|
|
|
|
| Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » подозрение на вирус.. svchost |
|
||||
|
|
подозрение на вирус.. svchost
|
|
Старожил Сообщения: 402 |
Добрый час. Ситуация такая:
На серванте (2х2 камня) под winsvr 2003, с недавних пор наблюдается такая проблема: svchost.exe постоянно грузит проц на 25 процентов, памяти жрёт до 1.8 Гб (!), бывает меньше... После перезагрузки проблема исчезает на некоторое время. Process explorer указывает что проблема в службе C:\WINDOWS\system32\svchost.exe -k DcomLaunch (запуск серверных процессов DCOM). А именно в потоке 3948, стартовый адрес !MulDiv+0x120. Process monitor показал следующее по этому потоку: Код:
 10:07:02,2279568,"svchost.exe","684","RegQueryValue","HKLM\SOFTWARE\Microsoft\m1133","NAME NOT FOUND","Length: 144","3948" 10:07:02,2279639,"svchost.exe","684","RegCloseKey","HKLM\SOFTWARE\Microsoft","SUCCESS","","3948" 10:07:02,2279785,"svchost.exe","684","CreateFile","C:\","SUCCESS","Desired Access: Synchronize, Disposition: Open, Options: Directory, Synchronous IO Non-Alert, Attributes: n/a, ShareMode: None, AllocationSize: n/a, OpenResult: Opened","3948" 10:07:02,2279933,"svchost.exe","684","QueryNameInformationFile","C:\","SUCCESS","Name: \","3948" 10:07:02,2280019,"svchost.exe","684","QueryInformationVolume","C:\","SUCCESS","VolumeCreationTime: 09.04.2008 17:06:11, VolumeSerialNumber: A47D-2982, SupportsObjects: True, VolumeLabel: SYSTEM","3948" 10:07:02,2280093,"svchost.exe","684","CloseFile","C:\","SUCCESS","","3948" 10:07:02,2280335,"svchost.exe","684","RegQueryValue","HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\EnableAutodial","NAME NOT FOUND","Length: 144","3948" 10:07:02,2280419,"svchost.exe","684","QueryStandardInformationFile","C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\index.dat","SUCCESS","AllocationSize: 32В 768, EndOfFile: 32В 768, NumberOfLinks: 1, DeletePending: False, Directory: False","3948" 10:07:02,2280499,"svchost.exe","684","RegOpenKey","HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings","NAME NOT FOUND","","3948" 10:07:02,2280739,"svchost.exe","684","RegOpenKey","HKU\S-1-5-18","SUCCESS","","3948" 10:07:02,2280869,"svchost.exe","684","RegCloseKey","HKU\.DEFAULT","SUCCESS","","3948" 10:07:02,2280967,"svchost.exe","684","QueryStandardInformationFile","C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\index.dat","SUCCESS","AllocationSize: 32В 768, EndOfFile: 32В 768, NumberOfLinks: 1, DeletePending: False, Directory: False","3948" 10:07:02,2281039,"svchost.exe","684","QueryStandardInformationFile","C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\index.dat","SUCCESS","AllocationSize: 32В 768, EndOfFile: 32В 768, NumberOfLinks: 1, DeletePending: False, Directory: False","3948" 10:07:02,2281098,"svchost.exe","684","QueryStandardInformationFile","C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\index.dat","SUCCESS","AllocationSize: 32В 768, EndOfFile: 32В 768, NumberOfLinks: 1, DeletePending: False, Directory: False","3948" 10:07:02,2281210,"svchost.exe","684","RegCreateKey","HKLM\Software\Microsoft\DownloadManager","SUCCESS","","3948" 10:07:02,2281351,"svchost.exe","684","RegQueryValue","HKLM\SOFTWARE\Microsoft\DownloadManager\CacheOk","NAME NOT FOUND","Length: 144","3948" 10:07:02,2281429,"svchost.exe","684","RegCloseKey","HKLM\SOFTWARE\Microsoft\DownloadManager","SUCCESS","","3948" 10:07:02,2282417,"svchost.exe","684","QueryOpen","C:\WINDOWS\Temp","SUCCESS","CreationTime: 09.04.2008 17:06:19, LastAccessTime: 27.06.2010 10:01:11, LastWriteTime: 27.06.2010 10:01:11, ChangeTime: 27.06.2010 10:01:11, AllocationSize: 0, EndOfFile: 0, FileAttributes: DNCI","3948" 10:07:02,2282577,"svchost.exe","684","RegOpenKey","HKLM\Software\Microsoft","SUCCESS","","3948" 10:07:02,2282712,"svchost.exe","684","RegQueryValue","HKLM\SOFTWARE\Microsoft\m1131","NAME NOT FOUND","Length: 144","3948" 10:07:02,2282786,"svchost.exe","684","RegCloseKey","HKLM\SOFTWARE\Microsoft","SUCCESS","","3948" 10:07:02,2282854,"svchost.exe","684","RegOpenKey","HKLM\Software\Microsoft","SUCCESS","","3948" 10:07:02,2282967,"svchost.exe","684","RegQueryValue","HKLM\SOFTWARE\Microsoft\m1132","NAME NOT FOUND","Length: 144","3948" 10:07:02,2283038,"svchost.exe","684","RegCloseKey","HKLM\SOFTWARE\Microsoft","SUCCESS","","3948" 10:07:02,2283105,"svchost.exe","684","RegOpenKey","HKLM\Software\Microsoft","SUCCESS","","3948" 10:07:02,2283218,"svchost.exe","684","RegQueryValue","HKLM\SOFTWARE\Microsoft\m1133","NAME NOT FOUND","Length: 144","3948" 10:07:02,2283288,"svchost.exe","684","RegCloseKey","HKLM\SOFTWARE\Microsoft","SUCCESS","","3948" 10:07:02,2283429,"svchost.exe","684","CreateFile","C:\","SUCCESS","Desired Access: Synchronize, Disposition: Open, Options: Directory, Synchronous IO Non-Alert, Attributes: n/a, ShareMode: None, AllocationSize: n/a, OpenResult: Opened","3948" 10:07:02,2283574,"svchost.exe","684","QueryNameInformationFile","C:\","SUCCESS","Name: \","3948" 10:07:02,2283659,"svchost.exe","684","QueryInformationVolume","C:\","SUCCESS","VolumeCreationTime: 09.04.2008 17:06:11, VolumeSerialNumber: A47D-2982, SupportsObjects: True, VolumeLabel: SYSTEM","3948" 10:07:02,2283729,"svchost.exe","684","CloseFile","C:\","SUCCESS","","3948" 10:07:02,2283963,"svchost.exe","684","RegQueryValue","HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\EnableAutodial","NAME NOT FOUND","Length: 144","3948" 10:07:02,2284047,"svchost.exe","684","QueryStandardInformationFile","C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\index.dat","SUCCESS","AllocationSize: 32В 768, EndOfFile: 32В 768, NumberOfLinks: 1, DeletePending: False, Directory: False","3948" 10:07:02,2284127,"svchost.exe","684","RegOpenKey","HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings","NAME NOT FOUND","","3948" 10:07:02,2284364,"svchost.exe","684","RegOpenKey","HKU\S-1-5-18","SUCCESS","","3948" 10:07:02,2284494,"svchost.exe","684","RegCloseKey","HKU\.DEFAULT","SUCCESS","","3948" Проверялся NOD32 (2.7 версии) ничего не нашёл. Куда дальше копать не знаю, идеи кончились. Как то это выглядит что что то пытается с инетом соединиться, у меня файр стоит. Автообновление отключено. Может кто чего скажет по этой проблеме ? По сетевой активности (tcpview) вот этот проц: Код: svchost.exe 684 UDP server:1274 *:* что значит *:* ? на все адреса на все порты ?? |
|
|
Отправлено: 12:42, 27-06-2010 |
Старожил Сообщения: 288
|
Профиль | Отправить PM | Цитировать foxbat, Добрый день!
Цитата:
|
|
|
Отправлено: 12:52, 27-06-2010 | #2 |
|
Старожил Сообщения: 402
|
Профиль | Отправить PM | Цитировать Спасибо за идея
 получите логи |
|
Последний раз редактировалось foxbat, 24-07-2012 в 14:57. Отправлено: 14:27, 27-06-2010 | #3 |
|
Старожил Сообщения: 288
|
Профиль | Отправить PM | Цитировать Пофиксить в HijackThis следующие строчки:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\9MoNWH8.exe, Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteAVUpdate;
QuarantineFile('\\?\globalroot\systemroot\system32\9monwh8.exe','');
DeleteFile('\\?\globalroot\systemroot\system32\9monwh8.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
После перезагрузки выполнить второй скрипт: Код:
begin CreateQurantineArchive(GetAVZDirectory+'quarantine .zip'); end. Повторите логи АВЗ + HijackThis!Что с проблемами? + Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. d:\!it\урбд ведущая обмен.bat - Этот файл отправить Virustotal Доклад результаты здесь..! |
|
Последний раз редактировалось icotonev, 28-06-2010 в 11:52. Отправлено: 15:26, 27-06-2010 | #4 |
скептик-оптимист
Сообщения: 5718
|
Профиль | Отправить PM | Цитировать +
Перед повторными логами обновите базы АВЗ. |
|
|
------- Отправлено: 15:36, 27-06-2010 | #5 |
|
Старожил Сообщения: 402
|
Профиль | Отправить PM | Цитировать Базы обновил. Скрипт №1 выполнил, сервант ушёл в перезагрузку и больше не пингуется. Завтра с утра только попаду на место.
|
|
Отправлено: 23:17, 27-06-2010 | #6 |
|
Старожил Сообщения: 402
|
Профиль | Отправить PM | Цитировать как так могло получится что этот АВЗ вычистил ветку реестра ?:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2 хорошо хоть бэкап сделал... |
|
Отправлено: 08:45, 28-06-2010 | #7 |
|
Старожил Сообщения: 402
|
Профиль | Отправить PM | Цитировать Цитата icotonev:
|
|
|
Отправлено: 09:55, 28-06-2010 | #8 |
|
Старожил Сообщения: 288
|
Профиль | Отправить PM | Цитировать foxbat, Примите мои искренние извинения.Я ошибаться..!Не приходилось использовать:
ExecuteRepair(14) - микропрограмму нельзя запускать из терминальной сессии.Она отвечает за автоматическое исправление настроек SPI\LSP Выполните скрипт в AVZ: Код:
begin
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
RebootWindows(true);
end.
 |
|
Отправлено: 11:35, 28-06-2010 | #9 |
|
Старожил Сообщения: 402
|
Профиль | Отправить PM | Цитировать icotonev, ничего страшного все ошибаются, я уже сам поправил это дело
ну вообще весело неделька начинается З.Ы. в любом случае спасибо за помощь, пока полёт нормальный... |
|
Отправлено: 14:02, 28-06-2010 | #10 |
|
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Вопрос - подозрение на вирусы | Nayan | Защита компьютерных систем | 1 | 20-10-2009 12:47 | |
| svchost.exe -вирус? | эфа | Лечение систем от вредоносных программ | 1 | 31-01-2009 07:58 | |
| Не работают скрипты в браузере. Есть подозрение на вирус!:( | zhefran | Лечение систем от вредоносных программ | 14 | 19-09-2008 17:49 | |
| Подозрение на вирус | Tanusik | Лечение систем от вредоносных программ | 2 | 13-04-2008 16:30 | |
| Kaspersky стал в программе Remote admin определять вирус - не вирус, почему? | Dionin | Защита компьютерных систем | 5 | 30-03-2005 08:27 | |
|
|
Время: 13:38. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
