|
|
|
|
ae |
Вторник, 22 Июля 2003, 11:08
|
Участник
Профиль
Группа: Участник
Сообщений: 117
Регистрация: 26.06.2002
Из: Москва
Пользователь №: 2543
Конфигурация
Корпус: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: Нет дисковода CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
На компьютере-маршрутизаторе (PIII-600, 384Mb, W2K Serv, SP не установлены, 2-е сетевые карты 3Com, Outpost Firewall Pro, прокси EServ2, Remote Administrator v2.0, NAV 2001, серверы сетевых служб не установлены) в моей сети процесс SVCHOST пожирает слишком много ресурсов процессора, вот кусочек листинга tlist.exe: 432 svchost.exe CWD: C:\WINNT\system32\ CmdLine: C:\WINNT\system32\svchost -k rpcss VirtualSize: 17348 KB PeakVirtualSize: 21764 KB WorkingSetSize: 2104 KB PeakWorkingSetSize: 2112 KB NumberOfThreads: 8 428 Win32StartAddr:0x010010b8 LastErr:0x000003e5 State:Waiting 436 Win32StartAddr:0x77dc95c5 LastErr:0x00000000 State:Waiting 448 Win32StartAddr:0x778021fe LastErr:0x00000000 State:Waiting 452 Win32StartAddr:0x77d4b759 LastErr:0x00000102 State:Waiting 1212 Win32StartAddr:0x76142cb9 LastErr:0x00000000 State:Waiting 1968 Win32StartAddr:0x76142cb9 LastErr:0x00000000 State:Waiting 2680 Win32StartAddr:0x00000000 LastErr:0x000003f0 State:Waiting 1676 Win32StartAddr:0x00000000 LastErr:0x00000000 State:Waiting 5.0.2134.1 shp 0x01000000 svchost.exe 5.0.2163.1 shp 0x77f80000 ntdll.dll 5.0.2191.1 shp 0x77db0000 ADVAPI32.DLL 5.0.2191.1 shp 0x77e80000 KERNEL32.DLL 5.0.2193.1 shp 0x77d40000 RPCRT4.DLL 5.0.2181.1 shp 0x77a50000 OLE32.DLL 5.0.2180.1 shp 0x77f40000 GDI32.DLL 5.0.2180.1 shp 0x77e10000 USER32.DLL 5.0.2181.1 shp 0x76130000 rpcss.dll 6.1.8637.0 shp 0x78000000 MSVCRT.DLL 5.0.2185.1 shp 0x77c10000 USERENV.DLL 5.0.2134.1 shp 0x74fc0000 WS2_32.DLL 5.0.2134.1 shp 0x74fb0000 WS2HELP.DLL 5.0.2154.1 shp 0x77be0000 SECUR32.DLL 5.0.2152.1 shp 0x74f80000 mswsock.dll 5.0.2181.1 shp 0x77980000 DNSAPI.DLL 5.0.2152.1 shp 0x74fe0000 WSOCK32.DLL 5.0.2153.1 shp 0x74f60000 msafd.dll 5.0.2134.1 shp 0x74fa0000 wshtcpip.dll 5.0.2152.1 shp 0x77810000 rnr20.dll 5.0.2160.1 shp 0x777b0000 winrnr.dll 5.0.2168.1 shp 0x77950000 WLDAP32.DLL 5.0.2168.1 shp 0x777c0000 rasadhlp.dll 5.0.2168.1 shp 0x77800000 RTUTILS.DLL 1999.9.3422.14 shp 0x77cc0000 CLBCATQ.DLL 2.40.4512.1 shp 0x779b0000 OLEAUT32.DLL
Какие процессы можно "убить" и что за ошибки в листинге, подскажите пожалуйста?
|
|
|
|
|
Ответы
(1 - 12) |
Egor |
Вторник, 22 Июля 2003, 12:09
|
reader
Профиль
Группа: Профессионалы
Сообщений: 4172
Регистрация: 29.03.2001
Из: Подмосковья
Пользователь №: 55
Конфигурация
Корпус: ASCOT Premium Edition 500 Wt Процессор: Core2 Duo/Extreme Материнская плата: ASUS P5K Deluxe Оперативная память: (4x1G) PC2-6400 800MHz DDR2 Kingston Видеокарта: ATI Radeon HD 4730 Жесткий диск (винчестер): (2x1TB) Western Digital WD10EADS Green Power Дисковод: Нет дисковода CD/DVD: DVD-RW Lite-on iHAS124-19 SATA Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: Acer AL2216W Операционная система: Win7 x64 Pro Прочее: --
|
А у тебя не червь-ли случаем? http://pkgazet.bn.by/obzor21.shtml Сообщение отредактировал Egor - Вторник, 22 Июля 2003, 12:09
|
|
|
|
|
ae |
Вторник, 22 Июля 2003, 13:02
|
Участник
Профиль
Группа: Участник
Сообщений: 117
Регистрация: 26.06.2002
Из: Москва
Пользователь №: 2543
Конфигурация
Корпус: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: Нет дисковода CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
Я пыталась вчера файл D.vbs найти, но поиск системными средствами дал отрицательный результат. Но если заражение червем имеет место быть, то из статьи не ясно, как лечиться
|
|
|
|
|
yozh |
Вторник, 22 Июля 2003, 13:16
|
Ведущий
Профиль
Группа: WinCity Team
Сообщений: 2409
Регистрация: 06.09.2002
Из: Петербург/Штутгарт
Пользователь №: 3321
Конфигурация
Корпус: Compaq nx8220 PY518ET Процессор: Другой Материнская плата: HP 82915PM/GM/GMS Оперативная память: DDR2-SDRAM 1024 Mb Samsung M4 70T2953BY0-CD5 Видеокарта: ATI Mobility Radeon X600 128MB Жесткий диск (винчестер): ST9808211A, 75Gb Дисковод: Нет дисковода CD/DVD: MATSHITA DVD-RAM UJ-832S Модем: Agere Systems AC'97 Сетевой адаптер: Broadcom NetXtreme Gigabit + Intel PRO/Wireless 2200BG Звуковая плата: Intel 82801FB ICH6 - AC'97 Монитор: 15,4'' TFT, SWXGA (1680 x 1050) Операционная система: WinXPProGerSP2,Slackware 11.0,FreeDOS Beta9 Прочее: HP LaserJet 1000, HP ScanJet 2400
|
Цитата | из статьи не ясно, как лечиться |
Ну, если антивирусы его не находят, то: 1. убить процесс через task manager 2. найти и обезвредить строку его автозапуска (например, через msconfig.exe или ручками в ключах типа hklm\software\microsoft\windows\current version\run) 3. найти и обезвредить его файлы 4. перезагрузиться.
В данном случае, как я понял, svhost.exe лежит не в корне c: (см. статью), а в winnt\system32. Т.е. если это и червяк, то другой. Попробуй сравнить побайтно файлы svhost.exe из winnt\system32 и из дистрибутива windows/последнего установленного servicepack. Если они одинаковые, то это не червяк.
Сообщение отредактировал yozh - Вторник, 22 Июля 2003, 13:17
|
|
|
|
|
ae |
Вторник, 22 Июля 2003, 14:10
|
Участник
Профиль
Группа: Участник
Сообщений: 117
Регистрация: 26.06.2002
Из: Москва
Пользователь №: 2543
Конфигурация
Корпус: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: Нет дисковода CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
yozh И если это не червь, то расслабиться и получить удовольствие?
|
|
|
|
|
yozh |
Вторник, 22 Июля 2003, 14:42
|
Ведущий
Профиль
Группа: WinCity Team
Сообщений: 2409
Регистрация: 06.09.2002
Из: Петербург/Штутгарт
Пользователь №: 3321
Конфигурация
Корпус: Compaq nx8220 PY518ET Процессор: Другой Материнская плата: HP 82915PM/GM/GMS Оперативная память: DDR2-SDRAM 1024 Mb Samsung M4 70T2953BY0-CD5 Видеокарта: ATI Mobility Radeon X600 128MB Жесткий диск (винчестер): ST9808211A, 75Gb Дисковод: Нет дисковода CD/DVD: MATSHITA DVD-RAM UJ-832S Модем: Agere Systems AC'97 Сетевой адаптер: Broadcom NetXtreme Gigabit + Intel PRO/Wireless 2200BG Звуковая плата: Intel 82801FB ICH6 - AC'97 Монитор: 15,4'' TFT, SWXGA (1680 x 1050) Операционная система: WinXPProGerSP2,Slackware 11.0,FreeDOS Beta9 Прочее: HP LaserJet 1000, HP ScanJet 2400
|
Как я понимаю, строка "svchost -k rpcss" символизирует у тебя запуск сервиса Remote Procedure Call (RPC) Service (см. http://www.ss64.com/ntsyntax/services.html ). Попробуй изменить строку запуска на Rpcss.exe и проверь, будет ли этот сервис нормально стартовать и не исчезнут ли проблемы. Также можешь почитать http://support.microsoft.com/default.aspx?...&NoWebContent=1Кстати, эти симптомы обнаружились только сейчас? А раньше всё было нормально или как?
|
|
|
|
|
yozh |
Вторник, 22 Июля 2003, 17:30
|
Ведущий
Профиль
Группа: WinCity Team
Сообщений: 2409
Регистрация: 06.09.2002
Из: Петербург/Штутгарт
Пользователь №: 3321
Конфигурация
Корпус: Compaq nx8220 PY518ET Процессор: Другой Материнская плата: HP 82915PM/GM/GMS Оперативная память: DDR2-SDRAM 1024 Mb Samsung M4 70T2953BY0-CD5 Видеокарта: ATI Mobility Radeon X600 128MB Жесткий диск (винчестер): ST9808211A, 75Gb Дисковод: Нет дисковода CD/DVD: MATSHITA DVD-RAM UJ-832S Модем: Agere Systems AC'97 Сетевой адаптер: Broadcom NetXtreme Gigabit + Intel PRO/Wireless 2200BG Звуковая плата: Intel 82801FB ICH6 - AC'97 Монитор: 15,4'' TFT, SWXGA (1680 x 1050) Операционная система: WinXPProGerSP2,Slackware 11.0,FreeDOS Beta9 Прочее: HP LaserJet 1000, HP ScanJet 2400
|
Цитата | " и что за ошибки в листинге |
Где ошибки? LastErr? Честно говоря, не знаю, что имеется в виду. Возможно, код возврата/ошибки при последнем вызове API-функции (как в случае с GetLastError). У меня, например, дамп того же svhost выглядит следующим образом:
Код | 396 svchost.exe CWD: C:\WINNT\system32\ CmdLine: C:\WINNT\system32\svchost -k rpcss VirtualSize: 20892 KB PeakVirtualSize: 21148 KB WorkingSetSize: 3264 KB PeakWorkingSetSize: 3272 KB NumberOfThreads: 9 392 Win32StartAddr:0x010010b8 LastErr:0x000003e5 State:Waiting 380 Win32StartAddr:0x7c2e02e9 LastErr:0x000003e5 State:Waiting 404 Win32StartAddr:0x00000f59 LastErr:0x00000000 State:Waiting 408 Win32StartAddr:0x778321fe LastErr:0x00000000 State:Waiting 412 Win32StartAddr:0x77d3dcf3 LastErr:0x00000102 State:Waiting 472 Win32StartAddr:0x00000000 LastErr:0x00000000 State:Waiting 760 Win32StartAddr:0x00000000 LastErr:0x00000000 State:Waiting 836 Win32StartAddr:0x761a2edc LastErr:0x000003f0 State:Waiting 1020 Win32StartAddr:0x761a2edc LastErr:0x000003f0 State:Waiting 5.0.2134.1 shp 0x01000000 svchost.exe 5.0.2195.6685 shp 0x77f80000 ntdll.dll .... |
Сообщение отредактировал yozh - Вторник, 22 Июля 2003, 17:32
|
|
|
|
|
yozh |
Вторник, 22 Июля 2003, 17:47
|
Ведущий
Профиль
Группа: WinCity Team
Сообщений: 2409
Регистрация: 06.09.2002
Из: Петербург/Штутгарт
Пользователь №: 3321
Конфигурация
Корпус: Compaq nx8220 PY518ET Процессор: Другой Материнская плата: HP 82915PM/GM/GMS Оперативная память: DDR2-SDRAM 1024 Mb Samsung M4 70T2953BY0-CD5 Видеокарта: ATI Mobility Radeon X600 128MB Жесткий диск (винчестер): ST9808211A, 75Gb Дисковод: Нет дисковода CD/DVD: MATSHITA DVD-RAM UJ-832S Модем: Agere Systems AC'97 Сетевой адаптер: Broadcom NetXtreme Gigabit + Intel PRO/Wireless 2200BG Звуковая плата: Intel 82801FB ICH6 - AC'97 Монитор: 15,4'' TFT, SWXGA (1680 x 1050) Операционная система: WinXPProGerSP2,Slackware 11.0,FreeDOS Beta9 Прочее: HP LaserJet 1000, HP ScanJet 2400
|
Кстати, а что у тебя такой бардак с версиями dll? Может, SP поставить-таки?
|
|
|
|
|
ae |
Четверг, 24 Июля 2003, 10:52
|
Участник
Профиль
Группа: Участник
Сообщений: 117
Регистрация: 26.06.2002
Из: Москва
Пользователь №: 2543
Конфигурация
Корпус: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: Нет дисковода CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
yozhЦитата | Кстати, эти симптомы обнаружились только сейчас? А раньше всё было нормально или как? |
День прошел и симптомы пропали, а вместе с ними и реликация групповой политики и обзор сетевого окружения, я думаю, что дело тут не в SVCHOST (кстати, сравнение с файлом в дистрибутиве не зафиксировало различий ни в содержимом ни в размерах), а в сетевых настройках, только не пойму пока в каких Аналогичная проблема с репликацией и сетевым окружением появилась на прошлой неделе, но потом сама исчезла. Сама ли?
Цитата | Кстати, а что у тебя такой бардак с версиями dll? Может, SP поставить-таки? |
Конечно, только докачать из Инета теперь не получается :о( Ошибка CuteFTPCan't resolve, хотя в настройках OutPost FW и указано Allow DNS resolving И почта у меня наружу не ходит - впору пойти и застрелиться
|
|
|
|
|
yozh |
Четверг, 24 Июля 2003, 11:38
|
Ведущий
Профиль
Группа: WinCity Team
Сообщений: 2409
Регистрация: 06.09.2002
Из: Петербург/Штутгарт
Пользователь №: 3321
Конфигурация
Корпус: Compaq nx8220 PY518ET Процессор: Другой Материнская плата: HP 82915PM/GM/GMS Оперативная память: DDR2-SDRAM 1024 Mb Samsung M4 70T2953BY0-CD5 Видеокарта: ATI Mobility Radeon X600 128MB Жесткий диск (винчестер): ST9808211A, 75Gb Дисковод: Нет дисковода CD/DVD: MATSHITA DVD-RAM UJ-832S Модем: Agere Systems AC'97 Сетевой адаптер: Broadcom NetXtreme Gigabit + Intel PRO/Wireless 2200BG Звуковая плата: Intel 82801FB ICH6 - AC'97 Монитор: 15,4'' TFT, SWXGA (1680 x 1050) Операционная система: WinXPProGerSP2,Slackware 11.0,FreeDOS Beta9 Прочее: HP LaserJet 1000, HP ScanJet 2400
|
Цитата | впору пойти и застрелиться |
А если вместо этого попытаться вставить другой винт и водрузить на него минимальный вариант того же самого (винда+прокси)? Этим можно было бы продиагностировать "железные" проблемы (с сетевыми картами). А потом понемногу доставлять остальное и смотреть, когда снова заглючит. Или наоборот - поэтапно отключать всё более или менее ненужное (антивирус, файрволл) в текущей системе. Потому что тут сложно дать более конкретный рецепт. Винда английская? Если проблема только в DNS, можно попытаться закачать SP так: Английский SP4: http://195.96.187.242/files/w2ksp4_en.exe
|
|
|
|
|
ae |
Четверг, 24 Июля 2003, 12:02
|
Участник
Профиль
Группа: Участник
Сообщений: 117
Регистрация: 26.06.2002
Из: Москва
Пользователь №: 2543
Конфигурация
Корпус: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: Нет дисковода CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
Попробую вместо Outpost FW снова поюзать ZoneAlarm, когда он стоял проблем не было.
Винда русская, обидно но SP3 выкачан на 97%
Спасибо yozh за поддержку.
Сообщение отредактировал ae - Четверг, 24 Июля 2003, 12:10
|
|
|
|
|
ae |
Понедельник, 28 Июля 2003, 9:27
|
Участник
Профиль
Группа: Участник
Сообщений: 117
Регистрация: 26.06.2002
Из: Москва
Пользователь №: 2543
Конфигурация
Корпус: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: Нет дисковода CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
Нет худа без добра и наоборот Установка русского SP3 на русские W2K Srv не привела ни к чему хорошему - загрузка сетевых параметров выполнялась все выходные и не выполнилась Пришлось деинсталлировать SP3
|
|
|
|
|
yozh |
Понедельник, 28 Июля 2003, 11:45
|
Ведущий
Профиль
Группа: WinCity Team
Сообщений: 2409
Регистрация: 06.09.2002
Из: Петербург/Штутгарт
Пользователь №: 3321
Конфигурация
Корпус: Compaq nx8220 PY518ET Процессор: Другой Материнская плата: HP 82915PM/GM/GMS Оперативная память: DDR2-SDRAM 1024 Mb Samsung M4 70T2953BY0-CD5 Видеокарта: ATI Mobility Radeon X600 128MB Жесткий диск (винчестер): ST9808211A, 75Gb Дисковод: Нет дисковода CD/DVD: MATSHITA DVD-RAM UJ-832S Модем: Agere Systems AC'97 Сетевой адаптер: Broadcom NetXtreme Gigabit + Intel PRO/Wireless 2200BG Звуковая плата: Intel 82801FB ICH6 - AC'97 Монитор: 15,4'' TFT, SWXGA (1680 x 1050) Операционная система: WinXPProGerSP2,Slackware 11.0,FreeDOS Beta9 Прочее: HP LaserJet 1000, HP ScanJet 2400
|
Ты SP3 как ставила? Просто запускала? В таких случаях, я думаю, лучше интегрировать его в дистрибутив Win2k и поставить всё это прямо поверх на имеющуюся систему. Смотри в поиске - уже рассказывали, как это делается. На время всего этого действа такие вещи, как файрволл и антивирус лучше отключить.
|
|
|
|
|
|
1 чел. читают эту тему (1 Гостей и 0 Скрытых Пользователей)
|
0 Пользователей:
|
© Copyright by WinCity.Ru 2001 - 2008 | Обратная связьУслуги веб-хостинга предоставлены компанией MTW.RU
|
|
|
|