вторник, 09 декабря 2008
10:06

все записи пользователя в сообществе Unrecognized
No pain, no gain.
WinXP SP2.
Одному из процессов svchost.exe по непонятным причинам очень нравится постоянно обращаться к винчестеру и загружать процессор. Как оказалось, шалит служба "Запуск серверных процессов DCOM". Используется для подключения к интернету, поэтому отключить не выходит, приходится каждый раз останавливать вручную. Что, естественно, не слишком удобно и приятно.
Поискал вирусы (NOD32) - не нашел.
Как можно бороться?

URL
Комментарии
09.12.2008 в 10:49

Unrecognized пройдись еще раз но уже с включенной опцией "расширенная эвристика"
URL
09.12.2008 в 11:06

Unrecognized
No pain, no gain.
С включенной и проверял.
URL
09.12.2008 в 14:55

mojahead
Можешь ненавидеть этот мир, но другого нет (с)
файерволл есть? возможно это вирусная атака.
URL
09.12.2008 в 15:08

Enkryptor
я б глянул с помощью process monitor, какие именно файлы записываются (читаются) на диске
URL
09.12.2008 в 23:55

Enkryptor
шалит служба "Запуск серверных процессов DCOM"

по каким симптомам сделано такое предположение?
URL
10.12.2008 в 02:06

Unrecognized
No pain, no gain.
mojahead, файервола нет. Знаю, что зря.
Enkryptor, процесс бывал убит, при этом появлялось сообщение

Список файлов, к которым проиходят обращения, выложу немного позже.
URL
10.12.2008 в 07:54

Enkryptor
Шикарный "скриншот"..
URL
10.12.2008 в 08:48

Unrecognized
No pain, no gain.
Print Screen не сработал :)
URL
10.12.2008 в 08:52

Enkryptor
Хм. Ноутбук?
URL
11.12.2008 в 01:03

Unrecognized
No pain, no gain.
Десктоп.

Process Monitor после запуска:
http://img152.imageshack.us/img152/7499/procmon1su2.jpg
и в дальнейшем обращения к C:\Program Files\Microsoft Common\emails.dat, log.dat и к D:\Books\Unsorted\Библиотека\Esoter\:
http://img152.imageshack.us/img152/880/procmon2kv8.jpg
Сетевой активности не замечено.

В C:\Program Files\Microsoft Common\, кстати, обнаружился еще один подозрительный svchost.exe.
URL
11.12.2008 в 13:12

Enkryptor
так удаляй нах

ещё "брандмауэр windows" включи обязательно
URL
11.12.2008 в 21:43

Unrecognized
No pain, no gain.
Удалил, само собой )
Вместо брандмауэра - поставил Eset Smart Security.
URL
11.12.2008 в 21:57

Enkryptor
погоди-погоди

ты же только что писал:
файервола нет.
URL
12.12.2008 в 00:43

Unrecognized
No pain, no gain.
Скачал :)
URL
12.12.2008 в 12:35

Enkryptor
Зачем? Ты пиши хотя бы по ходу диагностики, какие изменения ты проводил и как они сказались. Что ещё делал?
URL
12.12.2008 в 19:01

Unrecognized
No pain, no gain.
Удалял всю папку Microsoft Common, не понравилась она мне. При перезагрузке сказалось в том, что отказался запускаться explorer. Пришлось вернуть.
Этот svchost сканирует, по-видимому, весь диск.
Файервол отловил обращение кого-то из svchost-ов к b088.com, который оказался в списке malwaredomainlist.com.
В HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe - параметр Debugger, значение - "C:\Program Files\Microsoft Common\svchost.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe - параметр i, значение - "C:\Program Files\Microsoft Common\svchost.exe"

NOD обновил базы, решил исправиться: опознал C:\Program Files\Microsoft Common\svchost.exe как Win32/Autorun.FakeAlert.AF worm.
URL
12.12.2008 в 20:06

techsupport
решаем проблемы с головой!
svchost.exe должен быть только один - C:\WINDOWS\system32\svchost.exe


Этот svchost сканирует, по-видимому, весь диск.

в принципе это его нормальное поведение, троян (или что там у вас) может к этому отношения не иметь
URL