Ошибка svchost.exe

Nebel, 12.03.2009 - 9:25

Всем привет!
У меня со вчерашнего дня такая проблема, вылетает ошибка


После которой появляется окошко "Завершение работы системы, произошла непредвиденная ошибка, система будет перезагружена через 60 секунд.." которое не закрывается и перезагружает систему.
Кто сталкивался с подобным? Вирус-не вирус не знаю, стоит нод32, ничего не видет.
Похожая ошибка была при попадании на серверы червя lovsan. Но это 100% не он

SSinchuk, 12.03.2009 - 9:31

https://softoroom.org/topic53534.html
Читай - пару дней назад было))

Quim2005, 12.03.2009 - 10:48

Вот из-за таких фраз люди начинают ругать НОД, ставят KIS и говорят, как всё круто. Ребята НОД32 - это антивирус, в сетевые дела не лезет и отлавливает вирей исключительно в местах локального пользования. svchost.exe - сетевая служба, поэтому если возникла такая проблема, то незамедлительно:
1. Ставьте ESS, желательно 4-ой серии - и быстрее, и надежнее.
2. Поставить ESS в интерактивный режим
3. ESS будет сдерживать натиск на порты, однако лучше поставить заплатки

Второй вариант - это обновление Антивируса НОД32 до актуальной версии и базы - ключевой момент, а также установка заплаток, проблем также не возникнет.

dodik, 12.03.2009 - 11:28

Смотри автозагрузку,если есть откат откатывай.

Nebel, 12.03.2009 - 12:05

м-да очень похоже на ту проблему.. Видимо вирус kido\confickier.
НО обновление КВ958644 которое решает с ним проблему у меня уже давно стоит... А фаер ставить не очень хочется, как можно закрыть порты без фаера?

Добавлено:


в автозагрузке ничего подозрительного. смотрел утилитой autoruns от Sysinternals

Добавлено:


последнее обновление 10 марта, так что вряд ли из-за этого

namee, 12.03.2009 - 13:08

мало инфы может и не вирь ..

а перезагрузку отменить можно в cmd shutdown -a

лучьше батник чтобы успеть))

Добавлено:
Вот ещё глянь, за неимением достаточьного описания возможно и нето ))

SLIDER, 12.03.2009 - 13:46

На самом деле проблема есть и мне кажется что проблема в последних хотфиксах ...

Ошибка начала возникать и у меня, причём на разных копах, после установки мартовских обновлений.

PS: Вирусов я не замечал, пролазил во всей системе ручками, вроде чисто. Обновления у меня стоят все
Только вот номер ошибки я не помню если выскочит сообщу, хотя может и не выдет, файлы системные переписал

-=Sherhan=-, 12.03.2009 - 14:15

А как же тогда вирус подменяет svchost.exe??? Или НОД должен только сканировать названия имён файлов. Если этот файл изменён-антивирус(нормальный) должен его увидеть

SLIDER, 12.03.2009 - 14:54

-=Sherhan=-, Зарази свой комп kido\confickier, без обновлений критических, и поставь любой антивирь, к примеру Ваш любимый каспер, я посмотрю как он его отловит ...
Каспер как и все остальные этот вирь не увидят.
Потому что они слепы без заплаток в винде.

Nebel, 12.03.2009 - 15:05

файл НЕизмененный, проверял. На компьютере его вроде нету... но компьютер периодически "тухнет" все равно

Итог:
Net-Worm.Win32.Kido.ih.....вирус......файлов - 54......компьютеров - 38

Nebel, 12.03.2009 - 15:20

точно не то, имя уже известно.

а за команду спасибо - помогло


не понял отчего это зависит, но антивири его в упор не видят. у меня каспер(обновляется по несколько раз в день) и нод в сети стоят. каспер на большинстве машин, у меня нод.

namee, 12.03.2009 - 15:21

Итог:
Net-Worm.Win32.Kido.ih.....вирус......файлов - 54......компьютеров - 38

Если проблема ещё не решена во инструкция по по избавлению от Net-Worm.Win32.Kido.ih
И тулза там же))

Quim2005, 12.03.2009 - 15:56

Из лога одного из моих подопытных:
C:\WINDOWS\system32\waqidzn.dll
Win32/Conficker worm cleaned by deleting

чистая SP2, без заплаток, нод 3.0.684 с последними базами.

RapHan, 12.03.2009 - 15:58

Любит у нас народ, создать себе проблему, а потом героически её преодолевать.
* О каких хотфиксах идёт речь - Мелкософтовских, так я рад, что эта возможность у Винды отрублена. Под видом критических обновлений, иногда "втюхивают" такое, что приходится Винду переставлять(не хочу повторяться, уже описывал на Форуме ситуацию с апгрейтами). Последнее обновление с августа 2008 года, при установке оной со всем пакетом SP3 и теми обновлениями, которые там присутствовали. И всё!
* После наладки всей системы, и установки необходимых программ, - образ TrueImage (2.2 Гика). Сохранить можно где угодно, поверьте это сбережёт Вам массу времени и нервов, и дальше, если пожелаете можете эксперементировать с критическими обновлениями, я этого не делаю.
* Не понятно мне, и неприятие Файервола, дело конечно личное, разве только Trafic Inspector стоит. Но я бы поставил, а уже Вам выбирать какой именно.

SLIDER, 12.03.2009 - 16:26

Quim2005, Это они уже базы подстроили под ловлю этого засланца, а до этого, я не мог сообразить почему у моих подопытных svhost падает ... Хотя базы были свежие ...
Они даже сканер обновили (Модуль резидентного сканирования: 1193 (20090311))

Nebel, 12.03.2009 - 16:44

Вирус изведен. Благодарю всех откликнувшихся

Утилитой "на добивание" воспользовался вот этой:


Добавлено:

Класс


Дело в том что фаер на строй машинке довольно сильно тормозит работу, и к тому же у нас стоит только аппаратный фаер.

Немного не в тему: как закрыть/открыть порты без фаервола?

Nebel, 13.03.2009 - 12:43

Дополнение

Откуда то мой компьютер все-таки бомбардируется и регулярно выпадает выщеуказанное окошко с попыткой перезагрузки системы. Возможно ли без фаера вычислить из какой сетки идет атака? /сеть у нас немаленькая, и в моем сегменте вирусов нет.. вроде бы

SLIDER, 13.03.2009 - 22:08

Nebel, Лучше файр, а если без него то netstat юзать надобно

middleman, 14.03.2009 - 10:56

У касперского вродебы есть нечто называемое Анти-хакер. так вот сам он по ходу не работает как фаервол (по крайней мере когда его на работе поставили я за ним блокировочной деятельности не заметил), а вот статистику по портам и айпишникам ведет очень даже неплохо.

bo-tanic, 15.03.2009 - 19:15

Действительно такая прграмма есть, а вернее была, выходила раньше и обновлялась... Сейчас к сожалению, после перехода на Kaspersky Internet Security, уже отдельно в отличее от антивируса не выпускается... Программа достаточно простая, и по своим меркам надежная. И это именно фаервол! Во всяком случае свои функции выполняет(насколько идеально, это уже другой вопрос. Все имеет свои недостатки... ) А главное, прекрасно работает на достаточно слабых машинах - у самого на работе старый ноут, и он там прекрасно живет... и действительно эта программа показывает от куда была проведена атака, и блокирует этот IPшник, на час и более(можно выбрать в настройках)...
Если надо, то могу покапаться и поискать инсталлятор, единственно, что , как я уже писал, программа давно не обновлялась, к сожалению, и последняя версия по-моему 1.9.37.0.

Nebel, 25.03.2009 - 23:35

И продолжение истории...

Закрытие портов 135, 137, 139 (из пред.темы) не помогло. Ошибка svchost.exe все равно вылазит и пытается перезагрузить систему "из-за непредвиденного завершения службы DCOM"
Фаер поставил (аутпост), регулярно обнаруживает сканирование портов, из других подсетей. В общем заплатки на винду не спасают, как и каспер, вирь все равно гуляет.. Проявляется в виде кучи запущенных rundll32.exe и задач в планировщике windows.
Каспер и нод говорят "ничего не вижу, ничего не слышу". KidoKiller убивает все хвосты, но только на время..
В общем продолжаю воевать. Кто подскажет как эту заразу до конца извести?

KLUCHICK, 25.03.2009 - 23:49

Соболезную, эту заразу извести в локальной сети, возможно только одним способом. Отключить от сети все машины, прибить ОС установить патчи от MS в количестве трёх шт., поставить нормальный потоковый авирь типа Dr.Web, отключить автозагрузку со всех девайсов и вводить в сеть по одной... Нудно, мутно, но иначе не получится, сам болел две недели... Такой вот этот злобный руткит Worm.Kido, потому и объявлена Мелкомягкими награда за поимку вирусописца в четверть лимона вечнозелёных

А темка такая была у нас ЗДЕСЬ