svchost разбушевался. Что делать то!

[suvorov]

Жил 100 лет с 98 и дайлапом. Теперь перешел на локалку(идиот, не жилось спокойно) и по требованию провайдера перешел на ХР.

----------- Кошмааааааааааааррррррррррр!!!!!!!!

svhost (или кто-то за ним -я плохо понимаю) с безумной интенсивностью с кем-то там общается за моей спиной

По 200 пакетов в минуту уходит и приходит! Системный файрволл ничего не делает!!!

Установил ZoneAlarm. Запретил svhost-y общаться -браузеры перестали работать!!!

А пакеты все равно приходят и уходят!!! (хотя и не так интенсивно)

Поиск по Google дал форум где пишут что svhost это системный шпиен. И что дальше?

Вопрос: ЧТО СО ВСЕМ ЭТИМ ДЕЛАТЬ ?

NB: И почему этой темы нет в "важном". Я лично знаю троих новичков которые тоже от всего этого тащатся и не знают что делать.

Спасиба. Сувор

[ser208]

Это зараза. Антивирусы у тебя есть?

ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

Скачай и проверься.

Тема в важных вот http://www.softboard.ru/index.php?showtopi...047&st=1280

З.Ы. Не, ну интересно, люди сидят под дырявейшей 98 и чувствуют себя спокойно :D

Изменено 6 апреля, 2007 пользователем ser208

[Saule]

Подробно о SVCHOST.EXE

[NickGolovko]

Жил 100 лет с 98 и дайлапом. Теперь перешел на локалку(идиот, не жилось спокойно) и по требованию провайдера перешел на ХР.

----------- Кошмааааааааааааррррррррррр!!!!!!!!

svhost (или кто-то за ним -я плохо понимаю) с безумной интенсивностью с кем-то там общается за моей спиной

По 200 пакетов в минуту уходит и приходит! Системный файрволл ничего не делает!!!

Установил ZoneAlarm. Запретил svhost-y общаться -браузеры перестали работать!!!

А пакеты все равно приходят и уходят!!! (хотя и не так интенсивно)

Поиск по Google дал форум где пишут что svhost это системный шпиен. И что дальше?

Вопрос: ЧТО СО ВСЕМ ЭТИМ ДЕЛАТЬ ?

NB: И почему этой темы нет в "важном". Я лично знаю троих новичков которые тоже от всего этого тащатся и не знают что делать.

Спасиба. Сувор

svhost или svchost?

[suvorov]

Nick-y - Sorry, svchost!

Что до 98 - На 98 я этих вирей на раз ловил -как кто лезет в сеть, сразу цап и к ногтю. А тут и непонятно кто лезет и непонятно что делать!

И непонятно зачем так интенсивно! Я в принципе не против троянов -пусть шпиенят. Но тут же он просто работать не дает! В отдельные моменты подминает под себя весь процессор! Нафига!!! Что он там передает-то!

Всем спасибо.Сувор

[ser208]

Nick-y - Sorry, svchost!

Повнимательнее надо быть, гражданин..

[NickGolovko]

2 suvorov: svchost... скачивает обновления для вашей системы. Отсюда и трафик. С позволения модераторов дам ссылку: http://security-advisory.newmail.ru. После выполнения этих рекомендаций svchost у вас вообще никуда соваться не будет.

[suvorov]

Nik-y - Спасибо, скачал, посмотрю. Но все же задам еще пару вопросов в тему, рожденных жизнью

МММММДАММММСССССС....

1. Начитамшись полез сканироваться. Выбор пал на Panda ActiveScan (онлайновый).

Сначала он (или она!) отказалась грузиться через мою Opera 9.10 ! Типа что мол обновите свой браузер! Ладно

перешел на IE. Потом она полчаса загружалась ни о чем меня не информируя!! Типа не чем ей со мной разговаривать!

Ладно, проехали.

Потом она 50 минут работала, прокачала 140 тысяч файлов, нашла два десятка "шпионских пограмм", и запросила 13 баксов за то

чтобы их удалить!!!

"Шпионские программы" на поверку оказались какими-то древними куки! Короче - ЛОХОТРОН полнейший!!!

Откуда ВОПРОС РЕБРОМ №1- ВСЕ СКАНЕРЫ -ЛОХОТРОНЫ! Или я не прав !?

2. Теперь ближе к телу. Запускаются (или загружаются !?) у меня пять svchost-ов. У двух из них пользователь

Network Service, двух- System, и у одного Local Service (система - WinXP Pro SP2). Экзек у них один,

сидит в System32, буковки все правильные. Запускаются через Sy-SMSS-WINLOGON-SERVICES-. Короче -все как надо.

Похоже что в сеть лезут только те кто Network Service. А файрволл (Zone Alarm) их похоже не различает.

Теперь я выяснил, что один из них можно погасить без видимых последствий. А второй нельзя -система сразу снимается.

И если первый погасить то интенсивность обмена резко снижается -пакетов 60 отсылается при вызове соединения

и на этом останавливается

(если конечно ничего не делать). Отсюда мысль, что второй действительно обеспечивает соединение,

а первый -гад ползучий. Или кто-то кто на нем хостится.

Отсюда ВОПРОС РЕБРОМ №2 -Сколько и каких этих свхвостов должно быть в норме на WinXP Pro SP-2 ?

3. И последнее. Of course, I'm very sorry, но все же этот ХР меня как-то напрягает!!!

DVD player после переустановки не тянет ни к черту, с Nero проблемсы ...

Отсюда ВОПРОС РЕБРОМ №3 -А могу я запустить Win98 !? То есть без переустановки. При запуске как-то перехватить ХР!

Вообще ХР через DOS запускается или как? Autoexec.bat она зачем то уничтожила....

Cпасибо.Сувор.

Да, прицепляю лог hijackthis на всяк случай. Гляньте кто понимает пожалста.

Logfile of HijackThis v1.99.1

Scan saved at 9:51:32, on 06.04.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINXP\System32\smss.exe

C:\WINXP\system32\winlogon.exe

C:\WINXP\system32\services.exe

C:\WINXP\system32\lsass.exe

C:\WINXP\system32\svchost.exe

C:\WINXP\System32\svchost.exe

C:\WINXP\Explorer.EXE

C:\WINXP\system32\spoolsv.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINXP\system32\ctfmon.exe

C:\WINXP\system32\ZONELABS\vsmon.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O3 - Toolbar: XTRANS - {DBBABB93-DDBC-48CA-B6BE-7F85E50D8FC7} - C:\Program Files\X-Translator PLATINUM\PRMTET\PrmtETru.dll

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Run Context - C:\Program Files\Informatic\Context 6.0\cnie5.htm

O9 - Extra button: Run Context - {26231800-6CE9-43d8-9357-5B4DC8CF4561} - C:\Program Files\Informatic\Context 6.0\cnie5.htm

O9 - Extra 'Tools' menuitem: Run Context - {26231800-6CE9-43d8-9357-5B4DC8CF4561} - C:\Program Files\Informatic\Context 6.0\cnie5.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{45379BC2-0AFE-40D6-B75B-8F790A57E285}: NameServer = 87.249.42.2

O17 - HKLM\System\CS1\Services\Tcpip\..\{45379BC2-0AFE-40D6-B75B-8F790A57E285}: NameServer = 87.249.42.2

O17 - HKLM\System\CS2\Services\Tcpip\..\{45379BC2-0AFE-40D6-B75B-8F790A57E285}: NameServer = 87.249.42.2

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINXP\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINXP\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINXP\system32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINXP\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINXP\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINXP\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINXP\system32\smlogsvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINXP\system32\ZONELABS\vsmon.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINXP\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINXP\system32\wbem\wmiapsrv.exe

[Олег А]

если он на самом деле svchost.exe и сидит в C:\WINXP\system32\ - то это не гад а нормальный файл... дело в том, что он является как бы "транспортом" для работы других программ... в свеже установленной Винде их запускается толь 5, толь 6, после отключения всяческих излишних служб у меня остается 4... все их файерами закрыть нельзя - НЕТ работать не будет, по крайней мере IE точно...

Так что у тебя или автоматические объновления качаются, или гдето какаято гадость сидит - скорее всего под совершенно другим именем, т.е. пользуй антивири... поотключай ненужные службы и проверь автозапуск, лучше через реестр...

3) если ты при установке форматнул винты в нтфс - то никакого 98....

перехватить ХР ты никак не сможешь... если только ставить параллельно и выбирать систему при запуске компа....

Изменено 10 апреля, 2007 пользователем Олег А

[NickGolovko]

Nik-y - Спасибо, скачал, посмотрю. Но все же задам еще пару вопросов в тему, рожденных жизнью

1. Не все сканеры лохотроны. Просто есть антивирусы, делающие себе пиар на поиске вирусов в куках - и Panda из их числа.

2. Никакой брандмауэр не может различить службы svchost, так как это один и тот же исполняемый файл. Выполнив рекомендации книги, вы избавитесь от проблем с этим файлом.

3. После 98 работать с XP сложнее - но вы не сдавайтесь. Привыкайте. Вам понравится.

[suvorov]

Олегу А -специально я ничего не форматировал и 98 у меня где стоял там и стоит (ХР я поставил в другую папку). И я точно читал что можно пользовать ХР и 98 параллельно. Только не знаю как!

По поводу же вирусятины накопал следующее:

Посмотрел я в реестре и через CMD кто хостится на энтих свхвостах.

Увидел следующее (см.ниже). Вопросов -лимон!

0--Почему запущено только пять свхвостов если в реестре прописано восемь ?

1--Почему ДиспетчрЗадач отсылает двух свхвостов к NetworkService тогда как в реестре есть NetworkService и netsvc ?

2--Откуда в запущенных взялся helpsvc которого нет в реестре ?

3--Почему в запущенных некоторые заглавные буквы сохранены а некоторые опущены ?

4--Вычитал в "Важно знать" что Browser, dmserver, Messenger (кстати куда он делся в запущенных) это вирусы. Это так!?

И что с ними делать ? Достаточно просто убрать из реестра?

РЕЕСТР (HKLM>SW>MS>WNT>Svchost)

DcomLaunch DcomLaunch TermServuce

HTTPFilter HTTPFilter

imgsvc StiSvc

LocalService Alerter WebClient LmHosts RemoveRegistry upnphost SSDPSRV

netsvcs 6to4 AppMgmt AudioSrv Browser CryptSvc DMServer DHCP ERSvc EventSystem FastUserSwitchingCompatibility HidServ Ias

Iprip Irmon LanmanServer LanmanWorkstation Messenger Netman Nla Ntmssvс NWCWor....

NetworkService DnsCache

rpcss RpcSs

termsvcs TermService

ЧЕРЕЗ CMD

svchost DcomLaunch TermServuce

svchost RpcSs

svchost 6to4 AudioSrv Browser CryptSvc Dhcp dmserver ERSvc EventSystem FastUserSwitchingCompatibility helpsvc

lanmanServer lanmanWorkstation Netman Nla RasMan Schedule seclogon SENS SharedAccess ShellHWDetection

srservice TapiSrv Themes TrkWks W32Time winmgmt wscsvc wuauserv WZCSVC

svchost DnsCache

svchost LmHosts RemoveRegistry SSDPSRV WebClient

[Saule]

0--Почему запущено только пять свхвостов если в реестре прописано восемь ?

Потому что службы: HTTP SSL, Windows Image Acquisition (WIA) и Terminal Services у вас не были запущены на тот момент, когда вы смотрели кол-во svchost.exe. Запустите хотябы одну из этих служб и кол-во svchost.exe увеличится.

HTTP SSL, Windows Image Acquisition (WIA) и Terminal Services - это соответственно следующие 3 группы, зарегистрированные в реестре:

HTTPFilter

imgsvc

termsvcs

1--Почему ДиспетчрЗадач отсылает двух свхвостов к NetworkService тогда как в реестре есть NetworkService и netsvc ?

Потому что в Диспетчере Задач речь идет не о назначении той или иной службы, а об учетных записях, которые используются службами для входа в систему.

System

- учетная запись, имеющая полный доступ к системе.

Network Service

- встроенная учетная запись, имеющая ограниченный доступ к объектам системы (такой же, как и у членов группы "Пользователи") + доступ к сетевым ресурсам с использованием учетных данных учетной записи компьютера.

Local Service

- встроенная учетная запись, имеющая ограниченный доступ к объектам системы (такой же, как и у членов группы "Пользователи") + доступ к сетевым ресурсам как нулевой сеанс без учетных данных.

4--Вычитал в "Важно знать" что Browser, dmserver, Messenger (кстати куда он делся в запущенных) это вирусы. Это так!?

И что с ними делать ? Достаточно просто убрать из реестра?

Да, это свидетельствует о наличие в системе вируса, в том случае, если запуск происходит с параметрами:

Messenger: C:\WINDOWS\System32\

svchost.exe -k Messenger

Browser: C:\WINDOWS\System32\

svchost.exe -k Browser

dmserver: C:\WINDOWS\System32\

svchost.exe -k

А не:

Messenger: C:\WINDOWS\System32\

svchost.exe -k netsvcs

Browser: C:\WINDOWS\System32\

svchost.exe -k netsvcs

dmserver: C:\WINDOWS\System32\

svchost.exe -k netsvcs

Удаления записей из реестра, к сожалению, не достаточно. В первую очередь убить нужно файлы вируса (.dll + .sys).

Сомневаюсь, что это ваш случай.

[ser208]

В тему:

Посмотреть НАГЛЯДНО, что делает та или иная служба svchost можно с помощью Process Explorer XP.

Изменено 11 апреля, 2007 пользователем ser208

[Saule]

Посмотреть НАГЛЯДНО, что делает та или иная служба svchost можно с помощью Process Explorer

Верно. А программа Autoruns, также наглядно показывает, какая именно dll-ка "рулит" той или иной службой:

[suvorov]

To Saule (by the way -what is it - "Saule" ?)

It's all very well, but from where can I know the parametres of the start of a service? Я умею смотреть :

ДиспетчерЗадач, tasklist, services, msconfig и regedit и там нигде параметры запуска не указаны!

Кстати -скачал Ваш SoftBoardJournal 05 -а ссылки-то из оглавления не работают! Обратите внимание!

To Ser208 -Thanks you

To NikGolovko-

Прочитал Вашу книгу. Понаотключал все. Но не могу сказать что вопросов не осталось!

Трафик при включении локалки остался -причем иногда туда-сюда пакетов по 10, а иногда -пакетов по 60!

Конечно может это и не шпиены вовсе, а какие-то добросовестные службы.

Но может и шпиены! В принципе вопрос остался. Хотя я наверно понял что он неразрешим.

Плюс к этому FTP и IRC клиенты не работают! То ли они в принципе через локалку не могут, то ли я чего лишнего отключил?

Плюс к этому наблюдаю какие-то подозрительные вещщи. -Сижу в сети на приличном сайте при включенном диспетчере и ничего не делаю.

Вдруг в приложениях появляется какой-то Privacy Info Dialog пару секунд висит и пропадает! Файрвол -ноль внимания. Что за зверь ? Кто его звал ?

А включил файрвол на полную мощь (Zone Alarm Pro-машина-зверь) -божеж ты мой, кто только кого не вызывает -ничего понять невозможно!

Короче -понял я что не могу контролировать эту систему даже в той мере, как W98 (хотя уже и она меня в этом плане изрядно раздражала)!

А что до сканирования, то наверно Вы конечно правы. Но уж больно это все как-то занудно для рядового юзера (ежели в профилактических целях).

В конце концов от червя профилактикой не убережешься, а ежели шпиен сидит -так и не черт ли с ним!

[Brox]

It's all very well, but from where can I know the parametres of the start of a service? Я умею смотреть :

ДиспетчерЗадач, tasklist, services, msconfig и regedit и там нигде параметры запуска не указаны!

В службах, services.msc, точно есть. Зайди в их свойства.

И в реестре есть. Только смотри в ключах служб, разумеется, а не в группах SVCHOST.EXE.

[suvorov]

Неее граждане -эта ХР просто ДУРДОМ!!! Большими Буквами!!!

Скачал рекомендованный Process Explorer (со скачиванием были проблемы -ну ладно, проехали)

Пытаюсь запустить -без распаковки не запускает !!! (98 прекрасно запускал без распаковки из темпа)

Пытаюсь распаковать -система безопасности блокирует распаковку!!!

Вишь ли в целях обеспечения моей безопасности!! Заботлдивая моя!!!

При этом дает ссылку на страницу как обойти распаковку. Но ссылка не работает! Поиск тоже!!

Все! Приехали! Отключил к черту весь центр обеспечения безопасности -все тоже самое!!!!

ДУРДОМ !!! Не хочу пальцы гнуть, в системе я лох, но все же член SIP и все такое.

Третью неделю ни черта понять не могу. Что же можно ждать от рядового юзера!!!

ДУРДОМ -не спорьте! Ответа не жду -просто крик души!!!

Brox-y -спасибо, посмотрю.

[Sanitar]

А кто может подсказать? Какое кол-во байт полученных и отправленных считается нормальным? У меня за 27мин. отправлено 1 013 604: получено 6 929 953 байт. При этом работает Маил ру агент, Аська, Аваст,ТОР, и Софтфорум.

[suvorov]

КАРАУЛ !! Не могу ничего распаковать. Система безопасности все блокирует!

Отключил все что мог -все равно блокирует. Запускал сегодня SpywareBlaster -

может это он чего намудрил !

[Тролль]

suvorov:

Вишь ли в целях обеспечения моей безопасности!! Заботлдивая моя!!!

Ты еще с Вистой не работал ;)

Откати систему к тем временам, когда полиции в ней еще было меньше, чем работников ;) . А намного лучше - переустанови и сделай образ программой Acronis TrueImage для будущих переустановок за несколько минут. Поставь XP-Antispy и отключи все лишнее типа службы сообщений и автоматического обновления (подсказки по каждому пункту в XP-Antispy появляются внизу окна программы). И, конечно, поставь антивирус и файерволл, хотя бы ту же ZoneAlarm. И отключай всех просящихся в сеть без особой на то надобности. Если увидишь, что, скажем, браузер перестал работать, разреши этому процессу выход в Internet. И живи спокойно.

Конечно, у XP есть тот недостаток, что она изначально рассчитана на легкий доступ в Интернет. Постепенно все Windows переходят к тому, чтобы быть терминалами Internet. Но пока что справиться с этим можно без особых издержек.

[suvorov]

Легко сказать откати или переустанови! Мне только что настроили локалку из-за чего я с этой ХР и связался!

Две недели из провайдера душу вытряхивал! И теперь все это полетит фанерой! Из-за какой-то придурочной

системы безопасности!! Да она сама хуже всякого вируса! Всеткиж как-то можно наверно ее отключить!

Окошко следующее..... чет, не знаю как картинку добавить! URL требует!

[Brox]

КАРАУЛ !! Не могу ничего распаковать. Система безопасности все блокирует!

Отключил все что мог -все равно блокирует.

В XP точно такого нет, всё из темпа запускается без проблем. Проверил у себя и на компе подружки, у неё система только установлена. Так что XP не при чем.

Наверное, сам чего-то там с настройками напортачил. Поотключал замного или наоборот.

Картинку сюда залей:

http://imageshack.us/index.php

URL там дадут.

[suvorov]

Brox-y Так понятно что сам! Точнее я грешу на SpywareBlaster (Saule рекомендовала!).

Но то что не могу разобраться и исправить - это уже заслуга ХР.

То есть мало что система безопасности свихнулась так еще втупую просто справка не работает!

Ser208- установил-таки ProcessExplorer (через внешний WinZip) -классная утилитка !!! Thank you once more! То что доктор прописал.

Однако возник еще вопрос. Мой файрволл показывает что кто-то долбится в мой комп и кто-то долбится ему навстречу (см.картинки)

Но почему-то не показывает кто именно (навстречу). Хотя если какая-то программа просится в сеть он ее называет.

Что бы это могло значить и как это понимать ? То есть я вижу что кто-то у меня сидит а кто не знаю!

Не я понимаю что можно сканировать. Ну а динамично -то никак не засечь гражданина ?

Спасиба Сувор

[Brox]

Brox-y Так понятно что сам! Точнее я грешу на SpywareBlaster (Saule рекомендовала!).

Картинок чего-то не видно. А на Saule не наезжай, она знает, чего рекомендует. Покажи сообщение от системы безопасности о том, что прогу нельзя запустить из темп папки или зип файла.

[ser208]

Но то что не могу разобраться и исправить - это уже заслуга ХР.

Ваще они там в Силиконовой долине... слепили муть какую-то. Даже член SIP (!?) не может разобраться.

Изменено 22 апреля, 2007 пользователем ser208