svhost.exe - как о нем забыть навсегда?

[Stason]

программа svhost.exe

эта зараза запускается каждый раз при запуска компа, причем ее нет в «автозагрузке», устанавливает «Global dialer” - программа- подключение к и-нету.

Иногда запускает модем и пытается набрать какой-то очень многозначный номер через 8-ку.

Иногда приводит к блокировке модема (набирает, по-моему, ноль и не отключается, пока не вырубишь модем.

самое большое зло (как я надеюсь) - запускается многократно параллельно (при нажатии ctrl-alt-del видно одновременно до 5-ти запущенных программ svchost) и кушает всю оперативку (каждая тянет 5--25 метров).

Что я пытался.

1 Деинсталировать Global dialer - пишет, что деинсталляция будет завершена after reboot, но после перезагрузки она опять целехонька.

2. Удалить все найденные «поиском» svhost ы - в конце концов удается удалить все, кроме c:\windows\system32\svchost. При попытках завершить выполнение программы в Диспетчере задач, комп выдает сообщение, что через скока-то сек будет перезагрузка. При этом уже ничего не удаляется. После перезагрузки опять появляется от 2-х и более svchost - ов и Global dialer, и остается старый c:\windows\system32\svchost. Со временем в списке подключений появляется и dialer.

Заманала эта фигня меня страшно. Если кто знает, как от нее избавиться - подскажите плиз.

Форматировать диск ой как не хочется, и не хочется инсталлировать Винды в новый каталог. Windows переустанавливать в тот же каталог не пытался, тк имхо эта зараза останется.

Да, я работаю в XP.

Кстати, не знаю, с этим связано, или с другим, но в и-эксплоэре по умолчанию все время ставится http://www.idsearch.com, что тоже достало порядочно.

-----------------------------

Дополню, что подхватил я эту заразу, наверное, с и-нета, сохранив или открыв по глупости файл на гадюшном сайте.

И каждый раз при входе в сеть, я получаю какие-то новые ярлычки на рабочем столе, не считая попыток открыть указанный выше адрес и тп.

---------------------------------

А Касперский ничего не видит, ни при сканировании, ни при мониторинге.

Изменено 2 января, 2004 пользователем Artur88

[aTeos]

Это очень системное приложение. Ты его никак не удалишь. А прога, которая звонит по модему - это на порносайтах такие впаривают

[RIK]

Svchost - системная прога. Так что нечего на неё гнать. :angry

Проверь комп на наличие троянов. : B)

[Stason]

А прога, которая звонит по модему - это на порносайтах такие впаривают

Дык я и не отказываюся - на порносайте и подхватил. Тем более, Вы сами это знаете, значит бывали.

А почему это "очень системное приложение" одновременно в 5-ти процессах отображается?

У меня гамы перестали идти, жалются на то, что памяти вдруг стало мало.

Раньше хватало, а тут вдруг мало!

И винт трещит как вертолет, когда записать чего или открыть надо.

Проверь комп на наличие троянов

Вот это уже по делу! Только как же проверить? Касперский нифига не обнаруживает, а версия не очень старая - 4.05.37.

Изменено 2 января, 2004 пользователем Artur88

[HCT v12.12.2012]

Stason пробуй...

Tauscan v1.6 от Agnitum (2Mb)

Trojan Remover v6.x.x (3Mb)

и т.п. и п.д. ;)

[Гость]

Stason

Ты упал удалять её??? Как? Это системная фишка... залезь в "Администрирование" -> "Сервисы"! Посмотри адреса исполняемых файлов, так практически все "C:\WINDOWS\System32\svchost.exe - бла-бла-бла" (поэтому там и пять процессов)...

Дык я и не отказываюся - на порносайте и подхватил. Тем более, Вы сами это знаете, значит бывали.

Они предлагают те установить приложение, ты отказываешься, а эти нехорошие люди всё равно устанавливают ЭТО те накомп... Обычно exe'шники лежат в C:\WINDOWS\System32\...

Вот это уже по делу! Только как же проверить? Касперский нифига не обнаруживает, а версия не очень старая - 4.05.37.

4.5 Pro + обновление - НАЙДЁТ... А не найдёт, юзай то, что сказал HCT v12.12.2012...

[Stason]

спасибо, попробую.

Я вообще профан в этих делах, так что сам бы не сообразил.

[Гость]

Stason

Будут проблемы - спрашивай...

[Миха Юрич]

А что именно делает эта svchost.exe? У меня таких 4 висит. Кушает много ресурсов. Я пытался завершить дерево процессов через диспетчера задач. Результат: оформление становится классическим, т.е. не XP`шным, а как в 98 винде - вот и всё. А что она на самом деле делает. Ведь если только поддержка стиля ХР, то это фигня и она не нужна.

[Stason]

<А что именно делает эта svchost.exe?

Я почему начал завершать ее в "диспетчере задач"?

Включаю модем и комп, хочу войти в инет, а модем заблокирован - винда пишет, что он занят другим приложением.

И на модеме три лампочки горят вместо двух.

Я методом исключения установил, что закрывая этот svchost.exe я освобождаю модем.

Так что как-то он связан с трояном, уж не знаю, как точно.

[Ray]

svchost.exe - Generic Host Process for Win32 Services. По-моему вполне понятное название. Грубо говоря, через этот svchost.exe запускаются и функционирут системные (и не очень) сервисы. (например, служба "Темы") Иногда его "услугами" пользуются и вредоносные программы. Неколько svchost.exe в списке процессов - это несколько служб. Так что бороться надо не с svchost.exe а с теми подлыми врагами, которые его используют для всяких нехороших дел. Можно еще почитать тут Кто не знает английского, я не виноват ;)

[Гость]

Заходи в "Администрирование" -> "Сервисы"... Там куча сервисов... Много из них работают, но не нужны... Ты поотключай те, которые не нужны, а те которые нужны, но не обязательно чтобы они загружались с самого начала работы мастдая поставь "Вручную" (они будут загружаться, когда понадобится им)... Вот и усё... Количество svchost.exe в процессах уменьшится... Следовательно количество ресурсов увеличится...

Проскань свой комп прогами для удаления троянов! Таких на Софтодроме до фига и больше...

Или попробуй ркчками удалить... Где обычно лежат подозрительные файлы, которые те всучили на порносайтах я сказал в предыдущем топике...

[**SHOCK**]

Эта программа несколько похожа по своему назначению на утилиту rundll.exe из Windows 9x, то есть с ее помощью запускаются различные системные сервисы, представленные в виде DLL-библиотек. Это, кстати говоря, видно и из ее названия, отображаемого в свойствах файла - "Generic Host Process for Win32 Services"

[Ray]

А вот тут читаем про rundll и rundll32.

[Voron]

Stason, не парься, ничего не пропало

Ситуация типична, все решаемо.

1 Выход в инет есть? Сразу сюда: http://housecall.trendmicro.com/housecall/.../start_corp.asp

в поле Please Select your Location: вводи Russia и GO :(

On-line прогоняем машину на предмет заразы. Аналогично можно тоже самое сделать на сайте Symantec: http://security.symantec.com/ssc/home.asp?...YNBRFNJSVSTIVVB

Выбираем Scan for viruses

Я бы предпочел работать с Trend Micro, ИМХО побыстрее.

2. Не помогло? По твоим признакам троян или шпион, тогда сюда:

http://ftp.pcworld.com/pub/new/privacy___s...curity/aaw6.exe

Качаем и ставим отличную прогу Ad-Aware6 по отлову этой нечести , прогоняем машину с ее помощью и делаем квадратные глаза, когда еще штук ...надцать всплывает того, что антивирь не ловит :(

Конкретно против троянов рекомендую TDS-3, качаем отсюда:

http://www.diamondcs.com.au/tds/downloads/...s/tds3setup.exe

3. Не помогло? Смотрим, что грузится с системой: пуск->выполнить->msconfig

Вкладка автозагрузка. Снимаем флажки с подозрительных элементов, и вообще, уточняем, откуда что грузится.

4. Не помогло? Идем в реестор (хотя без дела туда соваться не надо)

Смотрим что грузит машина в этих местах:

HKLM\Software\Microsoft\Windows\CurrentVersion, анализируем разделы

Run, RunOnce, RunOnceEx, RunServices, RunServicesOnce.

Далее сюда: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion, здесь также анализ Run и Runonce.

Для очистки совести смотрим HKLM\System\CurrentControlSet\Control\SessionManager параметр BootExecute

5. Не помогло? Посмотри, что лежит в C:\WINDOWS\System32\, правильно сказал Vip-Vano, дерьмо это чаще всего там оседает, не факт, что удалится, поэтому попробуй убить из-под DOSa.

6. Не помогло? Еще сюда: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\ Смотрим какй параметр присвоен Start Page

Удаляем или редактируем.

7. А точнее первое. С этого вообще-то следовало начать: http://v4.windowsupdate.microsoft.com/ru/default.asp

Банально, но это так. Поставь все критические обновления для системы и для ослика, особенно по безопасности.

Общая рекомендация на будущее: проблема безопасности решается комплексно, например антивирь+файрвол. Для того чтобы чуствовать себя относительно безопасно под ОС Windows 9X....Loghorn сразу после выхода критических обновлений, немедленно грузи их в систему.

Вобщем, все это азбука, и ничего нового я не сказал :)

Удачи!

[Stason]

Всем большое спасибо за участие.

HCT v12.12.2012у:

<Stason пробуй...

<Tauscan v1.6

Попробовал.

Скачал v 1.65 bild 1212

Монитор нифига не ловит. Удаляю мусорные ярлыки и деинсталлирую «Global dialer», устанавливаю правильный дом адрес, перезапускаюсь.

Global dialer инсталлируется заново. Вхожу в и-нет. По умолчанию уже стоит левая ссылка (internet-optimizer). При зависании «правильной» страницы или при ее долгом неоткрытии открывается левая ссылка. Монитор не мониторит.

Сканирую. Архив в rar размером 2гб (файлы word b excel) сканирует больше полутора часов. Общее время скана - 2 часа с мелочью.

Нифига не находит.

Переустанавливаю XP («обновление»).

Загружаю обновления Tauscan. Повторяю все с начала. Нифига не помогает.

Кстати, файл Svchost.exe у меня находится в Програм файлзах\ Global dialer (и, естественно, в Windows) и не убирается при деинсталляции последнего.

Буду пробовать другие антитрояны.

[aTeos]

Кстати, файл Svchost.exe у меня находится в Програм файлзах\Global dialer

Гони ее оттуда! Из доса или из консоли восстановления, но гони!

Консоль восстановления (почти то же, что и ДОС) устанавливается следующим образом: вставляешь компашку с ХР и в коммандной строке пишешь

x:\i386\winnt32.exe /cmdcons, где x - буква компашки. Установка произойдет автоматически и при следующей загрузке загрузчик выдаст тебе на выбор: ХР или Консоль восстановления. Все просто, ты разберешься.

[Stason]

Trojan remover

Удивила эта штука меня дважды.

Первый раз - инсталлировавшись из c:\distrib в c:\windows\temp, откуда я ее и запускал

Второй раз - найдя трояна в C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\eicar.html (тип вируса - «неизвестный»)

Я выбрал «деактивировать этот файл путем переименования» или что-то вроде этого (в английском я не очень). Вообще то я этому не верю. Когда то давно меня очень возмутил Др Веб, найдя «вирус» в дистрибьютиве Касперского, что, естественно, не подтвердилось дальнейшими проверками.

Единственное, что ИМХО может свидетельствовать о правоте TRJ - это формат найденного файла.

Хотя все равно маловероятно.

Сразу после окончания сканирования деинсталлирую Касперского и перегружаюсь.

О чудо! Эксплоэр не ставит левый домашний адрес, загружаюсь как положенно с сайта своего провайдера.

Однако Global dialer как не удалялся, так и не удаляется. Про тормознутость компа пока ничего не могу сказать - еще не ощутил.

Но прогресс налицо.

Большое всем спасибо.

Буду дальше колупаться.

[Kuzmich]

2Stasos

А ты пробовал просто удалять папку с GlobalDialer?

1) Если нет, то удали из нее все, что удаляется...

2) В диспетчере задач выруби все "левые" процессы...

3) Перезагрузись и попробуй удалить то, что осталось...

4) Если не удалилось, то запусти Windows в безопасном режиме...

5) Удали все, что осталось в папке...

6) Если не удаляется попробуй так:

а) Пометь все файлы...

б) Нажми правую кнопку мыши...

в) Выбери вырезать...

г) Вставь эти файлы в какую-нибудь другую папку и удали...

д) Если и это не поможет, то переходим к пункту 7)...

7) Чисти реестр с момощью NBG, RegCleaner или jv16 ...

8) Удаляй все "левое" из автозагрузки...

9) Попробуй еще раз удалить файлы...

Если и это не поможет, то...

P.S. При переустановке Windows (если конечно не жалко потерять данные) форматни винчестер... Это наверняка...

Изменено 4 января, 2004 пользователем Kuzmich

[Гость]

Kuzmich

Формат винта - случай на все случаи жизни, решающий любые проблемы несвязанные с железом... наша задача - найти способ устраниния неудобства/проблемы другим путём.

Stason

Очисти комп от этого пи-пи-пи Global dialer! Почисти реестр, папки, кукис и т.д.

[Kuzmich]

2Vip-vano

Не надо читать только последнее предложение...

[Stason]

Кузмичу

<А ты пробовал просто удалять папку с GlobalDialer?

ну спросили!

<P.S. При переустановке Windows (если конечно не жалко потерять данные) форматни винчестер... Это наверняка...

Дык можно вообще новый комп купить, как в том анекдоте про нов русского, что машину новую покупает каждый раз, когда пепельница полная набирается.

Все равно спасибо.

Всем.

установил консоль, потом дошло, что, как и сказал Кузмич, эту заразу можно завалить просто выйдя в режим защиты от сбоев (или как там он счас называется)

что я и сделал.

Потом почистил все куки (надо же, сразу тоже не догадался - дурная голова!)

Потом опять запустил TRJ, который опять нашел заразу, которую я на этот раз сразу уделитил.

Вроде пока все нормально!

Спасибо, мужики, очень помогли.

Жаль только, комп все равно тормозит. Наверное, не в этом дело.

Ну нафига эксплоэру 10 мб, когда я его даже не открывал еще?

И svchost запущен опять пять раз, причем не только как "систем" но и один раз - как "локал сервис". Запущено 4 приложения от моего имени, от 0,8 до 3,7 мб - нафига - не ясно.

Пытался по совету Vip-vano разобраться в "Администрировании", но ничего такого не нашел (кое-что отключил с автомата и все) - для этого наверное квалификация повыше нужна.

Может еще кто что посоветует? А пока начну чистить реестр.

[Stason]

Пока выбирал чистильщика реестра на этом сайте, разорвало соединение и вдруг модем набрал знакомый ноль!

Смотрю - все по старому. Диалер на месте !

Все все по старому!

Кроме того, что по домашний адрес не ставит свой!

Да что ж мне теперь, вообще в инет не выходить!

--------------------------------------------------------------

проверил - стоит как положенно уровень безопасности в и-эксплоэре, пароли всякие админские и тп. Вхожу под пользователем.

А прошлый раз, кстати, завершил работу какой-то нт-идентификатор.кей - выдал сообщение, что работа через х секунд будет завершена и все.

--------------------------------------------------------------

Да и вот еще.

Сейчас модем тянет и тянет откуда то мегабайты.

Вот пока на форуме посидел, модем 2 метра откуда-то уже снял, и еще продолжает.

Пойду ка я нажрусь.

Artur88: пожалуйста следи за тем что ты пишешь

Изменено 5 января, 2004 пользователем Artur88

[dartman]

Stason

:):)

Смотри, только не смешивай :)

Мой тебе совет, снеси винду, поставь "с нуля", сразу поставь антивирус и файрволл и в интернет без них не вылазь!!! Подобных топиков было бы на порядок меньше, если бы все так делали.

[Voron]

Спокойно, братва, без истерек :)

Форматнуть ума много не надо, Stason, пожалуйста, прочитай еще раз внимательно мой топик, сделай все по алгоритму и будет тебе щастье :)

Уверяю, по этой методе много человек избавились от этой типичной проблемы

Я понимаю, что тебе сейчас не до того, но на всякий случай маленький ликбез.

То, что Trojan remover нашел eicar "вирус" нет ничего удивительного. Другой вопрос как он у тебя на машине оказался

Видишь ли, это Anti-Virus test file, в двух словах, код для проверки работы антивирусного ПО. Будет интересно, глянь сюда: http://www.eicar.org/anti_virus_test_file.htm

Он не несет в себе вредоносного кода, так что бояться его не следует. Это индикатор проверки, не более того. Ради прикола вот эту строчку скопируй в клипборд:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Теперь открой блокнот, вставь ее туда и сохрани файл с расширением *.com

например test.com. Ну как, получилось? И не должно получиться когда включен монитор любой антивирусной программы. Таким образом можно реально проверить как антивирь сканирует почту, написал себе письмо, вложил файлик и смотрим за поведением.

А прошлый раз, кстати, завершил работу какой-то нт-идентификатор.кей - выдал сообщение, что работа через х секунд будет завершена и все

Оооо брат, поздравляю, похоже ты очередной обладатель Msblasta (Lovesuna)

Да и эта чушь убивается в элементе. Алгоритм я запостил раньше.