Просмотр полной версии : Чрезмерная активность svchost.exe
Че-то сия служба проявляет повышенную активность, ломясь на всякие левые сайты и производя по 10-20 запросов в секунду. Например:
SVCHOST.EXE TCP local:192.168.0.11 4393 nelleke249.startee.startpda.hyves.net HTTP 3927 байт/с 304 байт 49,3 Кб Generic Host Process HTTP connection ИСХ 15: 50: 23 12 сек. scroese.hyves.verhyving10.hyves.net
SVCHOST.EXE TCP local:192.168.0.11 4887 karinpeeman.hyves.verhyving10.hyves.net HTTP 1469 байт/с 293 байт 12,0 Кб Generic Host Process HTTP connection ИСХ 15:54:23 08 сек. antoine47.slpiero.startpda.hyves.netЧто это может быть? Антивирь и антиспай запускал. Ничего не нашел :52: Я, конечно, могу закрыть ей доступ по хттп, но как быть с обновлениями?..
вирус, причем так и называецо, SVCHOST.EXE
у тебя что за антивирь?
RR_Tihon
08-12-2007, 20:52
вирус, причем так и называецо, SVCHOST.EXE
у тебя что за антивирь?
хм....он собой заменяет виндовый SVCHOST.EXE или что ? :52:
RR_Vinni
08-12-2007, 21:18
Значит так. svchost.exe - виндовая служба, обрабатывающая 32-битные ДЛЛ-ки и некоторые службы. Сама по себе безвредна и должна работать в нескольких экземплярах, НО!
1. Иногда черви и трояны лезут под этим именем из несистемного каталога. Выход - убить все svchost.exe вне %windir%/system32/, ну и антивирем и антиспайварем еще раз покататься.
2. Командой tasklist /svc можно глянуть все процессы, которые пользуются вышеозначенным svchost.exe, если так какие-то неизвестные гуглу - значит вирь, опять катаемся антивирем и антиспайварем.
Виня, ты меня нубом считаешь? :) Естественно, это нормальный свцхост из сиситем32. Я даже знаю, что это за служба: Запуск серверных процессов DCOM (C:\WINDOWS\system32\svchost.exe -k DcomLaunch). Антивирь НОД32. Левых служб в таске нету. Убиение этой службы делает невозможным запуск некоторых других. Но почему она лезет на левые сайты - мая не понимать.
RR_Vinni
08-12-2007, 22:37
:) Тогда какие вопросы. Явный вирь ИМХО, фигли его нод не видит - не ко мне :)
Ну как это может быть вирь, если это служба виндовая. Более того, я в консоли восстановления скопировал нужные файлы с СД заново... Может, это какая другая прога через хост делает? Тогда как узнать, какой он вызывается?
RR_Vinni
09-12-2007, 01:10
Этого уже не знаю....
Ну дык там и смотрел, что процесс с PID 440 вызывает сетевую активность. Это служба DcomLaunch. Вырубить ее нельзя.
о, вспомнил, а обновления на винде все последние? если нет, попробуй обновиццо автобновлением.
Да, вроде последние. Или почти последние, потому как я хттп открыл тока на микрософт, но может не везде...
RR_Flash
12-12-2007, 10:51
Видел как-то на одном компе такое. НОД не видел, а Каспер 6 выловил троянчега. Базы были актуальные. Сделал выводы, снес НОД :)
А я все равно Симантек не поменяю на каспера. Ну его...
RR_LeeHarveOsvald
12-12-2007, 17:42
Нормальный лицензионный КАВ очень даже рулит, особенно в офисе с доменом и Админ Китом. Денег стоит конечно, но зато шанс поймать якусь гадость стремятся к нулю.
KAV уже поборол свою "тормознутость"?
Нет, КАВ оттого и тормознутый, что не делает вид, а действительно работает :)
Вычислил, что первоначально запрос идет на сайт firsttrue.hk, а затем уже начинается вся эта кутерьма. По гуглу пробить сей адрес не получаецо... На сайте Касперского тож ничего не известно. Щас буду запускать сканер...
На счет тормознутости, ток это реально было до 5й версии каспера, у меня щас стоит шестая, так я и не замеаю, что она включена... т.е. абсолютно комп не тупит.. и тем не менее, я абсолютно спокоен на предмет вирусов.. единственное не ленюсь раза 3 в неделю нажать на обновить..
RR_Mirage
12-12-2007, 23:38
Что-то высокочтимые СэРРы заставили меня задуматься... На предмет Каспера...
Убил 6 часов, просканил харды КАВом (НОДом сканилось около 2х часов). Из 1,65млн объектов тока один троян в экселевском файле, который я на новой системе не открывал. НОД его не видел. Также НОД не увидел спайварей в хтмлах одного скачанного сайта. Но зато НОД увидел троян в дистрибе Линейки...
А svchost все долбит и долбит на firsttrue.hk... Разумеется, доступ я ему туда закрыл, но откуда это лезет - не понятно.
ЗЫ Идеального антивиря не существует...
RR_SteelRat
13-12-2007, 04:23
А чё Каспер уже свиньёй не верещит?....
Не люблю когда ворд предлагает сделать сайт, а антивирус - записать диски с музыкой.... остался верен НОДу
Видел как-то на одном компе такое. НОД не видел, а Каспер 6 выловил троянчега. Базы были актуальные. Сделал выводы, снес НОД :)
видел картинку с точностью до наоборот :)
зы У нас в сетке очень много народу страдало от этого svchost. Раньше проблема решалась просто, обновляешь НОД и все ок. Но де-то раз в месяц появлялось новое версия svchost-а которая не определялась НОДом. Потом выходили очередные базы обновления и опять все было ОК.
ззы: у мну было похожее проблема, антивирус ниче не находил, а была постоянная активность. тока у мну в сеть ломился ctfmon.exe Перепробовал все что мог, спасся переустановкой :) После переустановки решил дать винде обновиццо. Она накачала туеву хучу обновлений. После этого никаких залетов не наблюдаеццо. Тьху 3 раза %)
Вчера скачались какие-то обновления... Будем посмотреть.
RR_Mirage
13-12-2007, 23:10
А как вы винду обновляете, интересно... Или у всех лицензио?
Типа корпоративная лицуха :)
Кстати, поиск в реестре по слову firsttrue.hk ничего не дал, поиск в файлах - тоже... Где эта зараза сидит??? Обновления вчера поставил - все равно долбит гнида...
у меня пиратка обновляеца без проблем, даже ие7 и медиаплеер 11 ) ус тановил файлик скачанный с локалки и теперь могу обновляцца прямо с сайта майкрософт, виндоус определяется как подлинная
Тоже какая то хрень твориться с компом. Хреначит и входящий трафик и пипец как хреначит исходящий. Вот за 10 мин. сколько.
открыл 15-20 страниц и Qip. всё.
Антивирь Нод, обновляется каждый день. Трафик идёт а Аутпост его не видит?????
ну аутпост ниче не видит потому что ты палюбому запихнул чета в довереные приложения. вот одно из довереных и ломицца кудата
Трафик доверенных приложений Аутпост фиксирует, и в журнале он отображается.
Судя по картинкам - отображается не все. Покопайся в настройках журнала, фильтры глянь.
Блин я тупой в этом :( вот фильтры
Короче, ты особо не переживай. Не трогай пока эти фильтры. Во первых аутпост все равно не умеет показывать итоговую статистику по трафику в нормальном виде. Во вторых, в окне состояния сетевого подключения тоже не совсем правда (http://support.microsoft.com/kb/296669/ru). У меня например байты не отображает - только пакеты. Байты я смотрю в консоли нетстатом (netstat -e) или в Jetico (есть такой нубский фаер). В итоге - цифры по входящим/исходящим везде немного разные, но с учетом погрешности их можно считать одинаковыми :D Короче, помониторь нормально трафик спецсофтиной какой-нить для начала :D
А в сетевой активности чего?
Победил вирусы. Установил Др.Вэб, в безопасном он 15 вирусов нашел :52::206: и Ил стал загружаться не 1,5 минуты а секунд 15-20 :D
Хм... А попробую-ка я тоже эту хрень поставить :)
Кину сюда, чтобы не потерялось. Дополнительная инфа тут: http://support.microsoft.com/kb/962007.
Conficker Worm
Saturday 24 January 2009 By NeutronIC [Matthew Peddlesden]
Abstract:
Having just experienced this delight of modern software engineering (cue much gnashing of teeth) I thought i'd pass on some notes for everyone here.
Note: None of this replaces anything your virus checker can and should be doing. Please make sure your Anti Virus software is up to date AND running.
We use Sophos Enterprise at work and have found that while it happily flashes up "hey you're infected" it actually does nothing about preventing OR removing it.
Please take this seriously, there are around 9 MILLION machines infected with this worm, world wide and it is by far the most prolific worm ever (the next most prolific was Storm, which only got to a paltry 1 million hosts).
Before we continue, if you run a network and you find any of your machines have got the worm then I strongly advise you immediately unplug and isolate every machine, either as I did by simply unplugging the switches/hubs OR if that's not viable, then just unplug every machine from the network - you will NOT be able to keep up with it replicating around your network re-infecting machines.
The Conficker worm can be detected very easily, click Start and then Run, then type “cmd” and press enter. This will start a command prompt window.
DETECTION:
From the command prompt window, type:
cd windowssystem32
dir /arsh
(*note the direction of slashes is important*)
You will probably get one entry called “dllcache”, this is fine. You should either get nothing else, OR one other entry which looks like a seemingly random collection of letters and is a DLL file.
If you do have a randomly named DLL file (e.g. bofhsd.dll) showing up with the above query then you DO have the worm/virus and should immediately remove the computer from your network.
To clean the virus:
Step 1: Stop it from running
Open task manager, click processes, find all the “svchost.exe” processes. One of them will be much bigger than the rest, usually it’s using about 25-30 megabytes of ram, but some times it’s less – it is however usually the biggest. Next, open a command prompt and type (but do NOT press enter) “shutdown –a”, this is useful if you shut the wrong svchost down as it will prevent the machine from rebooting. Now end-task the biggest svchost. If it says “machine shutting down in 30 seconds” – immediately press enter on the shutdown –a command and this will abort the shutdown sequence. When you find the correct one, it does NOT cause this message. Once it’s shut down you will be able to delete the DLL file.
Step 2: Remove the Worm
Please be very careful with this step if you're not familiar with explorer, deleting or moving the wrong files can render your machine unbootable.
Open Windows Explorer, navigate to C:windowssystem32. Click tools / folder options, then select the view tab. Tick “Show Hidden Files or Folders”. Untick “Hide Protected Operating System Files” and accept the warning. Now refresh the view of C:windowssystem32 and find the DLL file that you identified in the detection steps above.
Right click on the dll file and select properties. Select the Security tab. Select the “Everyone” user and then see what options are available – if the boxes below are available for selection, tick them all. If not, click advanced, select the ownership tab, highlight your user account and press “apply”, this will take ownership of the file. Press OK to come out, then go back to properties/security and you should find the boxes now available for selection. Tick them all and press ok.
You should now be able to simply DELETE the dll file. If you cannot, because it says “access denied”, this likely means that the correct svchost has not yet been stopped so you will need to go back to Step 1.
REBOOT THE MACHINE.
When it comes back up, repeat the detection steps and verify that the DLL is still not present.
If all seems ok, update your A/V again and then run a full system scan.
NOTE:
You should ensure that you have KB958644 update on your system (add/remove programs, tick the "show updates" box and scroll towards the bottom) - if you don't then do a windows update urgently.
Unfortunately while this bolts some of the doors shut, it doesn't prevent it running rampant around a network.
For those who run a network, you can help yourself a lot by making sure that nobody logs in with the administrator account, nobody has the same administrator password and nobody logs in with Domain Administrator privileges.
If you have been infected, you should also check ALL your usb keys. If you find an AUTORUN.INF file of about 58kb then the key is infected and if you have autorun still enabled on your machine then chances are good that your PC just got infected again too. REMOVE the autorun.inf file, and re-clean your machine.
DISABLE autorun:
http://features.engadget.com/2004/06/29/how-to-tuesday-disable-autorun-on-windows/
Disabling autorun will mean that inserting CD's or USB drives will no longer pop up nice menus and things, but it will also prevent things like Conficker from re-installing themselves on to your computer.
Hope this helps someone!
ПыСы Чуть не забыл - microsoft казлы
RR_Kraft
25-02-2009, 15:50
Многа букав. не асилил. Что там?
RR_Tihon
25-02-2009, 16:51
про негодяйский червяк...:( у мну Нод ругается, что файлики модифицированы этим Конфикером, а что делать хз. Ничего не находит. ДокторВеб вообще ничего не видит.
Боз спасибо.
бля, а вдруг у мене тоже червяк?
как я боюся этих гистов. пипец
RR_Tihon
25-02-2009, 17:37
у меня вродь все нормально работает, тест из портянки мелкософта проходит, заплатки стоят, но антивирь задолбал предупреждениями своими :) наверно нужно прибить антивирь
У меня антивирь не может отследить dll-ку (пока его лицом в нее не ткнешь, предварительно сняв один из svchost'ов в процессах), сам svchost абсолютно легитный - но ломится в инет по TCP как угорелый (около 200 одновременных сеансов на разные хосты). Весь трафик практически забивается одним svchost'ом. Заплатки все стоят, но червяк пашыд, в перерывах между сеансами заражая все усбовые носители.
Дллку нашел по рецепту:
cd windows\system32
dir /arsh
ПыСы Я бы сюда не постил, но инфа за 2009-год и эта шняга у нас уже ходит по сети и по флешкам.
Conficker - в режиме ожидания (http://www.vesti.ru/doc.html?id=270761&cid=160)
ничё не понимаю чё вы написали, но svchost замучал требованием выхода в инет. Обрубает всё Аутпост.
Как с этой бякой бицца?
Выкинуть комп на мусорку и купить новый :D
По Conficker:
Основная инфа (http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker) - есть немного для диагностики и удаления Сonficker.
Онлайн тест (http://iv.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/) на Conficker.B/C и более поздних версий - (если конечно есть сомнения в том, что собственный антивирь не справляется. Хотя есть подозрения, что при работающем фаере тест не работает. Успешный тест см. кортинку).
Основные симптомы: Conficker.A/B ежедневно проверяют около 250-ти доменных имен (т.е. это количество исходящих соединений от svchost), Conficker.C - 50000 доменных имен.
Оперативку чистить этим (http://iv.cs.uni-bonn.de/uploads/media/conficker_mem_killer.exe)
Детектор (http://iv.cs.uni-bonn.de/uploads/media/regnfile_01.exe) - детектит длл-ку только для Conficker.B/C (ранняя версия сканера).
Тулза для скана и вакцинации Nonficker (http://iv.cs.uni-bonn.de/uploads/media/nonficker_01.zip), которая предотвращает старт версий A/B/C и возможно D.
Червяк юзает уязвимость, так что заглядываем сюда (http://support.microsoft.com/kb/958644), внематочно читаем, проникаемся и латаем дырку с помощью ms update (обновления за октябрь 2008-го).
ПыСы Все известные антивири с апдейтом вирусной базы за март-апрель сего года по всеобщим заверениям должны детектить активность червя в памяти и сканить его длл-ку без проблем (для всех известных на сегодняшний день версий ).
skip
спс за развернутую инфу
ЗЫ а у меня другая картинко
спс за развернутую инфу
ЗЫ а у меня другая картинко
+1
дякую Жорег. Винда апдейтится регулярно поэтому видать миновала меня чаша сия. Но пригодицца.
http://www.kaspersky.ru/news?id=207732945
Velvel704
13-12-2010, 13:36
Похоже наши компы Зомби, и какаента сволочь тупо делает с ними все что хочет)))
Velvel704
13-12-2010, 15:21
или http://www.filecheck.ru/process/svchost.exe.html
vBulletin® v3.8.12 by vBS, Copyright ©2000-2024, Jelsoft Enterprises Ltd. Перевод: zCarot