Проблема DCOM & svchost

neigrok · 10.07.2010, 07:26

Здравствуйте, господа специалисты.
Помогите, пожалуйста.

Суть проблемы:
1. В непредсказуемый момент появляется окошко с грозной надписью "Ошибка службы запуска DCOM. Компьютер будет перезагружен через 30 секунд.", что дальше и происходит.
2. Также, в списке процессов имеется 6 (шесть) svchost, загрузка ЦП 50% - все это крайне подозрительно.
3. При перезагрузке компа стало появляться сообщение, что "Приложение OSA.EXE не может быть завершено.". "Завершить сейчас" спасает ситуацию. (это вроде из "офиса" файл - он то тут причем?).

Что сделано?
1. Отключил службу DCOM - не помогло абсолютно.
2. Проверился антивирями, которые ничего не показали.
3. Поудалял вручную все подозрительное (кроме трех вышеуказанных файлов) - не помогло.
4. Проверился AVZ - он мне сообщил о куче перехватов и о 2 (двух) некорректных ключах svchost.
5. Сделал скрипт №3, перегрузился, сделал скрипт №2.
скрипт 3 - http://exfile.ru/113935 скрипт 2 - http://exfile.ru/113936

Что делать теперь? Заранее, благодарен.

P.S. Система на компе не чистилась года 2 (два), так что, количеству хлама не удивляйтесь.

snifer67 · 10.07.2010, 10:41

сделайте лог combofix(см.правила).

01pump · 10.07.2010, 11:43

neigrok,
Запускаем снова avz: Файл-выполнить скрипт- в открывшееся окно внимательно!!! вставляем текст:

Код:

var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
    if j=0 then
        NumStr:='CurrentControlSet' else 
        if j<10 then
            NumStr:='ControlSet00'+IntToStr(j) else
            if j<100 then
                NumStr:='ControlSet0'+IntToStr(j) else
                NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
  end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
  begin 
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
  end;
end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.

Затем нажимаем "Запустить" Скрипт выполнится.

Затем выполните следующий скрипт

Код:

 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\DOCUME~1\57F6~1\LOCALS~1\Temp\Dat18.tmp');
DeleteFile('C:\WINDOWS\system32\9f29ad3a.exe');
DeleteFile('\\?\globalroot\systemroot\system32\jlnhzpt.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AdVantage Setup');
ExecuteSysClean;
RebootWindows(true);
end.

Затем нажимаем "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!!!!
После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip еще выполните лог в hijackthis а так же пришлите лог fystem.log из папки avz

neigrok · 10.07.2010, 16:03

Здравствуйте.
Спасибо, что занялись моими проблемами.

1. Для snifer67: Комбофикс по ссылке этого сайта не грузится. В инете искать? Нужна какая-то определенная версия?

2. Для 01pump: Все сделал как Вы сказали. AVZ скрипт №2 - http://exfile.ru/113985, лог hijackthis - http://exfile.ru/113986.
Простите, но файл fystem.log на моем компьютере не обнаружен. Что надо сделать, чтоб он появился?

01pump · 10.07.2010, 16:07

neigrok,

Я перепутал лог должен быть fystemRoot.log (лежит в папке avz)

Теперь выполните это http://pchelpforum.ru/showpost.php?p=229789&postcount=5 и пришлите логи.

neigrok · 10.07.2010, 16:31

Простите, вроде все делал как сказано, но:
1. fystemRoot.log на компе отсутствует.
2. RSIT при запуске выдает окно с надписью: "Line 122. Variable used without being declared" (Переменная используется без объявления). Лог пустой, соответственно.
Может, что-то блокирует его запуск?

01pump · 10.07.2010, 16:32

neigrok,

Попробуйте снова скачать Combofix и выполнить лог

neigrok · 10.07.2010, 17:03

Ссылка на Комбофикс заработала.
лог - http://exfile.ru/113993

Спешу пожаловаться!
Комбофикс мне снес Daemon tools и эмулированные диски.
Насоздавал кучу папок в С\:
Исчез языковой индикатор рус/eng с нижней панели.
Ругался на кривой winlogon, но пока вроде активация не "проснулась".

Это все можно как-то поправить? Видимо, самому и вручную? )))

---------- Добавлено в 16:03 ---------- Предыдущее сообщение было написано в 15:57 ----------

Кстати, на диске С после всех мероприятий неожиданно освободилось 5-6 гб. Пока не могу понять что исчезло.

01pump · 10.07.2010, 17:22

neigrok,
Выполнить скрипт в avz

Код:

 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('c:\windows\system32\aYFfJKm.exe');
DeleteFile('c:\windows\system32\FMg9VvC.exe');
DeleteFile('c:\windows\system32\XsP65k7.exe');
DeleteFile('c:\windows\system32\x0al6uC.exe');
DeleteFile('c:\windows\system32\86Bw3G8.exe');
DeleteFile('c:\windows\system32\y5IBpHc.exe');
DeleteFile('c:\windows\system32\7Sdr0ie.exe');
DeleteFile('c:\windows\system32\gq5emYN.exe');
DeleteFile('c:\windows\system32\DSEoKG4.exe');
DeleteFile('c:\windows\system32\3ewhmo6.exe'); 
ExecuteSysClean;
RebootWindows(true);
end.

После перезагрузки файл c:\windows\system32\winlogon.exe проверьте здесь www.virustotal.com
Появится сообщение что этот файл уже проверялся, вм нужно все равно выполнить повторную проверку. Результат сообщите

ЗЫ А винда у вас патченокрякнутая или чистая?

neigrok · 10.07.2010, 18:19

Все сделал.

Файл winlogon.exe получен 2010.07.10 12:27:50 (UTC)
Текущий статус: закончено
Результат: 0/40 (0%)

Винда крякнутая конечно.

Странные вещи творятся в Датском королевстве:
Daemon tools и его эмулированные диски снова появились на своих местах чудесным образом.
Языковой индикатор рус/eng на нижней панели так и не появился, а без него ппц как неудобно.
Когда загрузился рабочий стол, то весьма долго неактивна панель кнопки ПУСК.
Индикаторы сетей отображены как "отключено", хотя сеть и инет реально запустились и работают.

---------- Добавлено в 16:43 ---------- Предыдущее сообщение было написано в 16:39 ----------

Кстати, 3 (три) забавных файла, которые я выкладывал в начале темы, исчезли.

---------- Добавлено в 17:19 ---------- Предыдущее сообщение было написано в 16:43 ----------

Пока пауза, позагружался пару раз.

Починили:
1. Окошко с ошибкой службы DCOM пока больше не появлялось. (Подождем еще.)
2. Очистилось 5-6 гб места на диске С. Непонятно, за счет чего.

На данный момент список проблем выглядит так:
1. в списке процессов по-прежнему 6 (шесть) svchost
2. загрузка ЦП 50-60%
3. При загрузке рабочего стола меню ПУСК инода долго неактивно, а иногда работает нормально.
4. С нижней панели исчез языковой индикатор рус\eng и никак не хочет возвращаться.
5. При перезагрузке вручную кричит, что OSA.exe не может быть завершен.

01pump · 10.07.2010, 18:47

neigrok,
6 svchost потому что включено автообновление винды. в принципе это нормально.

ЦП 50-60% чем грузится?

neigrok · 10.07.2010, 19:17

В том и проблема, что ничего "тяжелого" не запущено.
Сообщает, что 33 процесса. В списке все обычное, типа: АВгвард, поддержка Wacom, OSA (MSофис 10), Daemon, WM.
Кстати, автообновление Винды отключено давно и всегда, т.к. кряк может "нагнуться" и потребовать активации - это как "Отче наш".

Что дальше делать будем?

P.S. И обязательно верните мне как-нибудь языковой индикатор вниз экрана. Без него просто попа.
Может я тупой, но сам это сделать не могу почему-то.

---------- Добавлено в 18:17 ---------- Предыдущее сообщение было написано в 17:59 ----------

Во! Простите за "компостирование мозга", но кажется, я разобрался с языковой панелью!!!
Потыкал галочки вкл\выкл текстовых служб в меню управления языками и панель появилась на прежнем месте.

Осталось разобраться с OSA.exe, 6 svchost и загрузкой ЦП 50-60%.

01pump · 10.07.2010, 19:19

neigrok,

Повторяю вопрос : какие процессы грузят до 50-60 % ЦП!!!!!

Так же Панель управления-Администрирование-Службы. Там найдите службу Office Source Engine (или типа такой) и посмотрите в каком режиме она стоит

neigrok · 10.07.2010, 19:51

1. Еще раз проверил список служб.
Оказалось там включено автообновление. Отключил. Перегрузился. Осталось 5 (пять) svchost в списке процессов.

2. никаких служб связанных с Офис в списке нет !!!

3. В списке процессов: Бездействие системы - 50. OSA - 50. Остальное все по нулям.

---------- Добавлено в 18:38 ---------- Предыдущее сообщение было написано в 18:35 ----------

Кстати, может это имеет значени, но теперь в списке процессов не отображается указание кем запущен процесс (администратор, SYSTEM, LOCAL и т.п.). Теперь вся эта колонка пустая.

---------- Добавлено в 18:51 ---------- Предыдущее сообщение было написано в 18:38 ----------

Еще заметил, что в диспетчере задач список пользователей пуст.

Офис всегда находится в "Автозагрузке" в меню ПУСК, но проблем раньше с ним не было.
Сейчас проверил. XL работает без проблем. А World теперь при запуске выдает сообщение "Не удается зарегистрировать данный документ. \невозможно связать данный документ с другими". Везде тыкаешь ОК и тогда вроде начинает работать. Раньше такого не было.

01pump · 10.07.2010, 19:59

neigrok,

По поводу имени пользователя в диспетчере задач:
В Администрировании - Службы . Проверьте в каком режиме работает Службы терминалов. Должна Работать и не Отключена

ЗЫ А вариант переустановить офис не рассматривается?

10.07.2010, 07:26	#1 (ссылка)
neigrok Новичок Регистрация: 10.07.2010 Сообщений: 48 Репутация: 0	Проблема DCOM & svchost Здравствуйте, господа специалисты. Помогите, пожалуйста. Суть проблемы: 1. В непредсказуемый момент появляется окошко с грозной надписью "Ошибка службы запуска DCOM. Компьютер будет перезагружен через 30 секунд.", что дальше и происходит. 2. Также, в списке процессов имеется 6 (шесть) svchost, загрузка ЦП 50% - все это крайне подозрительно. 3. При перезагрузке компа стало появляться сообщение, что "Приложение OSA.EXE не может быть завершено.". "Завершить сейчас" спасает ситуацию. (это вроде из "офиса" файл - он то тут причем?). Что сделано? 1. Отключил службу DCOM - не помогло абсолютно. 2. Проверился антивирями, которые ничего не показали. 3. Поудалял вручную все подозрительное (кроме трех вышеуказанных файлов) - не помогло. 4. Проверился AVZ - он мне сообщил о куче перехватов и о 2 (двух) некорректных ключах svchost. 5. Сделал скрипт №3, перегрузился, сделал скрипт №2. скрипт 3 - http://exfile.ru/113935 скрипт 2 - http://exfile.ru/113936 Что делать теперь? Заранее, благодарен. P.S. Система на компе не чистилась года 2 (два), так что, количеству хлама не удивляйтесь. Последний раз редактировалось 01pump; 10.07.2010 в 22:19.

10.07.2010, 17:22	#9 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	neigrok, Выполнить скрипт в avz Код: begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('c:\windows\system32\aYFfJKm.exe'); DeleteFile('c:\windows\system32\FMg9VvC.exe'); DeleteFile('c:\windows\system32\XsP65k7.exe'); DeleteFile('c:\windows\system32\x0al6uC.exe'); DeleteFile('c:\windows\system32\86Bw3G8.exe'); DeleteFile('c:\windows\system32\y5IBpHc.exe'); DeleteFile('c:\windows\system32\7Sdr0ie.exe'); DeleteFile('c:\windows\system32\gq5emYN.exe'); DeleteFile('c:\windows\system32\DSEoKG4.exe'); DeleteFile('c:\windows\system32\3ewhmo6.exe'); ExecuteSysClean; RebootWindows(true); end. После перезагрузки файл c:\windows\system32\winlogon.exe проверьте здесь www.virustotal.com Появится сообщение что этот файл уже проверялся, вм нужно все равно выполнить повторную проверку. Результат сообщите ЗЫ А винда у вас патченокрякнутая или чистая?

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
svchost.exe	NightDevil	Windows 7	18	09.01.2011 18:04
svchost.exe 50%-100% ЦП	desert1k	Безопасность	5	25.12.2010 23:59
DCOM exploit. Как с ним бороться?	Nicolas	Безопасность	18	20.10.2010 13:26
Ошибка DCOM	Drukar	Windows XP	0	19.10.2010 12:01
DCOM Exploit	~Данил~	Безопасность	0	08.10.2010 21:54
svchost.exe	tee	Безопасность	7	08.07.2010 22:56
Проблема с svchost.exe и со звуком (наверное). Логи	Rabi	Безопасность	33	03.07.2010 18:51
Проблема с svchost.exe	4eshka	Безопасность	10	16.06.2010 18:54
Проблема с svchost	shooroopsan	Безопасность	18	10.09.2009 17:42
svchost	Xexe	Безопасность	7	23.07.2009 22:40
проблема с svchost.exe помогите!	Dominion	Windows XP	15	18.04.2009 16:46

10.07.2010, 10:41	#2 (ссылка)
snifer67 Стажёр Регистрация: 11.04.2010 Сообщений: 977 Репутация: 96	сделайте лог combofix(см.правила).

10.07.2010, 16:03	#4 (ссылка)
neigrok Новичок Регистрация: 10.07.2010 Сообщений: 48 Репутация: 0	Здравствуйте. Спасибо, что занялись моими проблемами. 1. Для snifer67: Комбофикс по ссылке этого сайта не грузится. В инете искать? Нужна какая-то определенная версия? 2. Для 01pump: Все сделал как Вы сказали. AVZ скрипт №2 - http://exfile.ru/113985, лог hijackthis - http://exfile.ru/113986. Простите, но файл fystem.log на моем компьютере не обнаружен. Что надо сделать, чтоб он появился?

10.07.2010, 16:07	#5 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	neigrok, Я перепутал лог должен быть fystemRoot.log (лежит в папке avz) Теперь выполните это http://pchelpforum.ru/showpost.php?p=229789&postcount=5 и пришлите логи.

10.07.2010, 16:31	#6 (ссылка)
neigrok Новичок Регистрация: 10.07.2010 Сообщений: 48 Репутация: 0	Простите, вроде все делал как сказано, но: 1. fystemRoot.log на компе отсутствует. 2. RSIT при запуске выдает окно с надписью: "Line 122. Variable used without being declared" (Переменная используется без объявления). Лог пустой, соответственно. Может, что-то блокирует его запуск?

10.07.2010, 16:32	#7 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	neigrok, Попробуйте снова скачать Combofix и выполнить лог

10.07.2010, 17:03	#8 (ссылка)
neigrok Новичок Регистрация: 10.07.2010 Сообщений: 48 Репутация: 0	Ссылка на Комбофикс заработала. лог - http://exfile.ru/113993 Спешу пожаловаться! Комбофикс мне снес Daemon tools и эмулированные диски. Насоздавал кучу папок в С\: Исчез языковой индикатор рус/eng с нижней панели. Ругался на кривой winlogon, но пока вроде активация не "проснулась". Это все можно как-то поправить? Видимо, самому и вручную? ))) ---------- Добавлено в 16:03 ---------- Предыдущее сообщение было написано в 15:57 ---------- Кстати, на диске С после всех мероприятий неожиданно освободилось 5-6 гб. Пока не могу понять что исчезло.

10.07.2010, 18:19	#10 (ссылка)
neigrok Новичок Регистрация: 10.07.2010 Сообщений: 48 Репутация: 0	Все сделал. Файл winlogon.exe получен 2010.07.10 12:27:50 (UTC) Текущий статус: закончено Результат: 0/40 (0%) Винда крякнутая конечно. Странные вещи творятся в Датском королевстве: Daemon tools и его эмулированные диски снова появились на своих местах чудесным образом. Языковой индикатор рус/eng на нижней панели так и не появился, а без него ппц как неудобно. Когда загрузился рабочий стол, то весьма долго неактивна панель кнопки ПУСК. Индикаторы сетей отображены как "отключено", хотя сеть и инет реально запустились и работают. ---------- Добавлено в 16:43 ---------- Предыдущее сообщение было написано в 16:39 ---------- Кстати, 3 (три) забавных файла, которые я выкладывал в начале темы, исчезли. ---------- Добавлено в 17:19 ---------- Предыдущее сообщение было написано в 16:43 ---------- Пока пауза, позагружался пару раз. Починили: 1. Окошко с ошибкой службы DCOM пока больше не появлялось. (Подождем еще.) 2. Очистилось 5-6 гб места на диске С. Непонятно, за счет чего. На данный момент список проблем выглядит так: 1. в списке процессов по-прежнему 6 (шесть) svchost 2. загрузка ЦП 50-60% 3. При загрузке рабочего стола меню ПУСК инода долго неактивно, а иногда работает нормально. 4. С нижней панели исчез языковой индикатор рус\eng и никак не хочет возвращаться. 5. При перезагрузке вручную кричит, что OSA.exe не может быть завершен.

10.07.2010, 18:47	#11 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	neigrok, 6 svchost потому что включено автообновление винды. в принципе это нормально. ЦП 50-60% чем грузится?

10.07.2010, 19:17	#12 (ссылка)
neigrok Новичок Регистрация: 10.07.2010 Сообщений: 48 Репутация: 0	В том и проблема, что ничего "тяжелого" не запущено. Сообщает, что 33 процесса. В списке все обычное, типа: АВгвард, поддержка Wacom, OSA (MSофис 10), Daemon, WM. Кстати, автообновление Винды отключено давно и всегда, т.к. кряк может "нагнуться" и потребовать активации - это как "Отче наш". Что дальше делать будем? P.S. И обязательно верните мне как-нибудь языковой индикатор вниз экрана. Без него просто попа. Может я тупой, но сам это сделать не могу почему-то. ---------- Добавлено в 18:17 ---------- Предыдущее сообщение было написано в 17:59 ---------- Во! Простите за "компостирование мозга", но кажется, я разобрался с языковой панелью!!! Потыкал галочки вкл\выкл текстовых служб в меню управления языками и панель появилась на прежнем месте. Осталось разобраться с OSA.exe, 6 svchost и загрузкой ЦП 50-60%.

10.07.2010, 19:19	#13 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	neigrok, Повторяю вопрос : какие процессы грузят до 50-60 % ЦП!!!!! Так же Панель управления-Администрирование-Службы. Там найдите службу Office Source Engine (или типа такой) и посмотрите в каком режиме она стоит

Ads

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

10.07.2010, 19:51	#14 (ссылка)
neigrok Новичок Регистрация: 10.07.2010 Сообщений: 48 Репутация: 0	1. Еще раз проверил список служб. Оказалось там включено автообновление. Отключил. Перегрузился. Осталось 5 (пять) svchost в списке процессов. 2. никаких служб связанных с Офис в списке нет !!! 3. В списке процессов: Бездействие системы - 50. OSA - 50. Остальное все по нулям. ---------- Добавлено в 18:38 ---------- Предыдущее сообщение было написано в 18:35 ---------- Кстати, может это имеет значени, но теперь в списке процессов не отображается указание кем запущен процесс (администратор, SYSTEM, LOCAL и т.п.). Теперь вся эта колонка пустая. ---------- Добавлено в 18:51 ---------- Предыдущее сообщение было написано в 18:38 ---------- Еще заметил, что в диспетчере задач список пользователей пуст. Офис всегда находится в "Автозагрузке" в меню ПУСК, но проблем раньше с ним не было. Сейчас проверил. XL работает без проблем. А World теперь при запуске выдает сообщение "Не удается зарегистрировать данный документ. \невозможно связать данный документ с другими". Везде тыкаешь ОК и тогда вроде начинает работать. Раньше такого не было.

10.07.2010, 19:59	#15 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	neigrok, По поводу имени пользователя в диспетчере задач: В Администрировании - Службы . Проверьте в каком режиме работает Службы терминалов. Должна Работать и не Отключена ЗЫ А вариант переустановить офис не рассматривается?