При работе в сети стала появляться такая штука :
"Generic Host Process for Win32 Servis -обнаружена ошибка... "
примерно секунд через 30 если незакрывать это окно вылетает следующее сообщение:
"Неизвестное программное исключение(0xc0000409)"
У кого такая штука была и , что вообще это за херовина ?

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

да инжектицо чтото криво пытаецо чекойте авторан и прочую ересь...
чтоб избежать перезогрузке cmd.exe shutdown -a и ребут отмениться...
хэкерам черношляпочникам незачот :\ скрытие от ламеров сделоле а инжект не осилиле :\\ скорей всего вы стале жертвой либо rbot-а (и кампелируете в ботнете в месте) либо лоадера

| Сообщение посчитали полезным:

Red Bar0n пишет:
скорей всего вы стале жертвой либо rbot-а (и кампелируете в ботнете в месте) либо лоадера

Про лоадер мысль была -вот я и искал искал и нашол интересную папку BX4WFVZC
(C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\BX4WFVZC)
Вней task[1].html и task[2].html.
Открываю task[1].html :
9 13;http://85.255.119.100/multiround/sev2.exe
14;http://85.255.119.100/n/multiround/nldr.exe
15;http://85.255.119.100/n/multiround/tny02.exe
16;http://85.255.119.100/n/multiround/msits.exe
17;http://89.149.202.101/br1_v122_26.exe
18;http://85.255.119.100/n/multiround/dsb.exe
19;http://85.255.119.100/n/multiround/t100.exe
20;http://85.255.119.100/n/multiround/inst318ss.exe
22;http://85.255.119.100/n/multiround/mb2.exe

Открываю task[2].html :
8 13;http://85.255.119.100/multiround/sev2.exe
14;http://85.255.119.100/n/multiround/nldr.exe
16;http://85.255.119.100/n/multiround/msits.exe
17;http://89.149.202.101/br1_v122_26.exe
18;http://85.255.119.100/n/multiround/dsb.exe
19;http://85.255.119.100/n/multiround/t100.exe
23;http://85.255.119.100/n/multiround/mb3.exe
24;http://85.255.119.100/multiround/leo/mirca.exe

Беру на угад и скачиваю 85.255.119.100/n/multiround/msits.exe.
Засылаю его касперу => инфицирован Trojan-Downloader.Win32.Small.bcq
Остальное качать нестал но думаю такаяже херня будет.

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

хм. у меня тоже последнее время svchost загружает проц на 100% - и ничего не могу найти, ни левых дров, ни руткитов, ни тем более вирей...

-----
in search of sunrise

| Сообщение посчитали полезным:

Мне думается - чтоб найти последовательно нужно вырубать все службы

| Сообщение посчитали полезным:

Да, забыл посоветовать прогнать систему на наличие Spyware.

| Сообщение посчитали полезным:

Самое интересное ,что ни один из файлов, указанных мною выше ,я к себя не нашел, или они сейчас сидят в системе под другими именами , или они не смогли попасть на машину.Кстати ошибка больше не появлялась.Возможно она бала из за кривых попыток скачать эти файлы ,хотя может быть это чтото другое.

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

Мне кажется это была попытка инджекта с кривым кодом!

| Сообщение посчитали полезным:

MACKLIA
Мой Способ 1:
возьми Process Explorer и посмотри внимательнее на список процессов - найди лишнее. Это "лишнее" отрубай в Autoruns

Мой Способ 2:
Перебей винду с нуля

вот список процессов в девственно чистой хр sp2:
smss.exe C:\WINNT\system32\smss.exe
csrss.exe C:\WINNT\system32\csrss.exe
winlogon.exe C:\WINNT\system32\winlogon.exe
services.exe C:\WINNT\system32\services.exe
svchost.exe C:\WINNT\system32\svchost -k DcomLaunch
svchost.exe C:\WINNT\system32\svchost -k rpcss
svchost.exe C:\WINNT\System32\svchost.exe -k netsvcs
svchost.exe C:\WINNT\system32\svchost.exe -k NetworkService
svchost.exe C:\WINNT\system32\svchost.exe -k LocalService
svchost.exe C:\WINNT\system32\svchost.exe -k imgsvc
lsass.exe C:\WINNT\system32\lsass.exe
explorer.exe C:\WINNT\Explorer.EXE

| Сообщение посчитали полезным:

bloom пишет:
хм. у меня тоже последнее время svchost загружает проц на 100% - и ничего не могу найти, ни левых дров, ни руткитов, ни тем более вирей

Об этом кстати на официальном сайте мелкомагкого написано! и апдейт есть! Связан со скачиваем то ли обновлений винды то ли еще какого мероприятия! и про ошибку эту в той же статье есть и апдейт её вроде фиксит.
Попрбуйте сперва апдейт поставить, а потом вирусы/шпионов/троянцев искать...

| Сообщение посчитали полезным:

Hill пишет:
Об этом кстати на официальном сайте мелкомагкого написано! и апдейт есть!
да апдейты стоят. кроме наверное тех что за март.
попробую и эти поставить.

-----
in search of sunrise

| Сообщение посчитали полезным:

RAMZEZzz пишет:
возьми Process Explorer и посмотри внимательнее на список процессов - найди лишнее.

RAMZEZzz спасибо за програмку,штука неплохая,правда её обмануть тоже можно.Посмотри screen и попробуи наути 55555555.EXE, от панели задач специально не пратал.
От PETools , LordPE спрятать неудаётся


bf8c_31.03.2007_CRACKLAB.rU.tgz - Screen.rar

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

кому интересно все про этот косяк тут:
support.microsoft.com/kb/932494/ru
пробуйте это...

| Сообщение посчитали полезным:

Hill пишет:
кому интересно все про этот косяк тут:
support.microsoft.com/kb/932494/ru
пробуйте это...

Там написано:
"Ошибка приложения SVCHOST.exe
Инструкция по адресу 0x0745F2780 обратилась к памяти по адресу 0x000000000. Не удается прочитать память."
А у меня по другому было:
"Ошибка приложения SVCHOST.exe
Исключение неизвестное програмное исключение (0xc0000409) в приложении по адресу 0x5bd5a3c0"

Так же там написанно:"Процесс Svchost.exe может привести к резкому повышению загрузки центрального процессора до 100% в течение обнаружения или установки обновлений"
bloom пишет:
у меня тоже последнее время svchost загружает проц на 100%
bloom похоже твой случай.

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

MACKLIA пишет:
"Ошибка приложения SVCHOST.exe
Исключение неизвестное програмное исключение (0xc0000409) в приложении по адресу 0x5bd5a3c0"
тогда по любому попытка хука службы, видимо неудачная... у тебя винда живучая какая-то...

| Сообщение посчитали полезным: