svchost.exe подает мож кто подскажет

Народ подскажите у знакомого на компе постоянно подает svchost.exe пишет, что то типа приложение будет закрыто по безопасности
вроде дамп у него слил только понять не могу где баг и как исправить

Код (Text):

1. 0:020> !analyze -v
2. *******************************************************************************
3. *                                                                             *
4. *                        Exception Analysis                                   *
5. *                                                                             *
6. *******************************************************************************
7.  
8. Cannot find frame 0x94, previous scope unchanged
9. Cannot find frame 0xef, previous scope unchanged
10. Matched: 7c887764 kernel32!BasepAppCertDllsList = <no type information>
11. Matched: 7c8858d0 kernel32!BasepAppCertDllsList = <no type information>
12. *************************************************************************
13. ***                                                                   ***
14. ***                                                                   ***
15. ***    Your debugger is not using the correct symbols                 ***
16. ***                                                                   ***
17. ***    In order for this command to work properly, your symbol path   ***
18. ***    must point to .pdb files that have full type information.      ***
19. ***                                                                   ***
20. ***    Certain .pdb files (such as the public OS symbols) do not      ***
21. ***    contain the required information.  Contact the group that      ***
22. ***    provided you with these symbols if you need this command to    ***
23. ***    work.                                                          ***
24. ***                                                                   ***
25. ***    Type referenced: kernel32!pNlsUserInfo                         ***
26. ***                                                                   ***
27. *************************************************************************
28. *************************************************************************
29. ***                                                                   ***
30. ***                                                                   ***
31. ***    Your debugger is not using the correct symbols                 ***
32. ***                                                                   ***
33. ***    In order for this command to work properly, your symbol path   ***
34. ***    must point to .pdb files that have full type information.      ***
35. ***                                                                   ***
36. ***    Certain .pdb files (such as the public OS symbols) do not      ***
37. ***    contain the required information.  Contact the group that      ***
38. ***    provided you with these symbols if you need this command to    ***
39. ***    work.                                                          ***
40. ***                                                                   ***
41. ***    Type referenced: kernel32!pNlsUserInfo                         ***
42. ***                                                                   ***
43. *************************************************************************
44.  
45. FAULTING_IP:
46. +6f8916e2
47. 6f8916e2 ??              ???
48.  
49. EXCEPTION_RECORD:  ffffffff -- (.exr 0xffffffffffffffff)
50. ExceptionAddress: 6f8916e2
51.    ExceptionCode: c0000005 (Access violation)
52.   ExceptionFlags: 00000000
53. NumberParameters: 2
54.    Parameter[0]: 00000008
55.    Parameter[1]: 6f8916e2
56. Attempt to execute non-executable address 6f8916e2
57.  
58. DEFAULT_BUCKET_ID:  SOFTWARE_NX_FAULT
59.  
60. PROCESS_NAME:  svchost.exe
61.  
62. ERROR_CODE: (NTSTATUS) 0xc0000005 - <Unable to get error code text>
63.  
64. WRITE_ADDRESS:  6f8916e2
65.  
66. FAILED_INSTRUCTION_ADDRESS:
67. +6f8916e2
68. 6f8916e2 ??              ???
69.  
70. NTGLOBALFLAG:  0
71.  
72. APPLICATION_VERIFIER_FLAGS:  0
73.  
74. ADDITIONAL_DEBUG_TEXT:  Followup set via attribute from Frame 0 on thread ffffffff
75.  
76. LAST_CONTROL_TRANSFER:  from 555a534e to 6f8916e2
77.  
78. FAULTING_THREAD:  0000070c
79.  
80. PRIMARY_PROBLEM_CLASS:  SOFTWARE_NX_FAULT
81.  
82. BUGCHECK_STR:  APPLICATION_FAULT_SOFTWARE_NX_FAULT_BAD_INSTRUCTION_PTR_STACK_CORRUPTION_STACK_CORRUPTION
83.  
84. IP_ON_HEAP:  555a534e
85.  
86. FRAME_ONE_INVALID: 1
87.  
88. STACK_TEXT:  
89. 7c910202 ntdll!RtlpAllocateFromHeapLookaside
90. 7c90e900 ntdll!_except_handler3
91. 7c910208 ntdll!RtlpRunTable
92. 7c91017b ntdll!RtlAllocateHeap
93. 7c9101bb ntdll!RtlAllocateHeap
94. 7c910415 ntdll!RtlAcquirePebLock
95. 7c91041e ntdll!RtlAcquirePebLock
96. 7c918367 ntdll!RtlIsDosDeviceName_Ustr
97. 7c901000 ntdll!RtlEnterCriticalSection
98. 7c910440 ntdll!RtlReleasePebLock
99. 7c97d600 ntdll!FastPebLock
100. 7c914029 ntdll!RtlGetFullPathName_Ustr
101. 7c91401c ntdll!RtlGetFullPathName_Ustr
102. 01000000 svchost!_imp__RegQueryValueExW <PERF> (svchost+0x0)
103. 7c914202 ntdll!RtlDosPathNameToNtPathName_Ustr
104. 7c9142c7 ntdll!RtlDosPathNameToNtPathName_Ustr
105. 7c91428f ntdll!RtlDosPathNameToNtPathName_Ustr
106. 7c91405c ntdll!`string'
107. 00690070 xpsp2res
108. 00650070 xpsp2res
109. 006c0075 xpsp2res
110. 00700065 xpsp2res
111. 00780045 xpsp2res
112. 00630065 xpsp2res
113. 00690050 xpsp2res
114. 7c910098 ntdll!RtlpFreeToHeapLookaside
115. 7c910021 ntdll!RtlFreeHeap
116. 7c91003d ntdll!RtlFreeHeap
117. 7c90ff0d ntdll!RtlFreeHeap
118. 7c912e9b ntdll!RtlEqualUnicodeString
119. 7c914298 ntdll!`string'
120. 7c90f63c ntdll!RtlNtStatusToDosError
121. 7c90f641 ntdll!RtlNtStatusToDosError
122. 7c90df3c ntdll!NtWaitForSingleObject
123. 7c8025db kernel32!WaitForSingleObjectEx
124. 7c90fe01 ntdll!RtlGetLastWin32Error
125. 7c839ac0 kernel32!_except_handler3
126. 7c802608 kernel32!`string'
127. 7c802542 kernel32!WaitForSingleObject
128. 699e044d faultrep!MyCallNamedPipe
129. 7e368ffb user32!GetSystemMetrics
130. 699dee90 faultrep!_except_handler3
131. 699d39f8 faultrep!`string'
132. 699d79d0 faultrep!StartManifestReport
133. 0073005c xpsp2res
134. 00730079 xpsp2res
135. 00650074 xpsp2res
136. 00760073 xpsp2res
137. 00680063 xpsp2res
138. 0073006f xpsp2res
139. 00780065 xpsp2res
140. 77bf1e71 version!_except_handler3
141. 77bf1478 version!`string'
142. 77bf1475 version!GetFileVersionInfoSizeW
143. 699e0f24 faultrep!IsMicrosoftApp
144. 699e1418 faultrep!IsMicrosoftApp
145. 7c90d950 ntdll!NtQueryValueKey
146. 7c90d95c ntdll!NtQueryValueKey
147. 7c90f648 ntdll!RtlpRunTable
148. 77dc6fdb advapi32!LocalBaseRegQueryValue
149. 77dc6fe6 advapi32!LocalBaseRegQueryValue
150. 006f0072 xpsp2res
151. 0065006d xpsp2res
152. 7c80eeeb kernel32!FindClose
153. 7c9020f5 ntdll!memmove
154. 7c90d7ec ntdll!ZwQueryInformationProcess
155. 7c80acf5 kernel32!GetErrorMode
156. 7c90dc8c ntdll!ZwSetInformationProcess
157. 7c80acd1 kernel32!SetErrorMode
158. 7c8136e1 kernel32!GetLongPathNameW
159. 7c8136f4 kernel32!GetLongPathNameW
160. 77dc707b advapi32!RegQueryValueExW
161. 699e0000 faultrep!CPFFaultClientCfg::ShouldCollect
162. 699df5ca faultrep!CAutoUnlockCS::~CAutoUnlockCS
163. 699e0036 faultrep!CPFFaultClientCfg::ShouldCollect
164. 699e0047 faultrep!CPFFaultClientCfg::ShouldCollect
165. 0072004b xpsp2res
166. 00760065 xpsp2res
167. 00640065 xpsp2res
168. 006f006b xpsp2res
169. 7e36a044 user32!ClientThreadSetup
170. 7e3c12a0 user32!gcsAccelCache
171. 7c90f60d ntdll!RtlNtStatusToDosError
172. 7c912cae ntdll!LdrLockLoaderLock
173. 7c912ce4 ntdll!LdrLockLoaderLock
174. 7c912d51 ntdll!LdrUnlockLoaderLock
175. 7c912d58 ntdll!LdrUnlockLoaderLock
176. 7e368d23 user32!NtUserGetObjectInformation
177. 699d9e41 faultrep!DoWinstaDesktopMatch
178. 699d27a0 faultrep!`string'
179. 7c80e6c0 kernel32!`string'
180. 7c80e6bb kernel32!BasepGetModuleHandleExW
181. 7c81fcd4 kernel32!GetModuleHandleExW
182. 699d1a84 faultrep!`string'
183. 699d69f2 faultrep!FixDirect3DScreenCapture
184. 699d82f1 faultrep!ReportFault
185. 00770000 xpsp2res
186. 00740061 xpsp2res
187. 006f0073 xpsp2res
188. 0069006d xpsp2res
189. 00720063 xpsp2res
190. 0066006f xpsp2res
191. 006f0063 xpsp2res
192. 00720074 xpsp2res
193. 0064002e xpsp2res
194. 006c006c xpsp2res
195. 7c916fc8 ntdll!`string'
196. 01000040 svchost!_imp__RegQueryValueExW <PERF> (svchost+0x40)
197. 00800040 xpsp2res
198. 7c915bd8 ntdll!RtlDosApplyFileIsolationRedirection_Ustr
199. 7c915c3d ntdll!RtlDosApplyFileIsolationRedirection_Ustr
200. 7c97b214 ntdll!DllExtension
201. 7c9165b0 ntdll!`string'
202. 7c912d60 ntdll!`string'
203. 7c916612 ntdll!LdrLoadDll
204. 7c9164ee ntdll!LdrLoadDll
205. 7c910000 ntdll!RtlFreeHeap
206. 699e29a8 faultrep!_NULL_IMPORT_DESCRIPTOR
207. 699e2910 faultrep!_NULL_IMPORT_DESCRIPTOR
208. 7c917ed3 ntdll!LdrpSnapThunk
209. 699d0000 faultrep!_imp__GetSecurityDescriptorDacl <PERF> (faultrep+0x0)
210. 699e2970 faultrep!_NULL_IMPORT_DESCRIPTOR
211. 699d00f0 faultrep!_imp__GetSecurityDescriptorDacl <PERF> (faultrep+0xf0)
212. 7c910365 ntdll!RtlImageDirectoryEntryToData
213. 7c917d9a ntdll!LdrpGetProcedureAddress
214. 007ced60 xpsp2res
215. 7c917e3f ntdll!LdrpGetProcedureAddress
216. 7c97b178 ntdll!LdrpLoaderLock
217. 7c917de9 ntdll!LdrpGetProcedureAddress
218. 5d0781b1 shimeng!SE_GetProcAddress
219. 699d7d7e faultrep!ReportFault
220. 7c90d91c ntdll!ZwQuerySystemInformation
221. 7c965071 ntdll!RtlUnhandledExceptionFilter2
222. 7c9652ee ntdll!RtlUnhandledExceptionFilter2
223. 7c917df0 ntdll!`string'
224. 699d1c48 faultrep!`string'
225. 7c8643c6 kernel32!UnhandledExceptionFilter
226. 7c81a274 kernel32!`string'
227. 7c887378 kernel32!BasepProcessCurrentDirPlacement
228. 007cf224 xpsp2res
229. 7c910303 ntdll!RtlpImageNtHeader
230. 7c800000 kernel32!_imp___wcsnicmp <PERF> (kernel32+0x0)
231. 7c8000f0 kernel32!_imp___wcsnicmp <PERF> (kernel32+0xf0)
232. 7c90d96c ntdll!ZwQueryVirtualMemory
233. 7c880a31 kernel32!_ValidateEH3RN
234. 7c80b720 kernel32!`string'
235. 7c80b000 kernel32!LongCompareStringW
236. 7c864948 kernel32!`string'
237. 7c83ab38 kernel32!BaseThreadStart
238. 7c839b21 kernel32!_except_handler3
239. 7c9032a8 ntdll!ExecuteHandler2
240. 7c9032bc ntdll!ExecuteHandler2
241. 7c90327a ntdll!ExecuteHandler
242. 7c92a9ef ntdll!RtlDispatchException
243. 77efb340 rpcrt4!NullContext
244. 7c90e46a ntdll!KiUserExceptionDispatcher
245. 7c911008 ntdll!RtlAllocateHeap
246. 7c911066 ntdll!RtlAllocateHeap
247. 77a716df crypt32!DllMain
248. 77a70000 crypt32!_imp__CryptAcquireContextA <PERF> (crypt32+0x0)
249. 77a7167a crypt32!_DllMainCRTStartup
250. 77a71632 crypt32!_DllMainCRTStartup
251. 7c91b010 ntdll!`string'
252. 7c91b00a ntdll!_LdrpInitialize
253. 77d04932 netman!ATL::CComContainedObject<CInboundConnectionManager>::`vftable'
254. 76425159 netshell!StringCbPrintfW
255. 4d596465 winhttp!CFsm_NegotiateLoop::CFsm_NegotiateLoop
256. 7c910961 ntdll!RtlFreeHeap
257. 7505297c srvsvc!`string'
258. 7c90d38c ntdll!ZwFsControlFile
259. 77dc7439 advapi32!ImpersonateNamedPipeClient
260. 77e81ada rpcrt4!NMP_ConnectionRevertToSelf
261. 7c9101c0 ntdll!CheckHeapFillPattern
262. 75052be8 srvsvc!`string'
263. 7505415a srvsvc!ConvertStringToTransportAddress
264. 7c809a88 kernel32!`string'
265. 7c929f95 ntdll!RtlReleaseResource
266. 750631d0 srvsvc!SsData
267. 75060251 srvsvc!NetrServerGetInfo
268. 75052c02 srvsvc!`string'
269. 77e7f244 rpcrt4!NdrConformantStringMarshall
270. 77e7f4de rpcrt4!NdrpPointerMarshall
271. 5bd5a0ac netapi32!GetToken
272. 7c809a80 kernel32!LocalAlloc
273. 5bd5d822 netapi32!NetpwPathCompare
274. 5bd685ed netapi32!NetpwPathCompare
275. 5bd5d73b netapi32!NetpwPathCompare
276. 5bd5a137 netapi32!NetpwPathType
277. 5bd5a410 netapi32!NetpwPathCanonicalize
278. 7505d996 srvsvc!NetprPathCanonicalize
279. 77e799f4 rpcrt4!Invoke
280. 77ef421a rpcrt4!NdrStubCall2
281. 7505d97a srvsvc!NetprPathCanonicalize
282. 77c66717 msv1_0!SspEncryptBuffer
283. 750531e0 srvsvc!MIDL_user_allocate
284. 750531c0 srvsvc!MIDL_user_free
285. 7c810634 kernel32!CreateRemoteThread
286. 75051370 srvsvc!`string'
287. 77dd7127 advapi32!MD5Final
288. 75051428 srvsvc!`string'
289. 75051c74 srvsvc!`string'
290. 75051c6e srvsvc!`string'
291. 75051c5e srvsvc!`string'
292. 75051c7c srvsvc!`string'
293. 75051c68 srvsvc!`string'
294. 7505227a srvsvc!`string'
295. 7c9115d9 ntdll!RtlLogStackBackTrace
296. 77e7e75e rpcrt4!RpcMgmtStatsVectorFree
297. 7c910040 ntdll!CheckHeapFillPattern
298. 7c911432 ntdll!RtlpFreeDebugInfo
299. 7c911463 ntdll!RtlpFreeDebugInfo
300. 7c97b120 ntdll!DeferedCriticalSection
301. 7c911440 ntdll!RtlpFreeDebugInfo
302. 77ea04b8 rpcrt4!_except_handler3
303. 77e79ad0 rpcrt4!NdrTypeFlags
304. 77ef46ee rpcrt4!NdrServerCall2
305. 77e794bd rpcrt4!DispatchToStubInC
306. 77e794d0 rpcrt4!SVR_BINDING_HANDLE::`vftable'
307. 77e79422 rpcrt4!RPC_INTERFACE::DispatchToStubWorker
308. 750533bb srvsvc!NdrServerCall2
309. 7c90d9bc ntdll!ZwReadFile
310. 77e8088e rpcrt4!UTIL_ReadFile
311. 77e7934e rpcrt4!RPC_INTERFACE::DispatchToStub
312. 75063f0c srvsvc!srvsvc_DispatchTable
313. 77e8156c rpcrt4!OSF_SCALL::DispatchHelper
314. 77e81ca9 rpcrt4!OSF_SCONNECTION::TransAsyncReceive
315. 77e81499 rpcrt4!OSF_SCALL::DispatchRPCCall
316. 77e8141d rpcrt4!OSF_SCALL::ProcessReceivedPDU
317. 77e81328 rpcrt4!OSF_SCALL::BeginRpcCall
318. 77e7877b rpcrt4!OSF_SCONNECTION::ProcessReceiveComplete
319. 7c80980a kernel32!InterlockedDecrement
320. 77e811fb rpcrt4!BASE_CONNECTION::ProcessRead
321. 77e771d5 rpcrt4!COMMON_ProcessCalls
322. 77e786b6 rpcrt4!ProcessConnectionServerReceivedEvent
323. 77e772ff rpcrt4!LOADABLE_TRANSPORT::ProcessIOEvents
324. 7c9010e0 ntdll!RtlLeaveCriticalSection
325. 77e77328 rpcrt4!ProcessIOEventsWrapper
326. 77e76ad1 rpcrt4!BaseCachedThreadRoutine
327. 77e76c97 rpcrt4!ThreadStartRoutine
328. 7c80b713 kernel32!BaseThreadStart
329. 77e76c7d rpcrt4!ThreadStartRoutine
330.  
331.  
332. FOLLOWUP_IP:
333. xpsp2res+60070
334. 00690070 0000            add     byte ptr [eax],al
335.  
336. SYMBOL_STACK_INDEX:  12
337.  
338. SYMBOL_NAME:  xpsp2res+60070
339.  
340. FOLLOWUP_NAME:  MachineOwner
341.  
342. MODULE_NAME: xpsp2res
343.  
344. IMAGE_NAME:  xpsp2res.dll
345.  
346. DEBUG_FLR_IMAGE_TIMESTAMP:  4802454c
347.  
348. STACK_COMMAND:  dds 17c9308 ; kb
349.  
350. FAILURE_BUCKET_ID:  SOFTWARE_NX_FAULT_c0000005_xpsp2res.dll!Unknown
351.  
352. BUCKET_ID:  APPLICATION_FAULT_SOFTWARE_NX_FAULT_BAD_INSTRUCTION_PTR_STACK_CORRUPTION_STACK_CORRUPTION_BAD_IP_xpsp2res+60070
353.  
354. Followup: MachineOwner
355. ---------
356.  
357. 0:020> lmvm xpsp2res
358. start    end        module name
359. 00630000 008fd000   xpsp2res   (no symbols)          
360.     Loaded symbol image file: xpsp2res.dll
361.     Mapped memory image file: C:\WINDOWS\system32\xpsp2res.dll
362.     Image path: C:\WINDOWS\system32\xpsp2res.dll
363.     Image name: xpsp2res.dll
364.     Timestamp:        Mon Apr 14 01:39:24 2008 (4802454C)
365.     CheckSum:         002CCBE6
366.     ImageSize:        002CD000
367.     File version:     5.1.2600.5512
368.     Product version:  5.1.2600.5512
369.     File flags:       0 (Mask 3F)
370.     File OS:          40004 NT Win32
371.     File type:        2.0 Dll
372.     File date:        00000000.00000000
373.     Translations:     0419.04b0
374.     CompanyName:      Корпорация Майкрософт
375.     ProductName:      Операционная система Microsoft® Windows®
376.     InternalName:     xpsp2res.dll
377.     OriginalFilename: xpsp2res.dll
378.     ProductVersion:   5.1.2600.5512
379.     FileVersion:      5.1.2600.5512 (xpsp.080413-2113)
380.     FileDescription:  Сообщения пакета обновления 2
381.     LegalCopyright:   © Корпорация Майкрософт (Microsoft Corp.) Все права защищены.

В архиве дамп

http://ifolder.ru/18827036

 

Была такая трабла на работе, решилось установкой какой-то заплатки. Ужо не помню. Можно порекомендовать надыбать в инете набор критических заплаток и накатить. Авось пможет))

 

Всегда вылезала такая пока не поставил файрвол, а у Microsoft есть заплатка.

 

У тебя в сети (или сети провайдера) завёлся засранец, который пытается уязвимость в SAMBA использовать.
Установи заплаты:
KB958644
KB957097
KB958687
И проверься вот этим: http://support.kaspersky.ru/downloads/utils/kk.zip
Подробности тут: http://support.kaspersky.ru/faq/?qid=208636215

 

лучше это (кк у меня не полностью вычищал конфикера)
http://us.mcafee.com/virusInfo/default.asp?id=stinger
и перед проверкой отрубить сетку, выгрузить побольше прог. и так и перегрузить с отрубленной сеткой.

свцхост роняют многие трои.

на непочищенный комп бестолку ставить заплатки.

 

На компе вполне может ничего и не быть, просто атака по сети.
И даже на заражённый заплаты нормально ставятся.
А вычистить и при помощи CureIt! можно, он Kido (Conficker) тоже палит.

 

cppasm
мое дело сказать. ваше право не поверить. кста, он еще ряд троев отловил, которые другие пропускали. включая нод и куреит.

может быть. но береженого бог бережет, как считаете?
кстати, это можно проверить. тот же вайршарк покажет кто и кого и как сеткой мучит.
если на диалапе/мобиле, то можно пару раз переподключиться. если ничего не меняется, то трой у вас. причем кривой. ловите это позорище и смело сливайте тельце антивирусникам. ату бракоделов.