Форум: "Прочее";
Текущий архив: 2009.09.20;
Скачать: [xml.tar.bz2];
ВнизЧто-то с svchost.exe Найти похожие ветки
← →
Polkin (2009-07-16 21:10) [0]Вечер добрый!
Посоветуйте что сделать!
Суть проблемы:
После включения компа через какоет время появляется сообщение "svchost.exe - ошибка приложения...тра-тата...память не может быть read".
Иногда вместо svchost.exe бывает некий mrmngr.exe или usb_mngr.exe Но чаще всего svchost.
Проверился NOD32 - вроди ничо плохово не нашёл.
Порылся по инету - много форумов - но там толком и не нашёл решения.
Точки восстановления винды нету, Брэндмауэр нельзя включит о_О - RadioButton"ы на форме включения/выключения оного почемуто задисаблены.
Кроме переустановки винды как нить можно вылечицо?
← →
Polkin (2009-07-16 21:12) [1]Инет после вылета этого приложения начинает странно лагать, локалка убита к чертям.
А если нажать кнопочку "ок" у этого окошка с сообщением, тогда комп зависает(((
← →
Игорь Шевченко © (2009-07-16 21:23) [2]в безопасном режиме посмотри, что у тебя в автозагрузке
← →
Polkin (2009-07-16 21:31) [3]Вот что в msconfig написано (выдрал самое подозрительное):
HDashCut (HDashCut.exe)
vsdrv (C:\Program Files\VIPHD\vsdrv.exe)
mrmngr (mrmngr.exe)
usb_mgr (usb_mgr.exe)
ctfmon (C:\Windows\System32\ctfmon.exe)
← →
Игорь Шевченко © (2009-07-16 21:44) [4]
> выдрал самое подозрительное
все показывай, не стыдись
← →
Polkin (2009-07-16 22:16) [5]Фуф - замучилсо писать. Вот:
HDAShCut (HDAShCut.exe)
Launchy (C:\Program Files\Launchy\Launchy.exe)
vsdrv (C:\Program Files\VIPHD\vsdrv.exe)
NeroCheck (C:\Windows\System32\NeroCheck.exe)
UnlockerAssistant (D:\Games\TRA\Unlocker\UnlockerAssistant.exe)
smax4pnp (C:\Program Files\Analog Devices\Core\smax4pnp.exe)
Smax4 (C:\Program Files\Analog Devices\SoundMax\Smax4.exe /tray)
MouseLight (\MouseLight.exe)
daemon (C:\Program Files\DAEMON Tools\daemon.exe -lang 1033)
GrooveMonitor (C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe)
MAgent (C:\Program Files\Mail.ru\Agent\MAgent.exe -LM)
PWRISOVW (C:\Program Files\PowerISO\PWRISOVM.EXE)
egui (C:\Program Files\ESET\ESET NOD32 AntiVirus\egui.exe /hide /waitservice)
mrmngr (mrmngr.exe)
usb_mgr (usb_mgr.exe)
ps (C:\Program Files\Punto Switcher\ps.exe)
ctfmon (C:\Windows\System32\ctfmon.exe)
Skype (C:\Program Files\Skype\Phone\Skype.exe /nosplash /minimized)
Wcescomm (D:\Programs\glofiish m700\cd\Wcescomm.exe)
Adobe Reader Speed Launch (C:\Program~1\Abobe\Acroba~1.0\Reader\Reader~1.exe)
DaemonTools (C:\Progra~1\Daemon~1\daemon.exe)
← →
Polkin (2009-07-16 22:25) [6]Вот пока писал в блокнот нормально было - включил инет, запустил огнелиса и через секунд 30 после этого
http://img248.imageshack.us/img248/430/123ykm.jpg
← →
Игорь Шевченко © (2009-07-16 22:28) [7]
> ctfmon (C:\Windows\System32\ctfmon.exe)
> smax4pnp (C:\Program Files\Analog Devices\Core\smax4pnp.
> exe)
> Smax4 (C:\Program Files\Analog Devices\SoundMax\Smax4.exe
> /tray)
> Skype (C:\Program Files\Skype\Phone\Skype.exe /nosplash
> /minimized)
> ps (C:\Program Files\Punto Switcher\ps.exe)
Я бы оставил только это, остальное бы удалил и добавлял поодиночке, предварительно поискав о каждом процессе информацию в google
Или в первую очередь убрал бы из запуска программы без путей.
еще совет - поищи hijackthis, запусти и выложи его протокол - может, у тебя сервис какой лишний запущен
← →
Polkin (2009-07-16 22:49) [8]Отключил все в автозагрузке....Такая же ботва((
Вот лог той странной программы
http://botaniq.hop.ru/hijackthis.log
← →
Andy BitOff © (2009-07-16 22:50) [9]Я эту проблемму так и не победил. =(
Пока работаю без служб "Сервер" и "Рабочая станция" их отключение спасает. Но это пока локальная сеть не понадобится...
С удовольствием бы узнал решение проблемы.
← →
Polkin (2009-07-16 22:51) [10]* http://botaniq.hop.ru/hijackthis.html
Для удобного просмотра - просмотр исходного кода )
← →
Polkin (2009-07-16 22:52) [11]
> Andy BitOff © (16.07.09 22:50) [9]
Эххх....а мне локалка нужна как воздух((
← →
Andy BitOff © (2009-07-16 22:53) [12]Винда чистая поставлена или из сборки?
← →
Polkin (2009-07-16 22:54) [13]Сборка чьята - у друга брал, а он толи с торрентса, толи с nnm.ru качал
← →
Игорь Шевченко © (2009-07-16 22:58) [14]1. F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe
гугль говорит, что это троян:
http://www.google.ru/search?hl=ru&newwindow=1&q=sdra64.exe&lr=&aq=f&oq=
2. O2 - BHO: TMAgent IE Adapter - {35A6E2B1-27A9-47D2-913C-559E1EF1D034} - (no file)
http://www.google.ru/search?hl=ru&newwindow=1&q=TMAgent+IE+Adapter&lr=&aq=f&oq=
Лечитесь
← →
Andy BitOff © (2009-07-16 22:58) [15]> Polkin (16.07.09 22:54) [13]
Сдается мне, что проблема именно в этом.
← →
Игорь Шевченко © (2009-07-16 22:59) [16]брать по евро за анализ протокола - разбогател бы :)
← →
Polkin (2009-07-16 23:12) [17]Эээээхххх......вси равно не помогает
- удалил "C:\WINDOWS\system32\userinit.exe"
- удалил TMAgent IE Adapter
- C:\WINDOWS\system32\sdra64.exe не нашол ((
И вот опять выскочил "svchost.exe - ошибка приложения"
Эхх...придеца ОСь пириустановливать наверн ((
Лааадн, после дачи приеду и подумаю чо мона поделать )
← →
NailMan © (2009-07-17 00:36) [18]было похожее недавно. Подвесился мне на комп троян не троян, но в любой броузер выводил сверху оно с сильками и письками и просил заплатить по смс чтоб убралось.
drweb не нашел ничего. запустил каспера-онлайна(только сканирует, не лечит). определил файл трояна SiteAccess.dll в \system32
Суть как он запускался - он прописывается плагином к Explorer.exe(полный путь ветки увы не вспомню - пробил тупо в реестре эту ДЛЛку и нашлось). тоесть грузится вместе с оболочкой винды и далее любой процесс запускаясь от эксплорера имел в прицепленных ДЛЛках этого гребанный троян. Удалить его нельзя - все запущенные процессы включая все svchost открыли этот файло. Но хитрость была в том что его мона было переименовать. После обновления баз Др. Веба он его определил и предложил переименовать, получилось, сразу же удалил поле в ветке плангинов к Explorer.exe где эта хрень запускалась и перегрузился - вуаля, тварь умерла. переименованного трояна убил уже физически без проблем F8 из тоталкоммандера.
К чему это я - а вот может точно также и запускается у тебя, пошерсти в реестре запуск этих какашек. Они могут и не через автозапуск запускаться!
---
P.L.U.R. and WBR, NailMan aka 2:5020/3337.13
← →
Игорь Шевченко © (2009-07-17 01:09) [19]NailMan © (17.07.09 00:36) [18]
BHO
← →
Slym © (2009-07-17 05:15) [20]В IE в настройках есть 1 кнопка... сброс так она все письки махом отрезает... в 8ИЕ есть безопасный режим без загрузки плагинов
а про вирус... похоже на KIDO... тут описалово и утилитка KidoKiller http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215
← →
brother © (2009-07-17 05:18) [21]> похоже на KIDO... тут описалово и утилитка KidoKiller http:
> //www.kaspersky.ru/support/wks6mp3/error?qid=208636215
бррр, эта гадость еще та, но однако это не он... он любит сетевое подключение, вкл выкл)
← →
Slym © (2009-07-17 05:45) [22]у меня кида службу сервера и/или DNS грохала и все жутко начинало тормозить... антивирусы его не видели... при этом втихаря кида качала прочую вирусню, но эту вирусню антивири выцепляли сразу при записи на диск...
← →
brother © (2009-07-17 05:56) [23]Пакость редкая(
← →
NailMan © (2009-07-17 10:10) [24][19] Игорь Шевченко ©
> BHO
нет, не оно это было. Хрень появлялась как в ИЕ8, так и в фаерфоксе. Причем даже когда я отключал ВСЕ плагины в обоих броузерах. Эта хренатень вообще от броузера не зависела, даже оперу поставил и там появлялась.
---
P.L.U.R. and WBR, NailMan aka 2:5020/3337.13
← →
Polkin (2009-07-17 10:17) [25]Всем пасибо, приеду во вторник с дачки, повожусь с реестром, помучаю IE, если не поможет - переустановлю винду - давно пора уже это сделать - она наверн уже как год стоит ))
ЭЭэээээээхххххх........на работе с компами работа, теперь еще и в отпуске придеца )))
← →
{RASkov} © (2009-07-17 10:37) [26]wwdc думаю поможет
← →
macrodens © (2009-07-17 15:49) [27]C:\WINDOWS\system32\sdra64.exe
Это точно вирус!!!
Посмотри еще в system32 могут появиться файлики servises.exe и servises.dll (не путать с services.exe).
У меня на днях похожая проблема была....
Скачай с Веба лайнчер и прочисть, потом не забуть в реестре почистить
основные ключи где пишутся подобные вири:
HKLM\software\microsoft\windows\currentversion\police\explorer\run
HKLM\software\microsoft\windows NT\currentversion\winlogon\shell
HKLM\software\microsoft\windows NT\currentversion\winlogon\userinit
в shell все кроме explorer.exe лишнее
в userinit все кроме %systemroot%\userinit.exe лишнее (если не стоят стили ака виста)
После чистки от вира может отвалиться инет, а при пингах локалки вместо вводимого адреса появится ºя♠
на этот случай глянь вот эту тему
http://delphimaster.net/view/15-1247742783/
← →
Dimka Maslov © (2009-07-17 16:17) [28]Лечится установкой лауреата гос.премии тов. Касперского.
svchost перестаёт вылетать, а Касперский говорит что перехватил
Intrusion.Win.NETAPI.buffer-overflow.exploit!
← →
Empleado © (2009-07-17 16:47) [29]
> Polkin (16.07.09 21:10)
Самое первое:
А EventViewer что-то говорит?
А MS support KB что говорит по-поводу этой ошибки?
ПС. Вот почему все время надо задавать этот дураттцкий вопрос?... :)
Самое второе:
Загрузиться с KAV RescueDisk (ftp://ftp.downloads1.kaspersky-labs.com/devbuilds/RescueDisk/) и провериться.
+ Самое простое: проверить соответствие размеров "сомнительных" файлов mrmngr.exe и т.д. с размерами, заявленными производителями.
Самое третье:
>Кроме переустановки винды как нить можно вылечицо?
Можно. Если это не вирус и "подпорчены" системные ресурсы, то с загрузочного диска виндоус можно восстановить систему (без переустановки), и затем надо снова установить последине патчи и апдэйты.
← →
AlexDan © (2009-07-17 18:42) [30]вируснячёк однозначно, они любят сами-собой через хвост в инет стучаться, хорошо бы взять самую новую антивирусную базу,
← →
KSergey © (2009-07-17 18:46) [31]Вы че, дговорились? :)
http://forum.ngs.ru/board/soft/flat/1875178699/part/all?table=0&page=0&view=collapsed&sb=5&o=
← →
Empleado © (2009-07-17 19:15) [32]
> вируснячёк однозначно
Очень даже не "однозначно". Обыкновенный сервис autoupdate от МС может привести к такой ошибке.
← →
Tornado (2009-07-17 20:10) [33]
> NailMan © (17.07.09 00:36) [18]
Нельзя удалить потомушта файл занят? UNLOCER в помощь!
← →
AlexDan © (2009-07-17 20:22) [34]> Empleado © (17.07.09 19:15) [32]
> Обыкновенный сервис autoupdate от МС может привести к такой
> ошибке.
тоже согласен, но как правило он бы подконнектился с первого соединения с сетью, а если у автора это не один раз уже, то скорее вируснячёк, причём туповатый)..
← →
Andy BitOff © (2009-07-21 19:21) [35]Реально помог Dimka Maslov © [28] по этой информации находится KB958644 который закрывает дыру
← →
mike-d © (2009-07-21 20:39) [36]> Polkin (16.07.09 23:12) [17]
> удалил "C:\WINDOWS\system32\userinit.exe"
Кажется мы его потеряли...
:)
← →
Anatoly Podgoretsky © (2009-07-21 21:11) [37]> mike-d (21.07.2009 20:39:36) [36]
Допинговался
Страницы: 1 вся ветка
Форум: "Прочее";
Текущий архив: 2009.09.20;
Скачать: [xml.tar.bz2];
Память: 0.57 MB
Время: 0.008 c