Что-то с svchost.exe

← →
Polkin (2009-07-16 21:10) [0]

Вечер добрый!

Посоветуйте что сделать!

Суть проблемы:

После включения компа через какоет время появляется сообщение "svchost.exe - ошибка приложения...тра-тата...память не может быть read".

Иногда вместо svchost.exe бывает некий mrmngr.exe или usb_mngr.exe Но чаще всего svchost.

Проверился NOD32 - вроди ничо плохово не нашёл.

Порылся по инету - много форумов - но там толком и не нашёл решения.

Точки восстановления винды нету, Брэндмауэр нельзя включит о_О - RadioButton"ы на форме включения/выключения оного почемуто задисаблены.

Кроме переустановки винды как нить можно вылечицо?

← →
Polkin (2009-07-16 21:12) [1]

Инет после вылета этого приложения начинает странно лагать, локалка убита к чертям.

А если нажать кнопочку "ок" у этого окошка с сообщением, тогда комп зависает(((

← →
Игорь Шевченко © (2009-07-16 21:23) [2]

в безопасном режиме посмотри, что у тебя в автозагрузке

← →
Polkin (2009-07-16 21:31) [3]

Вот что в msconfig написано (выдрал самое подозрительное):

HDashCut (HDashCut.exe)
vsdrv (C:\Program Files\VIPHD\vsdrv.exe)
mrmngr (mrmngr.exe)
usb_mgr (usb_mgr.exe)
ctfmon (C:\Windows\System32\ctfmon.exe)

← →
Игорь Шевченко © (2009-07-16 21:44) [4]

> выдрал самое подозрительное

все показывай, не стыдись

← →
Polkin (2009-07-16 22:16) [5]

Фуф - замучилсо писать. Вот:

HDAShCut (HDAShCut.exe)
Launchy (C:\Program Files\Launchy\Launchy.exe)
vsdrv (C:\Program Files\VIPHD\vsdrv.exe)
NeroCheck (C:\Windows\System32\NeroCheck.exe)
UnlockerAssistant (D:\Games\TRA\Unlocker\UnlockerAssistant.exe)
smax4pnp (C:\Program Files\Analog Devices\Core\smax4pnp.exe)
Smax4 (C:\Program Files\Analog Devices\SoundMax\Smax4.exe /tray)
MouseLight (\MouseLight.exe)
daemon (C:\Program Files\DAEMON Tools\daemon.exe -lang 1033)
GrooveMonitor (C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe)
MAgent (C:\Program Files\Mail.ru\Agent\MAgent.exe -LM)
PWRISOVW (C:\Program Files\PowerISO\PWRISOVM.EXE)
egui (C:\Program Files\ESET\ESET NOD32 AntiVirus\egui.exe /hide /waitservice)
mrmngr (mrmngr.exe)
usb_mgr (usb_mgr.exe)
ps (C:\Program Files\Punto Switcher\ps.exe)
ctfmon (C:\Windows\System32\ctfmon.exe)
Skype (C:\Program Files\Skype\Phone\Skype.exe /nosplash /minimized)
Wcescomm (D:\Programs\glofiish m700\cd\Wcescomm.exe)
Adobe Reader Speed Launch (C:\Program~1\Abobe\Acroba~1.0\Reader\Reader~1.exe)
DaemonTools (C:\Progra~1\Daemon~1\daemon.exe)

← →
Polkin (2009-07-16 22:25) [6]

Вот пока писал в блокнот нормально было - включил инет, запустил огнелиса и через секунд 30 после этого

http://img248.imageshack.us/img248/430/123ykm.jpg

← →
Игорь Шевченко © (2009-07-16 22:28) [7]

> ctfmon (C:\Windows\System32\ctfmon.exe)

> smax4pnp (C:\Program Files\Analog Devices\Core\smax4pnp.
> exe)
> Smax4 (C:\Program Files\Analog Devices\SoundMax\Smax4.exe
> /tray)

> Skype (C:\Program Files\Skype\Phone\Skype.exe /nosplash
> /minimized)

> ps (C:\Program Files\Punto Switcher\ps.exe)

Я бы оставил только это, остальное бы удалил и добавлял поодиночке, предварительно поискав о каждом процессе информацию в google
Или в первую очередь убрал бы из запуска программы без путей.

еще совет - поищи hijackthis, запусти и выложи его протокол - может, у тебя сервис какой лишний запущен

← →
Polkin (2009-07-16 22:49) [8]

Отключил все в автозагрузке....Такая же ботва((

Вот лог той странной программы

http://botaniq.hop.ru/hijackthis.log

← →
Andy BitOff © (2009-07-16 22:50) [9]

Я эту проблемму так и не победил. =(
Пока работаю без служб "Сервер" и "Рабочая станция" их отключение спасает. Но это пока локальная сеть не понадобится...
С удовольствием бы узнал решение проблемы.

← →
Polkin (2009-07-16 22:51) [10]

* http://botaniq.hop.ru/hijackthis.html

Для удобного просмотра - просмотр исходного кода )

← →
Polkin (2009-07-16 22:52) [11]

> Andy BitOff © (16.07.09 22:50) [9]

Эххх....а мне локалка нужна как воздух((

← →
Andy BitOff © (2009-07-16 22:53) [12]

Винда чистая поставлена или из сборки?

← →
Polkin (2009-07-16 22:54) [13]

Сборка чьята - у друга брал, а он толи с торрентса, толи с nnm.ru качал

← →
Игорь Шевченко © (2009-07-16 22:58) [14]

1. F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe

гугль говорит, что это троян:

http://www.google.ru/search?hl=ru&newwindow=1&q=sdra64.exe&lr=&aq=f&oq=

2. O2 - BHO: TMAgent IE Adapter - {35A6E2B1-27A9-47D2-913C-559E1EF1D034} - (no file)

http://www.google.ru/search?hl=ru&newwindow=1&q=TMAgent+IE+Adapter&lr=&aq=f&oq=

Лечитесь

← →
Andy BitOff © (2009-07-16 22:58) [15]

> Polkin (16.07.09 22:54) [13]

Сдается мне, что проблема именно в этом.

← →
Игорь Шевченко © (2009-07-16 22:59) [16]

брать по евро за анализ протокола - разбогател бы :)

← →
Polkin (2009-07-16 23:12) [17]

Эээээхххх......вси равно не помогает

- удалил "C:\WINDOWS\system32\userinit.exe"
- удалил TMAgent IE Adapter
- C:\WINDOWS\system32\sdra64.exe не нашол ((

И вот опять выскочил "svchost.exe - ошибка приложения"

Эхх...придеца ОСь пириустановливать наверн ((

Лааадн, после дачи приеду и подумаю чо мона поделать )

← →
NailMan © (2009-07-17 00:36) [18]

было похожее недавно. Подвесился мне на комп троян не троян, но в любой броузер выводил сверху оно с сильками и письками и просил заплатить по смс чтоб убралось.

drweb не нашел ничего. запустил каспера-онлайна(только сканирует, не лечит). определил файл трояна SiteAccess.dll в \system32

Суть как он запускался - он прописывается плагином к Explorer.exe(полный путь ветки увы не вспомню - пробил тупо в реестре эту ДЛЛку и нашлось). тоесть грузится вместе с оболочкой винды и далее любой процесс запускаясь от эксплорера имел в прицепленных ДЛЛках этого гребанный троян. Удалить его нельзя - все запущенные процессы включая все svchost открыли этот файло. Но хитрость была в том что его мона было переименовать. После обновления баз Др. Веба он его определил и предложил переименовать, получилось, сразу же удалил поле в ветке плангинов к Explorer.exe где эта хрень запускалась и перегрузился - вуаля, тварь умерла. переименованного трояна убил уже физически без проблем F8 из тоталкоммандера.

К чему это я - а вот может точно также и запускается у тебя, пошерсти в реестре запуск этих какашек. Они могут и не через автозапуск запускаться!

---
P.L.U.R. and WBR, NailMan aka 2:5020/3337.13

← →
Игорь Шевченко © (2009-07-17 01:09) [19]

NailMan © (17.07.09 00:36) [18]

BHO

← →
Slym © (2009-07-17 05:15) [20]

В IE в настройках есть 1 кнопка... сброс так она все письки махом отрезает... в 8ИЕ есть безопасный режим без загрузки плагинов

а про вирус... похоже на KIDO... тут описалово и утилитка KidoKiller http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215

← →
brother © (2009-07-17 05:18) [21]

> похоже на KIDO... тут описалово и утилитка KidoKiller http:
> //www.kaspersky.ru/support/wks6mp3/error?qid=208636215

бррр, эта гадость еще та, но однако это не он... он любит сетевое подключение, вкл выкл)

← →
Slym © (2009-07-17 05:45) [22]

у меня кида службу сервера и/или DNS грохала и все жутко начинало тормозить... антивирусы его не видели... при этом втихаря кида качала прочую вирусню, но эту вирусню антивири выцепляли сразу при записи на диск...

← →
brother © (2009-07-17 05:56) [23]

Пакость редкая(

← →
NailMan © (2009-07-17 10:10) [24]

[19] Игорь Шевченко ©

> BHO

нет, не оно это было. Хрень появлялась как в ИЕ8, так и в фаерфоксе. Причем даже когда я отключал ВСЕ плагины в обоих броузерах. Эта хренатень вообще от броузера не зависела, даже оперу поставил и там появлялась.

---
P.L.U.R. and WBR, NailMan aka 2:5020/3337.13

← →
Polkin (2009-07-17 10:17) [25]

Всем пасибо, приеду во вторник с дачки, повожусь с реестром, помучаю IE, если не поможет - переустановлю винду - давно пора уже это сделать - она наверн уже как год стоит ))

ЭЭэээээээхххххх........на работе с компами работа, теперь еще и в отпуске придеца )))

← →
{RASkov} © (2009-07-17 10:37) [26]

wwdc думаю поможет

C:\WINDOWS\system32\sdra64.exe

Это точно вирус!!!
Посмотри еще в system32 могут появиться файлики servises.exe и servises.dll (не путать с services.exe).
У меня на днях похожая проблема была....
Скачай с Веба лайнчер и прочисть, потом не забуть в реестре почистить
основные ключи где пишутся подобные вири:
HKLM\software\microsoft\windows\currentversion\police\explorer\run
HKLM\software\microsoft\windows NT\currentversion\winlogon\shell
HKLM\software\microsoft\windows NT\currentversion\winlogon\userinit

в shell все кроме explorer.exe лишнее
в userinit все кроме %systemroot%\userinit.exe лишнее (если не стоят стили ака виста)

После чистки от вира может отвалиться инет, а при пингах локалки вместо вводимого адреса появится ºя♠
на этот случай глянь вот эту тему
http://delphimaster.net/view/15-1247742783/

Лечится установкой лауреата гос.премии тов. Касперского.
svchost перестаёт вылетать, а Касперский говорит что перехватил
Intrusion.Win.NETAPI.buffer-overflow.exploit!

> Polkin (16.07.09 21:10)

Самое первое:
А EventViewer что-то говорит?
А MS support KB что говорит по-поводу этой ошибки?

ПС. Вот почему все время надо задавать этот дураттцкий вопрос?... :)

Самое второе:
Загрузиться с KAV RescueDisk (ftp://ftp.downloads1.kaspersky-labs.com/devbuilds/RescueDisk/) и провериться.
+ Самое простое: проверить соответствие размеров "сомнительных" файлов mrmngr.exe и т.д. с размерами, заявленными производителями.

Самое третье:
>Кроме переустановки винды как нить можно вылечицо?
Можно. Если это не вирус и "подпорчены" системные ресурсы, то с загрузочного диска виндоус можно восстановить систему (без переустановки), и затем надо снова установить последине патчи и апдэйты.

вируснячёк однозначно, они любят сами-собой через хвост в инет стучаться, хорошо бы взять самую новую антивирусную базу,

Вы че, дговорились? :)

http://forum.ngs.ru/board/soft/flat/1875178699/part/all?table=0&page=0&view=collapsed&sb=5&o=

> вируснячёк однозначно

Очень даже не "однозначно". Обыкновенный сервис autoupdate от МС может привести к такой ошибке.

← →
Tornado (2009-07-17 20:10) [33]

> Empleado © (17.07.09 19:15) [32]
> Обыкновенный сервис autoupdate от МС может привести к такой
> ошибке.
тоже согласен, но как правило он бы подконнектился с первого соединения с сетью, а если у автора это не один раз уже, то скорее вируснячёк, причём туповатый)..

> Polkin (16.07.09 23:12) [17]
> удалил "C:\WINDOWS\system32\userinit.exe"

Кажется мы его потеряли...
:)

> mike-d (21.07.2009 20:39:36) [36]

Допинговался

Что-то с svchost.exe Найти похожие ветки