Проблема c svchost: прошу помощи

Бурундук

Бурундук

Старожил
Господа, столкнулся с такой проблемой.

После скачивания одной из программ из интернета, при следующем запуске после подключения к интернету (ещё до запуска любого браузера)
начинает быстро расти память, занимаемая одним из процессов svchost. ЗА 10 минут она доходит до 2Гб и, естественно, компьютер виснет.
Это повторяется и после перезагрузки.

Пока нет соединения с интернетом, процесс ведёт себя прилично (даже при запуске браузеров в автономном режиме).

При удалении этого svchost при помощи менеджера процессов появляется надпись "Система будет перезагружена через 60 секунд. Причина: остановка службы запуск серверных процессов DCOM"

Может, эту службу как-то можно отключить?

Программу удалил - не помогло.
Проверка компьютера антивирусом Avira Professional (новый, с лицензией) нашла один троян - но он оказался не при чём, не помогло.

Переписал svchost.exe из другой системы - запускается, но то же самое. Значит, дело не в svchost, а в чём-то другом.

Ещё одна странная особенность: при первом запуске Internet Explorer показывается "белое" окно (ни строки меню, ни строки адреса). Оно работает (если открыть .html файл, он отобразиться, но строки меню не будет).
При повторном запуске всё нормально: появляется и строка менЮ, и строка адреса. Возникло одновременно с описанной ранее проблемой.

Переставлять систему полностью очень не хочется: на неё навешано много программ, которые тоже придётся переставлять.
Если кто-нибудь сталкивался с такой гадостью - помогите, пожалуйста.
 
Реклама
Mechanic

Mechanic

Press F1 for help
Можно скачнуть Process Explorer и посмотреть с его помощью, какая именно служба распухает... у меня такое устраивала служба автоматического обновления (без инета все ок, после появления сети пухла до невозможности, танцы с бубном типа чистки временных папок системы обновления помогали только временно, в итоге пришлось запртить службу BITS, проблемы прекратились)
 
Бурундук

Бурундук

Старожил
Mechanic, а как ты службы запрещал?
 
AKos

AKos

Старожил
Бурундук, Дык, отключаешь службу и все. На самом деле, похоже на вирь. Я бы посоветовал то, что советовал MikVolg'у здесь - логи в студию.
 
Mechanic

Mechanic

Press F1 for help
AKos, согласен, глюки IE скорее говорят о вирусе.

Бурундук, в панели управления в службах - остановить и поставить запуск вручную
 
L

LIV

Местный
svhost отключить никак не удастся! На этом модуле в виндах построено очень многое, если не всё..... Надо как следует просмотреть, что в загрузке и все службы. Но скорее всего, вирус!
И не пользуйтесь ИЕ - это дыра в безопасности с 1997 года! МС об этом знает, но не исправляет!
 
AKos

AKos

Старожил
LIV, никто не говорит, что надо целиком устранить svchost ;) Это хост-процесс для служб из DLL. А вот посмотреть, какие службы пускаются через svchost надо обязательно. А можно и опытным путем, отключая те или иные службы. И вот это еще посмотреть ;)

С ИЕ уже вроде давно все в порядке. Я его редко юзаю - больно он медленный ;)
 
L

LIV

Местный
Я о том и сказал... :pivo: ...посмотреть службы...

А вот с ИЕ далеко не всё в порядке! Иначе бы не писались скрипты-эксплоиты, с помощью которых заражают другие компы! Даже здесь был случай внедрения скрипта к код! А они срабатывают только в ИЕ.... ни в Опере, ни в Фаерфоксе такого нет! Поэтому я всем советую использовать ИЕ только на проверенных ресурсах, где без функциональности не обойдёшься (например, Webmoney).
Фаерфокс жрёт очень много памяти, остаётся Опера! :) юзайте Оперу, господа!....
 
AKos

AKos

Старожил
LIV, Опера тоже ест многовато....

121.jpg


На первом месте ;) Это с отключенным кэшем и всяческим запоминанием страниц с 3-мя открытыми вкладками, общим весом с рисунками 1,6 метра. Ну всю ее еще посчитать... Откуда 130 метров?

121.jpg
 
Irreligious

Irreligious

Старожил
Бурундук, неплохой менеджер процессов есть в FAR'е. там можно по F3 посмотреть детальную информацию о процессе. Обычно svchost.exe запускается в нескольких экземплярах, с разными параметрами командной строки - это системные службы, а вирус как правило запускает его без параметров, как прикрытие соответствующего зловреда. Т.е. если в информации Command Line пустая, то этот процесс однозначно подлежит удалению. Также в информации о процессе рекомендую обратить внимание на секцию Modules. Там список всех библиотек которые используются данным процессом. Например, там не должно быть ничего из каталога TEMP, я тут недавно столкнулся чем то подобным C:\WINDOWS\TEMP\*.sys, *.tmp, где * - случайная комбинация букв+цифр. Ну и ес-но неплохо бы провериться при помощи ЛивСД.
 
Реклама
Irreligious

Irreligious

Старожил
AKos, FF у меня ест примерно 160 мб оперативки, и примерно столько же виртуалки, при том что сейчас открыто порядка 7 вкладок. Мне кажется это не так чтоб много )