» svchost.exe вылетает в ошибку (Win2000 SP3)

Привет, знатокам!

У меня такая трабла - только что поставил Вин2000 с СР3, немоного ее твикнул, как сказано в факе на 3Д.ру (уже раз третий ставлю, до этого все было отлично) и вдруг такая фигня - стал постоянно вылетать svchost.exe с ошибкой и после этого експлорер некорректно работает (перестает работать copy/paste и пр.)!

Реально починить руками или придется заново ставить винду?

Заранее спасибо!

MC
Да, у тебя заражение вирусом (червем LoveSun или его подобием) Который использует дырку в RPC. Советую прогулятся на MicrosoftUpdate, скачать патчик Тут есть линки на патч, для разных ОСей Вот тут инфа по червяку. И на последок, вот тут топик на эту тему http://forum.ru-board.com/topic.cgi?forum=55&topic=2630&start=0#lt
Фуф, вроде ничего не забыл.

MC
отличная подборка ссылок на материалы по уязвимостям в rpc [тут]. судя по симптомам
Цитата:

после этого експлорер некорректно работает (перестает работать copy/paste и пр.)!

- тебе действительно надо провериться на этот тип вирусов (проще говоря, свежим антивирусом) и поставить заплатки от мс (сходи на windows update).

а вообще, svhost - это может быть что угодно, начиная от кейлоггера и кончая сетевым драйвером. так что если наши советы не помогут - будем разбираться. придётся тебе поднапрячься и описать, как ты
Цитата:

немоного ее твикнул

удачи!

да... как это ни странно, а я заполучил эту гадость!

и ведь всего-то один день побыл в Инете БЕЗ различных антивирусных прог и файр-волов!

мда... от вирусов вроде избавился, файл вылечить-то вылечил, а все-равно вылетает с обшибкой... чо делать?

MC

Цитата:

да... как это ни странно, а я заполучил эту гадость!

и ведь всего-то один день побыл в Инете БЕЗ различных антивирусных прог и файр-волов!

Одно неосторожное движение и ты уже отец.

А в Event Log'е что-нибудь по этому поводу есть или нам гадать, что у тебя за ошибка и какой сервис падает?

значит так:

Тип события: Ошибка
Источник события: Service Control Manager
Категория события: Отсутствует
Код события: 7031
Дата: 05.10.2003
Время: 18:49:14
Пользователь: Нет данных
Компьютер: MC
Описание:
Служба Удаленный вызов процедур (RPC) была неожиданно завершена. Это произошло 1 раз(а). Следующее корректирующее действие будет предпринято через 0 мсек: Нет действия.

Это то, что нужно?

MC

Цитата:

Это то, что нужно?

Вполне.

Описание проблемы тут.

Ходят слухи, что если не стоит заплатка от этого вируса, но стоит антивирусник с новыми базами, то при попытке вируса запуситься, он блокируется антивирусником и что-то там из за этого svchost.exe вылетает.
А заплатка стоит ?

Цитата:

Ходят слухи, что если не стоит заплатка от этого вируса, но стоит антивирусник с новыми базами, то при попытке вируса запуситься,

Должен, а если это не вирус, а ппросто кто-то вручную на комп залезет через неё, то антивирус и не пикнет.

хм.... у меня рука не дрогнула и я переставил Винду... НО... даже теперь опять все нафик вылеатет... проверял все - вроде везде уже все почищено и вирусов нет... а svchost все-равно падает!

Добавлено
ooptimum а что мне это описание дает? блин... чо делать-то (пока пошел ставить все имеющиеся на данный момент заплатки)?

Цитата:

вроде везде уже все почищено и вирусов нет... а svchost все-равно падает!

А ты после того как переставил всё, перед тем как вылазить в инет, поставил все патчи которые ты скачал?

хм... поставил.... один раз вывалилась, ща вроде все ок... будем посмотреть... пока что всем спасибо!

Цитата:

хм... поставил.... один раз вывалилась, ща вроде все ок... будем посмотреть... пока что всем спасибо!

Ты их ставил, до того как в инет вылез или после. Ведь после переустановки винды, ты опять стал уязвим для червяка. И нужно было перед выходом в инет всё пропатчить. А если и вылезать в инет "дырявым", то с использованием фаервола хотябы.

спасибо всем, вроде все прошло, однако появилась следующая проблема: http://forum.ru-board.com/topic.cgi?forum=62&bm=1&topic=0414#1

У МЕНЯ ТАКАЯ ЖЕ ОШИБКА ВЫЛАЗИТ ((((((( ... ТРОЯНОВ И ВИРУСОВ ВРОДЕ НЕТ ЧТО ДЕЛАТЬ?

Цитата:

svchost.exe вылетает в ошибку
....
после этого експлорер некорректно работает (перестает работать copy/paste и пр.)!

и у меня такие же симптомы...
ATGuard показывает что некий msblast.exe трется в памяти и ломится в сеть.
Пришлось его кильнуть и удалить. Пока вроде тихо....
Кстати, еще симптом - когда этот зверь вылетает с ошибкой, то отсоединится от диал-апа не ззя. (Так и сижу вот в интернете....)

Тоже присоединяюсь к вопросу - что делать?
А то уж перестанавливать винду - целый день будет потрачен....

Ausw
Мы в самом верху с dg написали что делать msblast.exe - это червяк такой. Причём таких червяков как он сейчас в инете целая коалиция. Так что ставь фаервол какойнить и соверши паход на мелкософт апдэйт

сейчас новая версия этого вируса ходит. тело вируса выявить не удалось(мне по крайней мере). Вылечить удалось следующим способом: отрубил от сетки, откатил на месяц назад систему (ХР, 2003 Server), поставил патчики самые последние от мелкомягких и проблема исчезла.
Информацию по этой проблеме удалось найти только на симантеке:
http://securityresponse.symantec.com/avcenter/security/Content/8826.html

у меня также проблема с svchost , только отличающаяся от описанных выше, от бластера патч поставил еще летом, сейчакс же симптомы следующие - данный процесс через некоторое время непрерывной работы ПК (в среднем около суток и меньше) загребает под себя все процессорное время и тормозит всю работу соответственно до перезагрузки.
на некоторых машинах не помогает и перезагрузка . пока че делать не придумал...
подскажите - никто с таким не сталкивался?
netvigator
может быть это как раз то что у меня?

Короче и у меня рука не дрогнула переставить windows на чистую.
ну думаю, никакие теперь svchost.exe с ошибками не страшны.
не успел обрадовацца, как подрубившись к интернету увидел ошибку этого svchost.exe

че делать?

ставить залепу SP 4 не хочу, знающие сказали что багов больше чем фиксов,
и скачивал я его, и устанавливал, а работало у меня оно упаси боже как, страницы сыпятся по дороге, не доходя до загрузки.

файвол - файрволлом, я юзаю ATGuard, ладно, пусть будет файрволл, но откуда он (ошибка? вирус?) взялся, ведь я ж на чистую установил windows?

Ausw Чтобы проверить есть вирус или нет, сделай "три пальца" и зайди в ПРОЦЕССЫ. Если там есть msblast.exe, то ты заражен.

Цитата:

но откуда он (ошибка? вирус?) взялся, ведь я ж на чистую установил windows?

При заходе в Инет, ты его ловишь. Закрой 4444 порт фаерволлом (про заплатки и как лечить говорили выше).

Ausw

Цитата:

ставить залепу SP 4 не хочу, знающие сказали что багов больше чем фиксов,

Он и не лечит от этого бага, т.к. sp4 вышел раньше, чем был обнаруженн этот баг. Нужно качать фиксы отдельно. А по поводу багов в sp4 - не заню - у меня sp4 стоит - и всё ок!

Цитата:

взялся, ведь я ж на чистую установил windows?

Как раз отсюда и взялся, ведь ты его установил уже с этим багом.

Andy

Цитата:

При заходе в Инет, ты его ловишь. Закрой 4444 порт фаерволлом (про заплатки и как лечить говорили выше).

Это не поможет, что мешает злоумышленнику открыть любой другой порт на машине?
Если и закрывать что фаерволом, то 135 и 139.


Цитата:

Чтобы проверить есть вирус или нет, сделай "три пальца" и зайди в ПРОЦЕССЫ. Если там есть msblast.exe, то ты заражен

Теоретически, может быть что угодно вместо msblast.exe

Цитата:

сделай "три пальца" и зайди в ПРОЦЕССЫ. Если там есть msblast.exe, то ты заражен.

msblast.exe там нет, зато есть svchost.exe ажмо два раза.




Цитата:

При заходе в Инет, ты его ловишь.

ну у меня как бы диал-ап...

Ausw

Цитата:

msblast.exe там нет, зато есть svchost.exe ажмо два раза

да дело не в количестве - у меня сейчас их 4
С помощью svchost запускаются самые разные задачи (как например Удаленный вызов процедур (RPC) или Фоновая интеллектуальная служба передачи (BITS))
посмотри PID номер этого svchost и запусти в коммандном окне tlist <PID> - он покажет что за файлы он использует..

mhs

Цитата:

да дело не в количестве - у меня сейчас их 4

Как раз и в количестве! Их и должно быть 4, а у кого меньше или больше - комп работает неправильно.

retro

Цитата:

Как раз и в количестве! Их и должно быть 4, а у кого меньше или больше - комп работает неправильно.

Почему сразу не правилно? Я например поотрубал неиспользуемые мною службы, и у меня их тоже 2.

DethSpirit

Цитата:

Если и закрывать что фаерволом, то 135 и 139.

Ну это во-вторую очередь

Цитата:

Теоретически, может быть что угодно вместо msblast.exe

Согласен, но в данном случае признаки LovSana.
Цитата:

Червь поражает компьютеры, работающие под управлением операционных систем Windows 2000/XP. Червь существует в виде файла msblast.exe длиной 6176 байт, упакованного утилитой сжатия UPX. Проявление червя характеризуется резким увеличением трафика по порту 135 (DCOM RPC), а также самопроизвольным перезапуском компьютеров, находящихся в сети и работающих под Windows XP (в компьютерах под Windows 2000 возможно появление сообщения об ошибке системной программы svchost.exe).
Поразив компьютер, червь производит сканирование произвольных IP-адресов по порту 135 (сначала в локальной подсети, а затем за ее пределами) в поисках новых потенциальных жертв, то есть систем с уязвимостью DCOM RPC. Найдя такой компьютер, червь посылает на его порт 135 специально сконструированный запрос, который имеет целью предоставить "атакующему" компьютеру полный доступ к "атакуемому", а в случае удачи - открыть порт 4444 для прослушивания и ожидания последующих команд. Одновременно червь слушает порт 69 UDP на первоначально зараженном компьютере и, когда от новой жертвы к нему поступает TFTP-запрос, посылает в ответ команду загрузить свой собственный код (файл msblast.exe), который помещается в системный каталог Windows и запускается, при этом прописывая ссылку на самого себя в системный реестр Windows c целью автоматического запуска червя при старте последующих сессий Windows. С этого момента новая жертва начинает действовать, как самостоятельный источник заражения.
Для предотвращения заражения необходимо, прежде всего, закрыть порт 4444 с помощью межсетевого экрана (firewall), а также порты 135 и 69, если они не используются приложениями системы.

Andy

Цитата:

Согласен, но в данном случае признаки LovSana.

Ну если честно признаков ЛовСана я не увидел, так как про 4444 порт, он вроде ничего не говорил, а то что svchost вылетает, так это не только из-за ЛовСана может быть. Вообщем я бы советовал всё таки в первую очередь заплатки поставить.

Цитата:

Ну если честно признаков ЛовСана я не увидел

а чьи это тогда признаки? раньше такого ни в жисть не было. Да и файрвол то я уже поставил и залочил все че надо и все че не надо...

Почему не хочу залепу - потому что после залепы началось вот такое. И дело не в провайдере, ведь переустановил win - все отлично стало работать.