День добрый!
Пишу сюда, потому что уже не знаю, где искать.
Ситуация следующая: на одной из рабочих станций что в режиме реального времени, что в защищенном режиме 100% загрузка процессора одним процессом - svchost.exe. При попытке завершения этого процесса появляется окно с надписью "Система завершает работу. Сохраните данные и выйдите из системы", в описании о прекращении работы службы Удаленный вызов процедур (RPC).
Естественно, первое подозрение - Lovesan, он же Blaster. Но ни в процессах, ни в реестре, ни на диске соответствующих записей о наличии именно Blaster'а нет.
Ок. Прогоняю clrav от Касперски-лаб - тишина. Затем FixBlast от Symantec - тоже ничего не найдено. Антивирусная проверка Nod32 со свежими базами результата не дает.
Еще раз повторюсь - ни в безопасном режиме, ни в режиме реального времени попытка завершения процесса svchost.exe приводит к появлению окна с предупреждением о завершении работы, и собственно, к перезагрузке.
Попытка отмены запуска службы RPC не увенчалась успехом: по какой-то непонятной причине диалоговое окно свойств для служб (для всех служб) не появляется. Реально ли изменить тип запуска и действия при аварийном завершении службы через командную строку?
Что это может быть? Куда копать дальше?
Результаты исследования AVZ и лог hijackthis во вложении.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
По хорошему нужно ставить SP2 и всё что сверху ( http://virusinfo.info/showthread.php?t=1342 ) Предварительно озадачившись проблемой активации (установленная у вас, перестанет работать после установки SP2). Фаервола тоже невидно...
А по поводу RPC, то макрософт выпускал порядка пяти заплаток, если не ошибаюсь... И были похожие эффекты при их отсутствии.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: