Přidat otázku mezi oblíbenéZasílat nové odpovědi e-mailem svchost.exe začne vytěžovat procesor téměž na 100%

Ahoj. Najednou z ničeho nic sem se nemoh připojit na net. Pak začali vyskakovat i různý chyby. Teď po naběhnutí pc vyskakujou od různých aplikací (i od svchost.exe) chyby "Instrukce na adrese -- odkazovala na adresu -- . Nelze provést operaci: read(nebo někdy write)" a že se ta aplikace ukončí. Po odklikání chvilku vše běží normálně. Po čase ale svchost.exe od NETWORK SERVICE sežere skoro 100% procesoru a nic se nedá dělat. Nebo někdy taky ještě vyskočí "V aplikaci Generic Hots process for Win 32 services došlo k problému a je nutno jej zavřít". Po kliknutí na Neodesílat se objevý, že probíhá vypnutí...bla bla které vyvolal NT AUTHORITY\SYSTEM, a že musí být pc "restartován, protože služba vzdálené volání procedur byla nečekaně ukončena" a často se to ani samo nerestartuje tak musim tvrdym restartem. Mám Windows XP SP2 a už sem ho zkoušel přeinstalovat (inovovat nebo jak to tam maj) a nic.
Pls help :.(.

Předmět Autor Datum
Chudák svchost za to nemůže, nějaký spyware zneužívá jeho služby a snaží se někam po světě něco roze…
Rce 04.03.2007 00:53
Rce
Typický projev zavirovaného počítače - doporučuji svěřit odborníkům na vyčištění.
Pablo 04.03.2007 10:15
Pablo
protože byl zdrojový kód červů blaster a sasser publikován na netu, vznikly jejich další varianty, p…
lední brtník 04.03.2007 10:39
lední brtník
Kompletně aktualizované Windows XP s výchozími bezpečnostními politikami pro SP-2 jsou v současnosti…
Vladimir 04.03.2007 16:57
Vladimir
sorry, krátký duševní zkrat. ve skutečnosti šlo v několika případech o záplatované instalace sp1, al…
lední brtník 04.03.2007 17:35
lední brtník
Díky... No jako fw používám Kerio. Projel sem to Ad-Awarem a našlo to jen dvě slabí ohrožení ale už…
Joony 04.03.2007 14:54
Joony
firewall: mohl jsi dostat vira i jinou cestou - přes nakažený soubor. ad-aware je antispywarový nást…
lední brtník 04.03.2007 16:07
lední brtník
Nesmysl Ad-Aware proto, že Rce psal, že to může způsobovat spyware ;-). Slepej nejsem ale ne zrovna…
Joony 08.03.2007 15:59
Joony
uvítal bych, kdyby výrazy jako nesmysl nepoužíval člověk, který se pokouší se svým zavirovaným pc be…
lední brtník 08.03.2007 20:58
lední brtník
ja to jeste doplnim pokud nebude moct vytahnout hard disk (zaruka) a že musí být pc "restartován, p…
kmochna 09.03.2007 02:02
kmochna
brum, teď mi to došlo: Mám Windows XP SP2 a už sem ho zkoušel přeinstalovat (inovovat nebo jak to t…
lední brtník 09.03.2007 09:06
lední brtník
Měl sem záplatovanej xp sp2 a mám ho pořád... jen kvůli tý inovaci asi nějaký záplaty odpadly. Až po…
Joony 11.03.2007 11:00
Joony
A nenakazí to ještě ten druhej comp...? :-) Zkusim... a nevadí že na tom disku sou nastavený přístup…
Joony 11.03.2007 11:14
Joony
ach jo, musel jsem si jít dát :beer: ne, nemůže nakazit: psal jsem "přidat tvůj zavirovaný disk jak… poslední
lední brtník 11.03.2007 14:38
lední brtník

protože byl zdrojový kód červů blaster a sasser publikován na netu, vznikly jejich další varianty, proti některým není vždycky ani sp2 účinný (respektive byl by, pokud bys měl zapnutý aspoň windowsácký firewall). ale nevylučuju možnost zavirovat pc i jinou cestou.
měl by ti pomoct i aktualizovaný antivir - nejméně v tom že by sdělil jméno viru, prakticky se při nákaze síťovým červem chová tak, ho x-krát za vteřinu smaže, a pc je opět x-krát za vteřinu napadeno - výsledkem je že pc připojené na síť se nedá k ničemu jinému použít.
zkus si stáhnout třeba na viry.cz utilitku aswclnr.exe (jinak je od avastu)

Kompletně aktualizované Windows XP s výchozími bezpečnostními politikami pro SP-2 jsou v současnosti nenapadnutelné žádným rozšířeným a známým červem.

Jinak také platí, že každý kdo si nemyslí že bude svchost.exe a SYSTEM zakazovat nebo povolovat jako aplikace na firewallu aniž by věděl, se kterým svchostem to právě dělá a cože to vlastně právě vůbec dělá, a má normální firewall s kterým blokuje vyhrazený serverový rozsah portů má také červy vyřešené.

sorry, krátký duševní zkrat. ve skutečnosti šlo v několika případech o záplatované instalace sp1, ale bez firewallu který by zakázal přístupy přes porty 135-139, 445.
ale připouštím že červ je možné dostat i hotový, normální "souborovou" cestou, ne jako následek síťového útoku (tazatel též píše cosi o keriu).

Díky...
No jako fw používám Kerio. Projel sem to Ad-Awarem a našlo to jen dvě slabí ohrožení ale už je 12dní neaktualizovaný. A těžko ho aktualizuju, když se mi nejde připojit na net :-(.
Ještě to projedu Nodem 32 ale tej má poslední aktualizaci 22.2. - taky od tý doby mi to začalo nějak blbnout a teď už to je skoro konec.

firewall: mohl jsi dostat vira i jinou cestou - přes nakažený soubor.
ad-aware je antispywarový nástroj, neumí léčit viry, tak nechápu co zkoušíš za nesmysly.
větu o aswclnr.exe v předchozím příspěvku vidíš, nebo tu exhibuju zbytečně?

dodal bych pro někoho samozřejmost: béhem léčení je pc odpojeno od sítě

Nesmysl Ad-Aware proto, že Rce psal, že to může způsobovat spyware ;-). Slepej nejsem ale ne zrovna jednoduše se stahuje něco do počítače, kterej se nepřipojí na net a nic to nenašlo.
Nevim jestli ten dodatek je myšlenej směrem na mě ale na net se nepřipojí ať léčim, neléčim a dokonce ani tehdy, když se stavim na hlavu :-).

uvítal bych, kdyby výrazy jako nesmysl nepoužíval člověk, který se pokouší se svým zavirovaným pc bez firewallu znovu připojovat na net.

se objevý, že probíhá vypnutí...bla bla které vyvolal NT AUTHORITY\SYSTEM, a že musí být pc "restartován, protože služba vzdálené volání procedur byla nečekaně ukončena"

to není spyware...

a pokud mám pc nakažené a polonefunkční, proč bych se s ním měl připojovat na net? fak neznáš nikoho kdo má fungující pc?

- vypnutí systému se přerušuje v příkazovém řádku: shutdown -a
- vem svůj zavirovaný disk, přidej ho jako druhý do pc k někomu, kdo by mohl mít aktualizovaný antivir. odviruj. (nezapomeň že v této chvíli není přístup k nastavení ve tvých registrech).
- vrať disk do pc, a vytáhni kabel od netu
- zapni si nějaký firewall (windowsový nebo jiného výrobce). pokud v něm máš povoleno sdílení souborů do internetu, jako bys žádný firewall neměl
- sežeň si instalačku antiviru, i zkušební verzi. zkus zda něco najde v běžícím systému.
- firewal nech zapnutý už navždy. možná jsi psal něco o keriu, příspěvek je dřívějšího data a nevidím starší odpovědi. bohužel nikdo nevidí do tvých nastavených pravidel
- znovu zkontroluj že máš nainstalovaný fak sp2
- nauč se používat správce úloh / freeware starter / nebo proces explorer od bývalých sysinternals
- připoj net.

pokud jsou s připojováním furt nějaké problémy, je možné že ti vir poškodil ovladače pro síť, nebo jejich závislosti v registrech: opiš si nastavení sítě, odeber síťové připojení i ovladač síťové karty. restartuj, nech znovu detekovat, znovu nastav.

ja to jeste doplnim pokud nebude moct vytahnout hard disk (zaruka)

a že musí být pc "restartován, protože služba vzdálené volání procedur byla nečekaně ukončena" a často se to ani samo nerestartuje tak musim tvrdym restartem.

start
spustit
services.msc
ok
najit Vzdálené volání procedur (RPC) vlastnosti zotaveni
zmenit z restartovat pocitac na restartovat sluzbu u vsech trech.
tim dostane cas na zachranu antivirem - windows by mel rpc nonstop restartovat a system by mel mit snahu o komunikaci -dal bych pokracoval antivirem (jakykoliv)
+stahnuti zaplaty na blaster 833330
+povypinanim blbosti "co se spousti po startu" http://www.microsoft.com/technet/sysinternals/utili ties/autoruns.mspx
+vycistenim tempu,docasne pameti www.ccleaner.com

brum, teď mi to došlo:

Mám Windows XP SP2 a už sem ho zkoušel přeinstalovat (inovovat nebo jak to tam maj) a nic.

to celé co tu ten joona popisuje, je chování nezáplatovaných xp sp1 s blasterem (MS03-026) nebo sasserem (MS04-011).
měl xp sp2, u kterého by to nemohlo nastat - jenže podle mě ten nešťastník svůj relativně bezpečný servicepack2 někdy po nějaké havárii "inovoval" zkompromitovaným servicepackem1, bez dalších kritických záplat - a doteď mu nedošlo co za průser nadělal ve svých win - systém s nově nainstalovanými dírami pak připojil na net.
windows se pochopitelně musely okamžitě zavirovat.

normální člověk by to odpojil od sítě, odviroval to, a sehnal z netu / časopisových cd obě záplaty KB823980 a KB835732. ještě lepší by bylo tak rozesr... wirdows smazat a nainstalovat xp sp2! znovu.

nuda. pro mě je to vyřešeno, a joonovi přeju zábavný víkend :))

Měl sem záplatovanej xp sp2 a mám ho pořád... jen kvůli tý inovaci asi nějaký záplaty odpadly. Až potom co pc skoro nešel sem sp2 odinstaloval, xp inovoval a sp2 zase nainstaloval. Za fw mám Kerio a řek bych že dobře nastavený.. ale na tom compu nedělám sám. Takže je možný že tam vlez někdo jinej na bůch ví jaký stránky a když se kerio ptalo na povolení něčeho tak to odklikal. Souborovou cestou je to prakticky vyloučený. S pc se dá jakž takž normálně dělat když neodklikám chyby.

ach jo, musel jsem si jít dát :beer:

ne, nemůže nakazit:
psal jsem "přidat tvůj zavirovaný disk jako druhý"
počítač má v biosu nastavené ze kterého disku bootuje. s tímto diskem nebudeš dělat nic. svůj disk přidáš na volnou pozici (možná přepnout na slave) nebo dočasně zapojíš místo jeho cd. ten pc nastartuje stále ze svého původního disku, ze tvého zavirovaného nic nespouští. a ty teď spustíš kolegův aktualizovaný antivir z jeho čistého sytému, a poštveš ho na tvůj disk (pochopitelně se změní písmeno tvého disku). po odvirování mu za ochotu a ztracený čas koupíš flašku.

a s tím jak líčíš žes tam přeinstaloval, odinstaloval, inovoval ... jsi mi jasný. service pack2 jsi tam měl původně. ono samo se ti to téměř znefunkčnilo (jo, takové kecy jsem slyšel už 1000x). ty tam máš (bohužel) admošské práva, ale ono to samo...
odinstalací sp2 - pokud se vůbec povede - dostaneš zpět sp1. teoreticky by měl být záplatovaný jak jsi ho měl předtím, prakticky záleží v jak zoufalém stavu ten systém je a co všechno selže. asi něco selhalo, protože jsi ho "inovoval" - tím jsi dostal jakoby čistý sp1 bez záplat. kam jsi s tím dál lozil na net, třeba jen stáhnout update, víš jen ty. ten čas k zavirování pc stačí.
(o tom že máš v keriu povolené snad všechno co nesmí být svědčí právě tvůj případ - firewall by zastavil útok síťového červa i na nezaplátovaném systému - pokud opvšem administrátor všechny hlášky i od virů neodklikává "yes" že je chce povolit)

dva dny víkendu pryč, ty ještě furt nemáš zálohované data, rozdělený disk na malý systém (který si zas rozjebeš), a velký data (které už nebudeš muset příště pracně přesouvat a znovu zálohovat), a nainstalovaný úplně nový čistý systém sp2. cos dělal celou dobu?

závěr: dokud nemáš nainstalovaný servicepack2, nikdy nepřipojuj xp na síť, ani na vteřinu. k ničemu to nepotřebuješ, a vyhneš se zavirování. a to že tam kdysi byl, a tys jen "něco" inovoval, takové kecy si nech pro kamarády do školky.

sou nastavený přístupový práva pro různý uživatelský profily

přeinstalováváš operační systém = programy, ne data. já víž že pro lidi co mají všechno na c:, i když v různých adresářích, je problém pochopit rozdíl. no co s nima. právě rozdělení disku na c: = program files + windows, a d: = veškerá data, by ti zjednodušilo život pro možné zálohování i pro další přeinstalace zavirovaných windows.
ne abys tu zakládal nový dotaz jak rozdělit disk, už to tu bylo 100x.

Zpět do poradny Odpovědět na původní otázku Nahoru