SaintVillaint Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Проблема такая. Есть Win2000Pro в ней McAfee Desktop Firewall, McAfee Antivirus, Net Activity Diagram. Компьютер качает настойчиво качает инфу (за 15 мин 150Мб входящий трафик, 70 Исходящий). Качает не постоянно, а запускается и останавлливается произвольно. Исходящий трафик smtp(25) сразу по нескольким десякам адресов. Видимо спам рассылает.   Увидев такую фишку, проверил все McAfee, ничего не нашел. Установил NAV Corporate Edition 10, этот нашел пару вирусов (Downloader и какой-то троян). Но как оказалось не они качали. Трафик идет от имени svchost. В диспетчере задач таких оказалось 5. В реестре в соответствующе ветке нашлось только 4 строчки. В момент передачи инфы в инет грузила процессор только один svchost.     1. файлов svchost кроме в папках system32 и dllcache нету. Эти оба фалйа одинаковые и совпадают с файлами на других машинах. 2. в автозагрузке не нашел svchost   Вычитал про утилиту tlist и ProcessExplorer. Утилитой нашел отличие в том, что напротив того svchost (который предположительно лезет в интернет) нет списка служб им запущенных, и в дереве процессов он расположен на уровень выше, чем остальные 4.   Теперь вот не знаю как определить что вирус и как онно запускается.   Подсажите куда дальше копать? Неинформативное название темы. Исправить. /evle/ Всего записей: 54 | Зарегистр. 15-06-2006 | Отправлено: 20:39 24-01-2007 | Исправлено: SaintVillaint, 21:16 24-01-2007

SaintVillaint Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Касперского скачаю, просканирую. А файл какой имелось в виду? Если svchost.exe, то он такой же как и на других машинах, врядли виноват сам файл.     Проблема то в том, как найти нужный файл... Всего записей: 54 | Зарегистр. 15-06-2006 | Отправлено: 23:11 24-01-2007

MetroidZ Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору У меня Outpost иногда спрашивает разрешение на доступ в сеть для svchost. При чем только если захожу через одного провайдера (dial-up). При этом подключившись через xDSL (у этого провайдера опасные порты заблокированы) такого не происходит. Скорее всего найдена новая дыра в XP SP2 через которую и идет управление через svchost. Обхожусь просто - игнорирую эти просьбы. Outpost, кстати, показывает IP по которым svchost хочет связаться.   Надо будет как нибудь скачать обновления на XP. Всего записей: 1795 | Зарегистр. 12-07-2003 | Отправлено: 00:00 25-01-2007 | Исправлено: MetroidZ, 00:02 25-01-2007

SaintVillaint Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору ясно. т.е. по существу никаких предложений как искать эту прогу нет? Остается мне видимо заблокировать фаерволом и ждать пока появится нужное мне обновление антивируса или win2000? Всего записей: 54 | Зарегистр. 15-06-2006 | Отправлено: 09:55 25-01-2007

MetroidZ Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: как искать эту прогу нет?   этой проги может и не быть. Вероятно это очередная найденная дыра и то самое зловещее - "выполнение произвольного кода". Однако в конкретно этом случае - может что то и осталось.   Я бы посканировал несколькими утилитами: Dr. Web Cureit! AVZ в безопасном режиме. Посмотрел бы характерные места в автозагрузке.   Outpost для svchost создает правила, если будет что то лишнее он бы спросил. Может и в McAfee Desktop Firewal такое возможно? IP внешний? Есть утилиты, которые могут увидеть кто цепляется к svchost. Всего записей: 1795 | Зарегистр. 12-07-2003 | Отправлено: 14:18 25-01-2007 | Исправлено: MetroidZ, 14:26 25-01-2007

bredonosec Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору SaintVillaint Цитата: Утилитой нашел отличие в том, что напротив того svchost (который предположительно лезет в интернет) нет списка служб им запущенных, и в дереве процессов он расположен на уровень выше, чем остальные 4.   вообще-то это системная служба, через которую многие другие лазят в инет. То есть, ей самой быть вирем не обязательно =))   копать для начала можно в сторону сканирования прочими антивирями (дабы не ставить на машину кучу мусора, предлагаю портабл версии),   а также, если есть возможность, проверить комп в пассивном режиме (когда зараженная ОСь не загружена) - то есть, или с Хирена под досом (если фат), или с РЕ загрузившись, или подрубив слейвом к другой машине. //просто вспомнил, что некоторые вири имеют механизм скрытия от служб выни, дабы их не нашли, а при таком случае - когда ОСь не загружена - они также, то есть, имеем больше шансов увидеть// Всего записей: 16307 | Зарегистр. 13-02-2003 | Отправлено: 03:06 26-01-2007

MetroidZ Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Кому то помог вот такой способ:   Цитата: Проблема, как наконец-то мне удалось установить, связана с недавно выявленной уязвимостью в системной службе 'Server' Windows XP. Поэтому необходимо проделать следующее: - нажмите комбинацию Microsoft+R (примечание: Microsoft - клавиша с изображением фирменного флажка Микрософта); - в командной строке наберите msconfig; - заходите в закладку 'Службы' и снимаете 'птички' со следующих служб: 'Сервер' и 'Рабочая станция' - перезагрузите компьютер; в появившем ся сообщении отметьте "птичкой" предложенную там опцию и нажмите ОК. Данное изменение в листинге служб никак не скажется на работоспособности Интернет-коннекта. Важно! Если Ваша машина с Windows XP SP1/SP2 работает в связке с др. машинами и несет роль сервера, то необходимо не отключать указанные службы, а скачать с сайта Микрософт и установить патч KB921883. link     https://www.microsoft.com/downloads/details.aspx?familyid=2996B9B6-03FF-4636-861A-46B3EAC7A305&displaylang=ru Всего записей: 1795 | Зарегистр. 12-07-2003 | Отправлено: 13:32 27-01-2007 | Исправлено: MetroidZ, 13:32 27-01-2007

SaintVillaint Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Спасибо. Каспер ставил, ад-аваре ничего не нашел ( Переустановил винду (( Всего записей: 54 | Зарегистр. 15-06-2006 | Отправлено: 00:08 29-01-2007

MetroidZ Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Переустановил винду ((   Отключение: 'Сервер' и 'Рабочая станция' или заплатка - KB921883 не помогли? Всего записей: 1795 | Зарегистр. 12-07-2003 | Отправлено: 00:16 29-01-2007

SaintVillaint Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору не успел попробовать... уже снес Да и финда у меня 2000 Всего записей: 54 | Зарегистр. 15-06-2006 | Отправлено: 16:26 30-01-2007

alexruvol Newbie Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: Проблема, как наконец-то мне удалось установить, связана с недавно выявленной уязвимостью в системной службе 'Server' Windows XP. Поэтому необходимо проделать следующее: - нажмите комбинацию Microsoft+R (примечание: Microsoft - клавиша с изображением фирменного флажка Микрософта); - в командной строке наберите msconfig; - заходите в закладку 'Службы' и снимаете 'птички' со следующих служб: 'Сервер' и 'Рабочая станция' - перезагрузите компьютер; в появившем ся сообщении отметьте "птичкой" предложенную там опцию и нажмите ОК. Данное изменение в листинге служб никак не скажется на работоспособности Интернет-коннекта. Важно! Если Ваша машина с Windows XP SP1/SP2 работает в связке с др. машинами и несет роль сервера, то необходимо не отключать указанные службы, а скачать с сайта Микрософт и установить патч KB921883.    Все равно у меня svchost лезет в нет. Outpost выдает адрес куда - au.download.windowsupdate.com это я понял обновление системы, хотя автообновление выключено И еще   "SVCHOST.EXE     UDP    localhost:loopback    1076    localhost:loopback    1076    Allow local UDP connection    ИСХ     29 байт    29 байт    13 байт/с    ---    1:43:03    04 сек."   это я не понял. Пытался блокировать все равно лезет через другие порты, Антивирусом все проверил ничего не нашел????????? При полной блокировке svchost инет вобще мертвым становиться. Уже достало, трафик жрет немерено. Люди плизззз подскажите че с ним делать Всего записей: 14 | Зарегистр. 07-01-2007 | Отправлено: 01:55 02-02-2007

bredonosec Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Outpost выдает адрес куда - au.download.windowsupdate.com это я понял обновление системы, хотя автообновление выключено   честно говоря, не уверен, что это автоапдейт, а не нечто левое. Глянь, чего об нем пишут. Для сравнения,     микрософт.ком Всего записей: 16307 | Зарегистр. 13-02-2003 | Отправлено: 02:33 02-02-2007

polonium210 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Звиняйте за ламерский вопрос, а если я выпишу запрет svchost.exe вообще на все попытки соединения с инетом, это не повредит? А то можно же в файерволе такое выбрать И еще, у меня туда же (то есть в инет0 все время лезет  какой-то Application Layer Gateway Service. Оно должно туда лазить, или тоже троянский конь какой?   Всего записей: 1356 | Зарегистр. 29-11-2006 | Отправлено: 02:42 02-02-2007

Cheery .:МордератоР:. Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору bredonosec Цитата: Глянь, чего об нем пишут .   куда ты смотришь? не нужно хуизить по ip адресу - ессно выдаст информацию о том, кто предоставляет хостинг, а не о доменном имени.   polonium210 Цитата: а если я выпишу запрет svchost.exe вообще на все попытки соединения с инетом, это не повредит? ты читаешь сообщения? Цитата: Отключил ненужные службы, запускаемые от svhost.exe и ...все! Больше ничего не ломится. Правда и подключения к и-нету нет   ---------- Away/DND Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 02:43 02-02-2007 | Исправлено: Cheery, 02:46 02-02-2007

bredonosec Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: куда ты смотришь?   не нужно хуизить по ip адресу - ессно выдаст информацию о том, кто предоставляет хостинг, а не о доменном имени.   whois.arin.net (-/-ripe.net), встроенная в стенку фича. //почему-то казалось, что уж микрософту-то хостинг кто-то навряд ли будет давать, скорее сами себя обслуживать будут...     а по доменному имени какой ресурс дает? Всего записей: 16307 | Зарегистр. 13-02-2003 | Отправлено: 03:27 02-02-2007

Cheery .:МордератоР:. Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору bredonosec Цитата: whois.arin.net (-/-ripe.net), встроенная в стенку фича.   которая смотрит по ip.   Цитата: а по доменному имени какой ресурс дает? в зависимости от географ. положения. для данного имени whois.register.com ---------- Away/DND Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 03:31 02-02-2007

Страницы: 1 2

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » svchost лезет в инет. Как его поймать и остановить?

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование