Пофиксите:
[code]O20 - Winlogon Notify: flballoon - C:\WINDOWS\[/code]
В логе AVZ смущает один модуль пространства ядра:
[code]\??\C:\WINDOWS\system32\Drivers\mchInjDrv.sys[/code]
Кто-нибудь знает, что это может быть?
Printable View
Пофиксите:
[code]O20 - Winlogon Notify: flballoon - C:\WINDOWS\[/code]
В логе AVZ смущает один модуль пространства ядра:
[code]\??\C:\WINDOWS\system32\Drivers\mchInjDrv.sys[/code]
Кто-нибудь знает, что это может быть?
[quote=pig;100656]Пофиксите:
[code]O20 - Winlogon Notify: flballoon - C:\WINDOWS\[/code]В логе AVZ смущает один модуль пространства ядра:
[code]\??\C:\WINDOWS\system32\Drivers\mchInjDrv.sys[/code]Кто-нибудь знает, что это может быть?[/quote] [quote][FONT=Verdana][SIZE=2]MchInjDrv.sys is a driver for injecting code to other processes.
Publisher is legitimate:
[URL="hxxp://madshi.net/"]hxxp://madshi.net[/URL]
But it is often used by malicious software.
.[/SIZE][/FONT][/quote] Примерный перевод: [FONT=Verdana][SIZE=2]MchInjDrv.sys - драйвер для инжекта кода в другие процессы. Разработчик известен, но драйвер часто используется вредоносным программным обеспечением.
У меня, попутно, возник вопрос: речь идет о запуске службы "Брандмауэр Windows", так? Она должна была быть отключена при установке Outpost, возможно, Outpost же и препятствует ее повторному запуску?[/SIZE][/FONT]
Хммм.... [URL]http://virusinfo.info/showthread.php?t=7472&goto=nextnewest[/URL] и [URL]http://clubsymantec.ru/security_response/writeup.jsp?docid=2005-091412-0643-99&tabid=2[/URL] (пункт Service name...) Присылать файл?
[quote=Numb;100658][SIZE=2][FONT=Verdana]У меня, попутно возник вопрос: речь идет о запуске службы "Брандмауэр Windows", так? Она должна была быть отключена при установке Outpost, возможно, Outpost же и препятствует ее повторному запуску?[/FONT][/SIZE][/quote]
Сам брандмауэр Windows выключен. А служба "Брандмауэр Windows/Общий доступ к Интернету (ICS)" включена. Вряд ли Outpost ей препятствует... в настройках служб во вкладке "Вход в систему" для этой службы указано "С системной учетной записью". Может, надо прописать вручную учетную запись, с помощью которой ей надо делать рестарт?
Так же смущает, что падает svchost...
К сожалению, не могу проверить поведение служб Windows XP при установке Outpost. Служба "Брандмауэр Windows/Общий доступ к Интернету (ICS)" запускается именно с системной учетной записью - это правильно.
[QUOTE=AriaL;100659]Присылать файл?[/QUOTE]
Не надо, тем более, что файла нет. Кто-то этот драйвер динамически ставит при загрузке. StarForce, что ли?
P.S. Прикольно, я, оказывается, не первый раз на него глаз кладу :)
Да вряд ли Outpost тут виноват... работала же она раньше как-то вместе с ним. И регулярности в падении службы нет никакой
Как только в очередной раз svchost упадет, зайти в Панель управления - Администрирование - Просмотр событий - Журнал приложений. Посмотреть, что там записалось. В смысле, последние записи.
Второй вариант - скачать tasklist.exe. Ссылка была в соседних темах.
Запустить Пуск -- Выполнить -- tasklist /svc >c:\svc.txt
После того, как упадет, повторить, изменив имя файлы на svc1.txt
Файлы прислать сюда.
Уфф, наконец-то отловил момент, когда злополучная служба "упала". Файлы svc.txt и svc1.txt (соответственно сделанные до и после падения службы). Запись в журнале приложений такая:[QUOTE]Тип события: Ошибка
Источник события: Application Error
Категория события: (100)
Код события: 1000
Дата: 26.03.2007
Время: 23:14:09
Пользователь: Н/Д
Компьютер: ARIAL
Описание:
Ошибка приложения svchost.exe, версия 5.1.2600.2180, модуль netapi32.dll, версия 5.1.2600.2756, адрес 0x0000a510.
Данные:
0000: 41 70 70 6c 69 63 61 74 Applicat
0008: 69 6f 6e 20 46 61 69 6c ion Fail
0010: 75 72 65 20 20 73 76 63 ure svc
0018: 68 6f 73 74 2e 65 78 65 host.exe
0020: 20 35 2e 31 2e 32 36 30 5.1.260
0028: 30 2e 32 31 38 30 20 69 0.2180 i
0030: 6e 20 6e 65 74 61 70 69 n netapi
0038: 33 32 2e 64 6c 6c 20 35 32.dll 5
0040: 2e 31 2e 32 36 30 30 2e .1.2600.
0048: 32 37 35 36 20 61 74 20 2756 at
0050: 6f 66 66 73 65 74 20 30 offset 0
0058: 30 30 30 61 35 31 30 000a510
[/QUOTE]
Непосредственно перед этой записью и после нее никаких ошибок/предупреждений больше нет.
Так. Еще выяснилось, что svchost падает, когда на файрволле открываю NetBIOS для локальной сети.
Люди, ау! [B]PavelA[/B], я выложил все логи...
[QUOTE=AriaL;101618]Так. Еще выяснилось, что svchost падает, когда на файрволле открываю NetBIOS для локальной сети.[/QUOTE]
Только тогда или в дополнение ко всему? Заплатки на систему ставите регулярно или как поставили XP SP2, так она без обновления и живёт?
Судя по проявлениям, идёт атака из локальной сети. Какой-то гад в дыру стучится.
Надо, наверно, сходить на [url]http://www.microsoft.com/rus/technet/security/bulletin/ms06-040.mspx[/url]
и загрузить заплатку. по этому делу есть и еще заплатки. Из присланных логов видно, что падают сетевые сервисы.