V_Bond

значит пришло время устанавливать сп3 и приличный фаерволл ....
27.11.2008, 15:17
Do3e

на одном компьютере сделал виндовс апдейт и ошибка перестала иметь место.
Ночью скачаю из дома СП3, ибо на работе дорого, и завтра поставлю везде сервис пак. Если что, отпишусь.
Спасибо.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Кстати, есть бесплатные "приличные" фаерволы?
Какой посоветуете?
27.11.2008, 15:44
V_Bond

[url]http://www.comodo.com/[/url]
27.11.2008, 16:10
Do3e

Спасибо!
28.11.2008, 14:03
Do3e

SP3 не помог(
Комп, где сделал виндовс апдейт, тольше не ругается.
В понедельник попробую везде сделать виндовс апдейт...

Щас сделаю логи с того компа, где поставил SP3.
Подозреваю, что там есть вредоносное ПО.
Логи выложить в отдельную тему?
28.11.2008, 14:40
kps

Если с другого компьютера (не с того, с которого Вы выложили логи в посте 2), то да, открывайте новую тему и выкладывайте логи там.
22.02.2009, 09:01
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]