Вроде помогло »
мда... вместо того чтоб сразу пойти по ссылке "Решение" в шапке темы нужно было две страницы возни и в итоге прийти все равно к нему же...

Уважаемые господа! Доброго всем времени суток.
Прочел эту тему и множество ей подобных, ибо имею в своей сети (около 1500 компов) проблему со стопроцентной загрузкой процессора процессом svchost (если точнее - службой автоматических обновлений). На Windows XP подобная проблема худо-бедно решилась плясками с бубном и переустановкой апдейтов вроде КВ927891 и апгрейда WSUS Agent до 7 версии (причем последний оказался весьма строптивым и далеко не всегда обновлялся правильно). Однако, на Windows 2000 проблема осталась. Пришлось останавливать службу обновлений на всех компах сети из политики, однако сие не есть выход, ибо ставить апдейты руками или даже скриптами у юзеров не есть хорошо. Пробовалась также чистка папки SoftwareDistribution и подмена нужных dll в папке system32. Повторяю, на 2000-ном проблема осталась. Как быть?

lumoder, Если есть подозрение на вирусы
1. Cкачайте утилиту CureIT (ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe) и запустите полную проверку всех дисков в безопасном режиме. После этого следует просто перегрузиться в обычный режим.
2. Скачайте AVZ (http://z-oleg.com/avz4.zip) и HijackThis (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip) и распакуйте архивы avz4.zip и HiJackThis.zip в отдельные папки.
3 Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer.
4. Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер.
5. Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты".
6. Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". Заархивируйте полученный лог.
7. Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip

добрый день уважаемые мастера! очень надеюсь на вашу помощь. проблема следующая
в результате многочисленных нарушений безопасности система превратилась в помойку. до поры до времени это можно было терпеть, но теперь, после очередной загрузки у меня абсолютно ничего не открывается: ни винамп, ни опера, словари, но что самое ужасное, программы в которых я делал музыку... и всё из-за этой надписи

SVCHOST.EXE - ошибка приложения
Ошибка при инициализации приложения (0хс0000005). Для выхода нажмите кнопку "ОК"

каким-то чудом открыл интернет эксплорер, откуда и пишу вам. я полазил по теме, но почти везде нужно открывать проги, но у меня ничего с раширением .exe не открывается...

Прошу помощи...
Заранее спасибо!

Gree0, рекомендацию постом выше прочитали?

Доброго ... У меня вопрос по Generic Host Process .... Переустановил фаервол. Полез в инет. Аутпост предложил создать стандартное правило SVCHOST.EXE , для этого процесса. Всё нормально работает , но иногда 1-2 раза в сутки Generic Host Process просится в инет ... я его блокирую и всё нормально работае ....

Подскажите что это за запросы. Стоит ли под них создать правило или лучше блокировать. Скрин (http://img262.imageshack.us/img262/713/20080120153734fz4.gif) 11kb

иногда 1-2 раза в сутки Generic Host Process просится в инет ... я его блокирую и всё нормально работае ....
Подскажите что это за запросы. Стоит ли под них создать правило или лучше блокировать »
Все зависит от того, кем инициированы данные запросы. Это могут быть как попытки выйти в инет какого-либа вира\программы, так и системные запросы (напр., к ДНС-серверу твоего провайдера). А насчет блокировать - если обращения идут к одному и тому же набору IP-адресов - заблокируй и погляди). Только прежде на всяк случ узнай, как делается обратное действие - а то вдруг инет после перезагрузки закончится? ;)

1. Cкачайте утилиту CureIT и запустите полную проверку...»

Вот мои результаты. Проблема заключается в следующем: примерно неделю назад стал сбоить процесс svchost.exe - прихожу на работу утром, а на экране сообщение об этом. В event view появляется сообщение типа "по адресу xxxxx неизвестное приложение..."... И так раза 4. NOD32 ничего не обнаруживал. Короче, когда запустил Каспера, то оказалось, что у меня вирус Backdoor.Win32.Poison.al. Инфы о нем нету, то, что пишут о модификации h сюда не подходит... Единственная правда: респаунится процесс, находящийся по ветке реестра HKLM\SOFTWARE\Classes\http\shell\open\command
У меня это была опера, и она появлялась в процессах, даже когда я ее не запускал.
Каспер ничего так сделать и не смог. А вот trojan remover частично решил проблему: опера респауниться перестала, был убит скрытый файл, на который указывала в реестре странная запись C:\windows:svchost.exe

Но сейчас, примерно раз в неделю, svchost всё равно сбоит... В чем проблема - не знаю. Антивиры ничего релевантного не находят....

Все зависит от того, кем инициированы данные запросы. »

Вот и мне интересно что это за запросы. Вероятность того что это вирус, практически равна нулю .... Всегда держу комп в поряде, нод32 , эдаварэ обновляю... Кроме того окна недавно переустанавливались на чистый раздел. Сейчас фаервол стоит в режиме блокировки , то есть эти запросы блокируются без лишних вопросов.

Инет работает , но мне интересно что это за запросы ... думал мне ответят по скриншоту .... 192.168.1.0 (255.255.255.0 ) - это адрес моей подсети , локальная зона . Запрос идёт с 192.168.1.2 на 192.168.1.1 .... Возможно это как раз системные запросы к ДНС о которых вы упомянули и лучше их разрешить .

Вероятность того что это вирус, практически равна нулю .... » Ну да, особо с нод32. Кроме того окна недавно переустанавливались на чистый раздел. » Другой софт удалён не был?.
Это уже два минуса. 1- не может быть, второй- установка на чистый раздел.(покуда у тебя есть заражёный файл и пока ты им не воспользовался, так и будет эта зараза ждать своего часа). нод32 слабая системка.
Без рекламы, но вчера, установил человеку AVIRA, как она выцепила 4 трояна. Глюки исчезли, собсно из-за чего и был вызван по данному поводу.
В общем, думай сам как это - НЕТ ВИРУСОВ

Nafiganado, лог фалы в общем то чистые, временно отключите антивирусы выполните скрипт
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('msvsmon80');
QuarantineFile('msvsmon80.sys','');
QuarantineFile('C:\Program Files\iolo\Common\Lib\ioloDMVSvc.exe','');
QuarantineFile('C:\WINDOWS\Installer\7f946.msi','');
QuarantineFile('C:\WINDOWS\Installer\{A1200000-0004-0000-0000-074957833700}\ICON_SetupPalm.exe','');
QuarantineFile('C:\Program Files\Pixologic\ZBrush3\ZData\ZPlugs\WebZPlug.dll','');
QuarantineFile('C:\Program Files\X-Lite\X-Lite.exe','');
QuarantineFile('C:\Program Files\PIC\PIC.exe','');
QuarantineFile('C:\DOCUME~1\nav\LOCALS~1\Temp\catchme.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\PROCEXP111.SYS','');
QuarantineFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys','');
QuarantineFile('C:\Program Files\PIC\EMSEmotIcons.dll','');
DeleteFile('C:\DOCUME~1\nav\LOCALS~1\Temp\catchme.sys');
BC_ImportALL;
BC_QrSvc('msvsmon80');
BC_DeleteSvc('catchme');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Если в каких то программах уверены, можете убрать из карантина (напр .строчку QuarantineFile('C:\Program Files\X-Lite\X-Lite.exe','');)
после скрипта компьютер перезагрузится.
После перезагрузки выполнить ещё скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
если карантин получиться большой - посмотрите карантин с помощью AVZ и исключите из карантина большие (и повторяющиеся) файлы - интересуют файлы с расширением dta
Файл quarantine.zip выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ

У вас установлено много различного софта для работы с дисками, могут конфликтовать.
попробуйте удалить System Mechanic и Daemon tools и
также установлено (если не требуется - деинсталлировать)
Alcohol 120% (vaxscsi.sys), UltraVNC Mirror Driver (vncdrv.sys)
v2imount.sys - Image Mounting Device Driver - Symantec Virtual Volume Mounting Driver Development Edition
symsnap.sys - Symantec Volume Snap Shot Driver
NSDriver.sys - Lavasoft AB Driver for Ad-Watch network monitoring
ioloDMVSvc.exe - Iolo DMV Service from iolo technologies, LLC. belonging to iolo System Utilities

Пофиксить в HJT
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
сделайте новые логи

yurfed Нод_32 хороший антивирь но речь не об этом ... Меня сейчас не это интересует, вопрос по процессу Generic ... Я прикрепил скрин ...Написал что это за адресс и хотел бы получить чёткий ответ а не рассуждать на тему - а вдруг у тебя вирь.

Имеет ли место быть файл SVCHOST.EXE-2D5FBD18.pf или нет?
Был бэкдор очередной модификации, вроде всё почистил, не знаю что ещё делать.

Anga, добро пожаловать на форум oszone.net, если у вас есть подозрение на вирус, создайте пожалуйста тему в этом разделе (http://forum.oszone.net/forum-87.html) и выложите лог файлы по этим правилам (http://forum.oszone.net/thread-98169.html)

а не рассуждать на тему - а вдруг у тебя вирь »
скрин это хорошо, но чтобы не гадать, есть или нет вирусы, нужны логи, см. выше

У меня такоой вопрос по данному процессу, я так понимаю, что попытки доступа в интернет svchost.exe это нормально, если по адресу это наш DNS? Только неясно одно, у меня стоит разрешение на доступ в инет постоянно, стоит ли его оставлять, постоянно ломится. И еще один процесс идентифицируется как 0.0.0.0.далее DNS, такое появилось после SP3, и насколько я знаю что так может маскироваться прога какая-нибудь, но до этого было все в норме с адресом.
На вирусы проверено как AVP, AVZ и доктором Вебом, все чисто.

Medeya, я тоже столкнулся с постоянным ломом в инет этого процесса(svchost.exe из SP3). вот что я писал ранее в другой теме:

p.s. на комп с инетом поставил WinXP с SP3 и одну странность заметил: процесс svchost.exe постоянно лезит на 80 порт по разным ип принадлежащих llnw.net и качает от туда гигабайты траффика. автообновление отключено! Ни у кого такого незамечено?

На вирусы и трояны проверься.
точно не трояны и не вирусы.
вобщем: обычный виндузовуй svchost.exe сам лез в инет, по PID'у выличлил его в диспечере задач и запущен он был от имени SYSTEM. разбираться нестал что к чему, а просто отключил службы ненужные на мой взгляд, типа: Оповещатель; Фоновая интеллектуальная служба передачи (BITS); Служба протокола EAP;
после этого гигабайты трафика более не качаются.

есть подозрение, что это всё служба: 'Фоновая интеллектуальная служба передачи (BITS)'

segal, знать бы еще что нужно для vpn, постоянные проблемы с соединением, я б много чего отключила, а так самые на мой взгляд безопасные. По рекомендациям этого сайта тоже. Да и обычно выключала всегда данные службы.

тема старая,но никто тольком не говорит что делать.все описывают,а толку нету.только поставил хр сп3,все нормально,ставил программы,после очередной перезагрузки системы,товарищ svchost висит на 100%,выключаешь процесс этот,отрубается инет. касперский не находит ничего,в очередной перезагруза в систему не пускает,пишет ошибка чоста,адрес ошибки такой то.висит только картинка раб. стола.можно конечно заново все поставить,но много программ.что же делать?

vladimirn,Какая версия касперского ? обнови базы

7.0.1.325 всегда свежие.обидно,сколько лет занимаюсь компьютерами,первый раз такое,еще и на свежем