10.07.2010, 07:26 | #1 (ссылка) |
Новичок
Регистрация: 10.07.2010
Сообщений: 48
Репутация: 0
|
Проблема DCOM & svchost
Здравствуйте, господа специалисты.
Помогите, пожалуйста. Суть проблемы: 1. В непредсказуемый момент появляется окошко с грозной надписью "Ошибка службы запуска DCOM. Компьютер будет перезагружен через 30 секунд.", что дальше и происходит. 2. Также, в списке процессов имеется 6 (шесть) svchost, загрузка ЦП 50% - все это крайне подозрительно. 3. При перезагрузке компа стало появляться сообщение, что "Приложение OSA.EXE не может быть завершено.". "Завершить сейчас" спасает ситуацию. (это вроде из "офиса" файл - он то тут причем?). Что сделано? 1. Отключил службу DCOM - не помогло абсолютно. 2. Проверился антивирями, которые ничего не показали. 3. Поудалял вручную все подозрительное (кроме трех вышеуказанных файлов) - не помогло. 4. Проверился AVZ - он мне сообщил о куче перехватов и о 2 (двух) некорректных ключах svchost. 5. Сделал скрипт №3, перегрузился, сделал скрипт №2. скрипт 3 - http://exfile.ru/113935 скрипт 2 - http://exfile.ru/113936 Что делать теперь? Заранее, благодарен. P.S. Система на компе не чистилась года 2 (два), так что, количеству хлама не удивляйтесь. Последний раз редактировалось 01pump; 10.07.2010 в 22:19. |
10.07.2010, 11:43 | #3 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
neigrok,
Запускаем снова avz: Файл-выполнить скрипт- в открывшееся окно внимательно!!! вставляем текст: Код:
var j:integer; NumStr:string; begin for j:=0 to 999 do begin if j=0 then NumStr:='CurrentControlSet' else if j<10 then NumStr:='ControlSet00'+IntToStr(j) else if j<100 then NumStr:='ControlSet0'+IntToStr(j) else NumStr:='ControlSet'+IntToStr(j); if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.'); end; if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.'); end; end; SaveLog(GetAVZDirectory + 'fystemRoot.log'); end. Затем выполните следующий скрипт Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\DOCUME~1\57F6~1\LOCALS~1\Temp\Dat18.tmp'); DeleteFile('C:\WINDOWS\system32\9f29ad3a.exe'); DeleteFile('\\?\globalroot\systemroot\system32\jlnhzpt.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AdVantage Setup'); ExecuteSysClean; RebootWindows(true); end. После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip еще выполните лог в hijackthis а так же пришлите лог fystem.log из папки avz |
10.07.2010, 16:03 | #4 (ссылка) |
Новичок
Регистрация: 10.07.2010
Сообщений: 48
Репутация: 0
|
Здравствуйте.
Спасибо, что занялись моими проблемами. 1. Для snifer67: Комбофикс по ссылке этого сайта не грузится. В инете искать? Нужна какая-то определенная версия? 2. Для 01pump: Все сделал как Вы сказали. AVZ скрипт №2 - http://exfile.ru/113985, лог hijackthis - http://exfile.ru/113986. Простите, но файл fystem.log на моем компьютере не обнаружен. Что надо сделать, чтоб он появился? |
10.07.2010, 16:07 | #5 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
neigrok,
Я перепутал лог должен быть fystemRoot.log (лежит в папке avz) Теперь выполните это http://pchelpforum.ru/showpost.php?p=229789&postcount=5 и пришлите логи. |
10.07.2010, 16:31 | #6 (ссылка) |
Новичок
Регистрация: 10.07.2010
Сообщений: 48
Репутация: 0
|
Простите, вроде все делал как сказано, но:
1. fystemRoot.log на компе отсутствует. 2. RSIT при запуске выдает окно с надписью: "Line 122. Variable used without being declared" (Переменная используется без объявления). Лог пустой, соответственно. Может, что-то блокирует его запуск? |
10.07.2010, 17:03 | #8 (ссылка) |
Новичок
Регистрация: 10.07.2010
Сообщений: 48
Репутация: 0
|
Ссылка на Комбофикс заработала.
лог - http://exfile.ru/113993 Спешу пожаловаться! Комбофикс мне снес Daemon tools и эмулированные диски. Насоздавал кучу папок в С\: Исчез языковой индикатор рус/eng с нижней панели. Ругался на кривой winlogon, но пока вроде активация не "проснулась". Это все можно как-то поправить? Видимо, самому и вручную? ))) ---------- Добавлено в 16:03 ---------- Предыдущее сообщение было написано в 15:57 ---------- Кстати, на диске С после всех мероприятий неожиданно освободилось 5-6 гб. Пока не могу понять что исчезло. |
Ads | |
10.07.2010, 17:22 | #9 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
neigrok,
Выполнить скрипт в avz Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('c:\windows\system32\aYFfJKm.exe'); DeleteFile('c:\windows\system32\FMg9VvC.exe'); DeleteFile('c:\windows\system32\XsP65k7.exe'); DeleteFile('c:\windows\system32\x0al6uC.exe'); DeleteFile('c:\windows\system32\86Bw3G8.exe'); DeleteFile('c:\windows\system32\y5IBpHc.exe'); DeleteFile('c:\windows\system32\7Sdr0ie.exe'); DeleteFile('c:\windows\system32\gq5emYN.exe'); DeleteFile('c:\windows\system32\DSEoKG4.exe'); DeleteFile('c:\windows\system32\3ewhmo6.exe'); ExecuteSysClean; RebootWindows(true); end. Появится сообщение что этот файл уже проверялся, вм нужно все равно выполнить повторную проверку. Результат сообщите ЗЫ А винда у вас патченокрякнутая или чистая? |
10.07.2010, 18:19 | #10 (ссылка) |
Новичок
Регистрация: 10.07.2010
Сообщений: 48
Репутация: 0
|
Все сделал.
Файл winlogon.exe получен 2010.07.10 12:27:50 (UTC) Текущий статус: закончено Результат: 0/40 (0%) Винда крякнутая конечно. Странные вещи творятся в Датском королевстве: Daemon tools и его эмулированные диски снова появились на своих местах чудесным образом. Языковой индикатор рус/eng на нижней панели так и не появился, а без него ппц как неудобно. Когда загрузился рабочий стол, то весьма долго неактивна панель кнопки ПУСК. Индикаторы сетей отображены как "отключено", хотя сеть и инет реально запустились и работают. ---------- Добавлено в 16:43 ---------- Предыдущее сообщение было написано в 16:39 ---------- Кстати, 3 (три) забавных файла, которые я выкладывал в начале темы, исчезли. ---------- Добавлено в 17:19 ---------- Предыдущее сообщение было написано в 16:43 ---------- Пока пауза, позагружался пару раз. Починили: 1. Окошко с ошибкой службы DCOM пока больше не появлялось. (Подождем еще.) 2. Очистилось 5-6 гб места на диске С. Непонятно, за счет чего. На данный момент список проблем выглядит так: 1. в списке процессов по-прежнему 6 (шесть) svchost 2. загрузка ЦП 50-60% 3. При загрузке рабочего стола меню ПУСК инода долго неактивно, а иногда работает нормально. 4. С нижней панели исчез языковой индикатор рус\eng и никак не хочет возвращаться. 5. При перезагрузке вручную кричит, что OSA.exe не может быть завершен. |
10.07.2010, 19:17 | #12 (ссылка) |
Новичок
Регистрация: 10.07.2010
Сообщений: 48
Репутация: 0
|
В том и проблема, что ничего "тяжелого" не запущено.
Сообщает, что 33 процесса. В списке все обычное, типа: АВгвард, поддержка Wacom, OSA (MSофис 10), Daemon, WM. Кстати, автообновление Винды отключено давно и всегда, т.к. кряк может "нагнуться" и потребовать активации - это как "Отче наш". Что дальше делать будем? P.S. И обязательно верните мне как-нибудь языковой индикатор вниз экрана. Без него просто попа. Может я тупой, но сам это сделать не могу почему-то. ---------- Добавлено в 18:17 ---------- Предыдущее сообщение было написано в 17:59 ---------- Во! Простите за "компостирование мозга", но кажется, я разобрался с языковой панелью!!! Потыкал галочки вкл\выкл текстовых служб в меню управления языками и панель появилась на прежнем месте. Осталось разобраться с OSA.exe, 6 svchost и загрузкой ЦП 50-60%. |
10.07.2010, 19:19 | #13 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
neigrok,
Повторяю вопрос : какие процессы грузят до 50-60 % ЦП!!!!! Так же Панель управления-Администрирование-Службы. Там найдите службу Office Source Engine (или типа такой) и посмотрите в каком режиме она стоит |
10.07.2010, 19:51 | #14 (ссылка) |
Новичок
Регистрация: 10.07.2010
Сообщений: 48
Репутация: 0
|
1. Еще раз проверил список служб.
Оказалось там включено автообновление. Отключил. Перегрузился. Осталось 5 (пять) svchost в списке процессов. 2. никаких служб связанных с Офис в списке нет !!! 3. В списке процессов: Бездействие системы - 50. OSA - 50. Остальное все по нулям. ---------- Добавлено в 18:38 ---------- Предыдущее сообщение было написано в 18:35 ---------- Кстати, может это имеет значени, но теперь в списке процессов не отображается указание кем запущен процесс (администратор, SYSTEM, LOCAL и т.п.). Теперь вся эта колонка пустая. ---------- Добавлено в 18:51 ---------- Предыдущее сообщение было написано в 18:38 ---------- Еще заметил, что в диспетчере задач список пользователей пуст. Офис всегда находится в "Автозагрузке" в меню ПУСК, но проблем раньше с ним не было. Сейчас проверил. XL работает без проблем. А World теперь при запуске выдает сообщение "Не удается зарегистрировать данный документ. \невозможно связать данный документ с другими". Везде тыкаешь ОК и тогда вроде начинает работать. Раньше такого не было. |
10.07.2010, 19:59 | #15 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
neigrok,
По поводу имени пользователя в диспетчере задач: В Администрировании - Службы . Проверьте в каком режиме работает Службы терминалов. Должна Работать и не Отключена ЗЫ А вариант переустановить офис не рассматривается? |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
svchost.exe | NightDevil | Windows 7 | 18 | 09.01.2011 18:04 |
svchost.exe 50%-100% ЦП | desert1k | Безопасность | 5 | 25.12.2010 23:59 |
DCOM exploit. Как с ним бороться? | Nicolas | Безопасность | 18 | 20.10.2010 13:26 |
Ошибка DCOM | Drukar | Windows XP | 0 | 19.10.2010 12:01 |
DCOM Exploit | ~Данил~ | Безопасность | 0 | 08.10.2010 21:54 |
svchost.exe | tee | Безопасность | 7 | 08.07.2010 22:56 |
Проблема с svchost.exe и со звуком (наверное). Логи | Rabi | Безопасность | 33 | 03.07.2010 18:51 |
Проблема с svchost.exe | 4eshka | Безопасность | 10 | 16.06.2010 18:54 |
Проблема с svchost | shooroopsan | Безопасность | 18 | 10.09.2009 17:42 |
svchost | Xexe | Безопасность | 7 | 23.07.2009 22:40 |
проблема с svchost.exe помогите! | Dominion | Windows XP | 15 | 18.04.2009 16:46 |