svhost.exe - как о нем забыть навсегда?

[Миха Юрич]

У меня недавно такая же лажа была. Выяснилось, что это мой родной антивирусник лез куда-то якобы зарегестрироваться (только что поставил), но лез-то он на левый сайт theia.sovam.com Я не знаю, что это за сайт и чего там ему надо было, но его родной сайт trendmicro.com к этому никакого отношения не имеет. И еще: проц грузился на 100% и все тормозило по-страшному. Антивирус поменял и всё стало на свои места. Хотя ты уже сколько по времени маешься с этой ерундой, давно бы уже снес и поставил Винду 2-3 раза.

[Stason]

Насчет Винды.

Проблема с рабочим компом в офисе (за моим рабочим местом).

Снести Винду - значит переустанавливать все драйвера (лицензионные) и вообще - нарушить все настройки и установки. Это выбьет меня из работы на неделю.

Потом - сама винда. Она лицензионная. А заплатки, что я скачивал с и-нета - это кубометры.

Хорошо на домашнем компе снести винду - пошел к другу, взял последний билд винды и установил.

А тут надо лицензионный. Короче, мне проще так работать, чем сносить все.

Voronу

Действительно, оказалось, что у меня Worm/Blaster.F

Я наконец то догадался запустить антитрояна из под админа.

Просканил несколько раз, по перегружался - вроде нет ничего.

Запустил даже дефрагментацию (чтобы если что стерлось - так навсегда).

Счас вот зашел в сеть, посмотрим, что будет.

А твой алгоритм, конечно, супер.

Только вот сканить мои 16гб через и-нет - очень дорого для меня.

А во всем остальном - если сейчас опять заражусь - сразу начну выполнять.

Кстати, ссылка левая опять открывается.

Посмотрим, что дальше будет.

Кстати, я заодно и Темп почистил, который в папке C:\Documents and Settings\Default User\Local Settings - ничего?

[Гость]

Кстати, я заодно и Темп почистил, который в папке C:\Documents and Settings\Default User\Local Settings - ничего?

Ничего... Заодно бы кукисы почистил бы... Порносайты такого могут там поназаписать...

[Kuzmich]

Я бы все-таки еще почистил как следует реестр, проверил с помощью Ad-aware, полностью очистил содержимое папки c:\windows\prefetch...

При работе в интернете всегда надо включать файрвол и антивирусный монитор... Тогда и проблем этих не будет!!!

[Voron]

Stason

Немедленно закачай и поставь Agnitum Outpost Firewall

http://www.her_v_jopu.com" Тупо нажимаем кнопку "Запретить данному приложению выполнять какие-либо действия" Все. Он заткнулся навсегда (пока файрвол работает)

А дальше чисти наздоровье.

Снести Винду - значит переустанавливать все драйвера (лицензионные) и вообще - нарушить все настройки и установки.

А что проблема восстановить?

Это выбьет меня из работы на неделю.

У тебя непрерывный производственный цикл?

Потом - сама винда. Она лицензионная.

И что из того? Она что, более виндастей, чем пиратская? Или ваша организация стоит на техобслуживаннии у дяди Била и вы отстегиваете за это бабки? Или вам деньги девать некуда?

А уж коль скоро так, значит тем более не должно быть проблем. Где лицензионная размалеваная коробочка с дистрибутивами?

А заплатки, что я скачивал с и-нета - это кубометры

Я могу ошибаться, после установки XP_Pro_SP1 на сканере WindowsUpdate, максимальный обьем критических обновлений для системы в районе 15метров.

Дык не надо скопом сразу заливать. За месяц ничего страшного не произойдет (если только не лазить где ни попадя без защиты)

Только вот сканить мои 16гб через и-нет - очень дорого для меня.

Ну это другое дело, но давай посчитаем.

Вариант1. Соединение Dial-up. Условие-обеденный перерыв в рабочий день. Цена часа 1 бакс (кто больше?) За трафик не берут. Проверено, 10 Гб сканятся на Trend Micro что-то около 45 мин.

В данном случае будет не многим более часа.

Вариант2. Выделенка. Условие-обеденный перерыв в рабочий день. Цена по трафику 5руб/мег (коррктивы?)

Если это дорого, на кой ваша контора лицензионный софт берет?

Тем не менее, пока есть надежда, пытайся до крайностей не доводить.

Миха Юрич специально для Вас:

HOST INFORMATION

194.67.1.155

theia.sovam.com

Network Information

STNET

194.67.1.0-194.67.255

Teleros

Moscow, Russia

Admin Contakt

Igor V. Semenyuk

iga@sovam.com

SOVAM TELEPORT Compamy Ltd.

2A Nezhdanova St.

130009 Moscow

Russia

phone: +70952584170

phone: +70952584171

fax-no: +70952584133

Tech Contact

Dmitri B. Fedotov

dbf@sovam.com

Teleross

12 Krasnokazarmennaja

Moscow

Russia

phone: +70957871277

fax-no: +70957871010

Tech Contact

Mikhail A.Kiselev

kisel@sovam.com

Teleross

12 Krasnokazarmennaja

Moscow

Russia

phone: +70957871273

fax-no: +70957871010

[Stason]

Voronу

Значит так.

Начал я с апдейта. Кубометров надо много скачать, пока качаю - выполняю остальные рекомендации.

В реестре ничего из приведенных тобой ссылок не нашел. Я правильно ищу - открываю regedit и там поиском ищу? И вручную. Более или менее похожее есть, но не то.

Проверять мой комп в он-лайне - слишком дорого, да и не вынесет мой диалап - сорвется обязательно.

Кстати, если червяк и/или троян у меня остался, а заплатки на винду я устанвлю - что будет?

Рекомендованные антивири и антитрояны попробую обязательно, если апдейт не поможет.

Dartmanу

<Мой тебе совет, снеси винду, поставь "с нуля", сразу поставь антивирус и файрволл и в интернет без них не вылазь!!!

Батенька, может вы посоветуете хороший бесплатный антивирь? Не «условно бесплатный», чтоб каждый месяц колбасится и вчитываться, можно его использовать юр лицу, или нет, и не пиратский, чтобы ментов бояться и на стук входной двери запускать формат С?

Получается, проще работать через нормального провайдера и аккуратно серфить, чем мучаться от такой дилемы.

И проще и дешевле раз в месяц скачать новый антитроян, проверить все и сховать его исходник подальше.

И вообще - весь сервис делать или штатным оружием лицензионной винды, или секретным сканерами единоразово, после чего уносить их домой. А я ведь не сисадмин, чтобы «с виндой на ремне, и с горою прогов в рюкзаке» ходить, у нас его и нет вообще.

Я год в свою систему не лазил, работал себе и серфил спокойно. Расслабился просто черезчур, полез, где подешевле, причем - вообще без пароля и без проверки трафика на сервере.

А вирус я последний раз встречал, по-моему, еще в школе. Милисса назывался, помните такой?

Да, вот еще. Очень интересно, у меня все время используется от 70 до 90 метров памяти (из 128 мб оперативки), когда я ничего не делаю. То есть стоит комп себе спокойно, ни одного приложения не запущено, но процессов выполняется 22 и занято 70-90 метров оперативки. Причем цп в это время практически бездействует. Это нормально?

[Stason]

Можно пояснить, как 16гб через диалап со средней декларируемой скоростью 26 кило/сек могут проверится он-лайн за 45 мин. Я чего то не понимаю?

Если мой Касперский проверял все это барахло около часа с винта.

По гадостям, что были.

Прокачал винду на критические обновления (метров 12 скачал).

Пока качал - не выходил в сеть вообще.

Вот теперь вышел - посмотрю, что будет.

[Xac]

<Мой тебе совет, снеси винду, поставь "с нуля", сразу поставь антивирус и файрволл и в интернет без них не вылазь!!!

Батенька, может вы посоветуете хороший бесплатный антивирь? Не «условно бесплатный», чтоб каждый месяц колбасится и вчитываться, можно его использовать юр лицу, или нет, и не пиратский, чтобы ментов бояться и на стук входной двери запускать формат С?

:lol: Слов нет!

Ты разве не знал, что есть специальные программы, которые при не знакомом стуке в дверь за спиной, удаляют все нелегально заюзаные софтины? B)

[Stason]

Ты разве не знал, что есть специальные программы, которые при не знакомом стуке в дверь за спиной, удаляют все нелегально заюзаные софтины?

Ну так сипаться каждый раз тоже невозможно.

А что это за программы? Можно ссылочку? Как они вообще называются?

----------------------------------------------------------------------------------------

Да, вот еще.

Сейчас вроде все нормально, только вот internet-optimizer каждый раз пытается загрузиться, как и-эксплорер хорошую ссылку не открывает.

Что же это за зараза?

Изменено 6 января, 2004 пользователем Artur88

[Voron]

Stason

В реестре ничего из приведенных тобой ссылок не нашел. Я правильно ищу - открываю regedit и там поиском ищу? И вручную. Более или менее похожее есть, но не то.

Вобщем и так можно. Если знаешь, что ишешь. Что значит более или менее? Здесь третьего быть не может. Вообще-то я тебе уже все нашел.Запусти regedit, в левой стороне окна идешь по пути HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Теперь смотрим на правое окошко, здесь представлены параметры, их имена, тип и значение. Вот посмотри

теперь, какое приложение (процесс) грузится и откуда. Если есть сомнение, найди его на винте (путь указан в значении параметра) определи его свойства, что это и зачем на машине. Если есть сомнение, конечно, лучше не трогать ничего. Но есть вероятность того, что там прописан путь твоей "звонилки", поэтому правой кнопкой щелк на параметре-удалить. И так везде, где я раньше советовал. Для чистки мусорных ключей конкретно для тебя рекомендую JV16 Power Tools.

Наиболее безопасна в эксплуатации, как показывает практика, просто при удалении в ней выбираешь выбор-специальный выбор-пункты, которые можно безопасно удалить (зеленый кружок). Хоть этого может и недостататочно, зато систему ты не завалишь.

Кстати, если червяк и/или троян у меня остался, а заплатки на винду я устанвлю - что будет?

А вот то и будет. Троян будет по прежнму делать черное дело втихушку, никак не проявляя своего наличия в системе, посылать в сеть твою конфиденциальную информацию, пароли, номера кредиток и т.д. тормозить систему. Червяк будет колбасить систему (данные) также исправно, пока его не убьешь. И заплатки на винду от них не спасают. Для этого есть антивирь.

Я, кстати, предполагаю, что антивируса у тебя уже нет. То что зовется Касперским, уже не AVP.

Это может быть его мутант, есть такая гадость, которая колбасит антивири, их исполняемые файлы, поэтому толку от него нет. Поэтому я и рекомендовал on-line. Если накладно скан в on-line, закачай антивирь для DOS, по размеру они маленькие, сохрани распакуй на винте. У тебя, кстати какая файловая система? Если FAT32, проблем нет, если NTFS, будет сложнее. На дискету DOS сможешь сделать? А анивирь под DOS? А файл-менеджер под DOS Norton (Volkov) Commander?

Если антивирь не лезет, достаточно дискеты с DOS. Перезагрузись, во время загрузки держи клавишу DEL (это как правило, но я не знаю какой у тебя BIOS) Попали в главное меню BIOS. Выбираем BIOS FUTURES SETUP, нажать ENTER, попадаем в другое ококшко, выбрать BOOT SEQUENCE, методом перебора в зависимости от модели BIOSa, делаем так, чтоб первым в списке стоял флоппик, пример FIRST-FLOPPY, или А, C, SCSI. Теперь нажми ESC, возвращаемся в главное меню. Нажать F10, красный экран SAVE TO CMOS AND EXIT(Y/N)? Разрешить, для чего нажать Y, нажать ENTER. Пошла загрузка машины с дискеты. В принципе можно использовать аврийную для W98, только не спрашивай меня, как ее сделать под XP :D Весь смысл этих опреций заключается в том, чтобы не загружая графическую оболочку виндовс, загрузить машину в режим чистого DOSа и в нем пройти сканирование. Ну хрен с ним, можно даже Dr.WEB для DOS (хотя я предпочитаю NOD32). К примеру создал на С дирректорию DOCTOR, залил и распаковал в нее дистрибутив антивиря. после загрузки системы ты находишься в коммандном режиме DOS,

Мерцает курсор типа A:\_ Нужно перейти на диск С, вводим С:\ (или CD C:\ ) Находим нужную дирректорию, входим в нее, в нашем случае строчка С:\СD DOCTOR, в ней запуск исполняемого файла антивиря (для доктора кажется drdos.exe, уже не помню) Все, пошла работа приложения, с настройками сам разберешься. После скана не забудь в BIOSe поставить все в исходное, вытащи дискету и грузись в нормальном режиме.

Батенька, может вы посоветуете хороший бесплатный антивирь? Не «условно бесплатный», чтоб каждый месяц колбасится и вчитываться, можно его использовать юр лицу, или нет, и не пиратский, чтобы ментов бояться и на стук входной двери запускать формат С?

Ну что сказать? Софтодром тебе в руки! Да, вот еще. Стасон, поверь наслово, когда спецназ (МВД, ФСБ, ГРУ, ЦРУ, АНБ, ФБР, МИ-5, МИ-6, МОССАД....далее по списку) поставит тебя раком в офисе за использование пиратского софта, это будет новость №1 в Рунете. Об этом будут визжать все СМИ круглосуточно, о том что Россия начала реальную борьбу с пиратами. По правде говоря я разделяю твою позицию и хотел бы работать цивильно. Но имея желание не имею возможностей. Моя зарплата составляет 5% зарплаты аналогичного спеца в США. Вот он может себе позволить не только лицензионный софт, но и менять машину ежемесячно. Нам об этом только мечтать.

А я ведь не сисадмин, чтобы «с виндой на ремне, и с горою прогов в рюкзаке» ходить, у нас его и нет вообще.

Согласен. Каждый должен есть свою морковку. А у вас контора большая? Если сеть солидная и вы живете без(!!!) админа, тогда ничего удивительного нет в том, что ты пишешь. Но хороший админ стоит денег. Кажется, в Москве меньше чем за 800$ (на старт) хороший спец у вас палец о палец не стукнет.

Очень интересно, у меня все время используется от 70 до 90 метров памяти (из 128 мб оперативки), когда я ничего не делаю. То есть стоит комп себе спокойно, ни одного приложения не запущено, но процессов выполняется 22 и занято 70-90 метров оперативки. Причем цп в это время практически бездействует. Это нормально?

Гм. Вообще-то у меня примерно такие харктеристики при работе антивиря(монитор), файрвола, и браузера. Монитор антивиря и файрвол прописаны в автозагрузке и у меня не выключаются никогда.

"Процессор бездействует" из-за особенностей винды на ядре NT при обращении к памяти. Она это делает более изящно, чем линейка W9X

Но при этом я в администрировании придушил десятка два ненужных служб и сервисов. Нажми Ctrl-Alt-Del, далее диспетчер задач, процессы. Посмотри, что выполняется, может левый процесс где-то и замаскирован среди системных.

PS Всех поздравляю с Рождеством Христовым, любите друг друга!

[dartman]

Stason

Не знаю, как у вас с нелегальным софтом, но я и на работе и дома юзаю пижженые программы, и ни один мент ещё не постучался. Вот по комп.клубам прошлись одно время, а больше никаких понтов не было.

[Гость]

internet-optimizer

Это такое *****! Она меня мучала месяца полтора, пока я нафиг не почистился и не отмылся от этого отстоя хорошенько! Такая прилипучая тварь, удаляешь - хопа опять на компе...

Слабость её в том, что Касперский 4.5 находит и убивает эту тварь... А я теперь ещё тонко настроил файрвол, так что теперь про эти проги и приложения я вообще забыл!

dartman

Не знаю, как у вас с нелегальным софтом, но я и на работе и дома юзаю пижженые программы, и ни один мент ещё не постучался. Вот по комп.клубам прошлись одно время, а больше никаких понтов не было.

И не постучится... Сначала он должен ордер на обыск получить, а до этого завести на тебя дело, а при заведении на тебя дела ты оповещаешься и что делаешь? Формат винча... (НЕ УВЕРЕН, НО МНЕ ТАК ГОВОРИЛИ ГДЕ-ТО)

Я тебе больше скажу... Есть такая прога Online Eye Pro называется вроде... Она считает количество перегоняемого трафика... Ну я её крякнул и она попросила у меня выход в инет... Ну думаю, мало ли ей нужен он действительно... А денька через два при запуске программы высвечивалось сообщение, что типа ваш ip, страна и имя отправлены в Союз защиты прав (как-то та называется) и типа вы должны заплатить за программу или вам типа хана... Ну я проигнорировал это и просто удалил прогу... Это было месяца два назад - делайте выводы... Если даже заграницей с этим хило то про нас вообще не стоит говорить...

Ссори за маааалюсенький оффтоп...

[unreal]

Внимательно читаю эту тему и следую рекомендациям, я то же недавно подцепил прогу на порносайте, не знаю что это такое, только видел ярлык, под ним было написано " Sex dawnload menedger", я его заметил не сразу и эта прога успела набрать номер 14-ти значный, когда я заметил, я просто отключил модем, я не стал интересоваться как удалить эту прогу, а просто переустановил винду, благо помогает Acronis True Image, весь процесс восстановленитя системы из ранее созданного образа, занимает у меня 20 минут. На днях пришёл счёт за телефон и там появилась графа " международные переговоры", сумма не больщая 25 руб, вовремя отключил модем, теперь я уяснил, что нельзя оставлять модем без присмотра включенным.

У меня такая проблемма, скачал я Ad-aware6 по рекомендации Voron-a , установил и запустил сканер, он нашёл прогу шпион Alexa, я её удалил, а когда захотел зайти на канал softboard.ru через Neora Trion, то обнаружил, что пропал файл mirc32 exe, теперь Trion не открывается, что мне делать, подскажите пожалуйста.

[Гость]

У меня такая проблемма, скачал я Ad-aware6 по рекомендации Voron-a , установил и запустил сканер, он нашёл прогу шпион Alexa

Тоже было у меня такое, но тока я его на подлёте пришиб...

[unreal]

А что это за Alexa такая, может кто нибудь объяснить?

[dartman]

Сорри за оффтоп.

unreal

благо помогает Acronis True Image, весь процесс восстановленитя системы из ранее созданного образа, занимает у меня 20 минут.

прога рулит, но почему так долго? У меня 3,5-гиговый образ 11-гигового раздела разворачивается за минуты четыре.

[unreal]

прога рулит, но почему так долго? У меня 3,5-гиговый образ 11-гигового раздела разворачивается за минуты четыре.

Может у тебя комп побыстрее, но именно так 2,5-гиговый образ 8-гигового раздела за 20 минут.

dartman нам по шапке не дадут за оффтоп?

[Ray]

unreal

Alexa это вообще-то не шпион. Насколько я помню, так назвается служба поиска в Инете, к которой теоретически может обращаться IE, при этом там могут узнать на каком сайте ты находишься в данный момент. Поэтому на нее и реагируют антишпионы, удаляя запись о ней.

Ежели что неверно, поправьте или добавьте, плиз... :D

[Гость]

Мда народ... За такой зверский оффтоп, какой устроили вы... :(

Специально для обсуждения создал тему "Alexa"...

Бегом сюды: http://www.softboard.ru/index.php?act=ST&f=33&t=5771

[Voron]

Намек понял

Я тут погорячился слегка, поэтому нижайше прошу извинить за словоблудие не по теме :D

Sorry за этот офтоп

[Stason]

Voron и всем

Большое спасибо за подробные ответы

Я пока потихоньку колбашусь с системой.

Все таки, комп работает, а у меня завал по своей работе, так что из предложенных рекомендаций мало что сделал.

По реестру. Сначала установил NBG (впечатлила меня статья автора о его преимуществах). Нашел он у меня 200 с мелочью неверных элементов (чистка - "упрощенная"). Все делал согласно рекомендациям программы - удалить весь ключ - так удалить, удалить элемент - пожалуйста! Только для начала поудалял только ключи:

-которые относились к удаленным мною ранее программам;

-к которым относился путь c:\prog.. f..\.. и подобные.

Те, что в по путю в каталоге винды сидят не трогал для начала.

В результате перестали запускаться рассказчик (говорилка) от Сокрамента,

драйвер сканера и еще несколько нужных программ.

Откатывать не стал - проще было переустановить эти драйвы (благо все дистрибъютивы у меня на винте). Удалил NGB е едреней фене.

Позже заметил, что когда открываешь на другом компе документ с моего сохранить изменения невозможно - раньше такого не было.

Потом почитал все в этом форуме на тему чистки реестра и поставил

jv16. Сканер показал 400 зеленых элементов, подлежащих удалению. Удалил.

Повторно отсканил - 4 ключа - все удалил.

Вроде пока все идет, хотя посмотрим еще - все не проверял.

Вручную чистить реестр пока не созрел - боязно малость.

[Stason]

<Ну что сказать? Софтодром тебе в руки! Да, вот еще. Стасон, поверь наслово, когда спецназ (МВД, ФСБ, ГРУ, ЦРУ, АНБ, ФБР, МИ-5, МИ-6, МОССАД....далее по списку) поставит тебя раком в офисе за использование пиратского софта, это будет новость №1 в Рунете. Об этом будут визжать все СМИ круглосуточно, о том что Россия начала реальную борьбу с пиратами.

Дело в том, что я живу в на Украине. Дамбами всякими нас еще не огородили и МВД, ФСБ, ГРУ, ЦРУ, АНБ, ФБР, МИ-5, МИ-6, МОССАД....далее по списку пока не зверствуют.

Зато хватает родных ментов из отдела по борьбе с эконом преступлениями. Еще есть на Украине Агентство по борьбе с интеллектуальными преступлениями или что-то в этом роде, но пока не встречались.

И никаких ордеров на обыск не надо - есть направление на проверку предприятия на предмет использования лицензионных программ (как точно называется - не знаю). Как делается - расскажу. Заходит штук 5 «волчат» - оперативников. Махают направлением и удостоверениями. Старший требует директора, остальные бегом бегут к компам и выключают их (правда, выключают нормально - через «завершение работы»).

Старший закрывается в кабинете у директора и предлагает выбор - делать проверку, или «по-хорошему».

Дальше сценарий знаю только понаслышке.

Если «делать проверку», то оперативники включают комп в присутствии администрации, проверяют имеющиеся в наличии программы и требуют документы на них - оплаты и прочая. В случае с виндой все проще - нет наклейки с соотв номером - значит кирдык.

Короче, обнаруживают пиратский софт. Делают протокол изъятия для проведения экспертизы и изымают системные блоки (иногда - вместе с мониторами и оргтехникой).

Дальше заводится дело «по факту» (задним числом наверное), расследуется и передается в суд.

Если дело проиграно, компы реквизируются как «орудия преступления».

Ответственность для директоров очень жесткая - исправительные работы на несколько лет и тп, в лучшем случае - очень солидный штраф.

Так что проблема стоит серьезная.

Пока, конечно, не всех так трусят - только начинают. Слышал, что провайдеров и компютерные клубы шерстят регулярно. Большинство, естественно, откупается, так как не видят другого реального решения проблемы. Некоторые постепенно начинают покупать винду (oem-версия) - вместе с компом. Стоит такая версия ХРюши персоналки 75$ - в общем то терпимо. Хуже с офисом и серверной ХРюшей.

Так что это не моя позиция, и не блажь, а необходимость.

Кстати интересно, что ни в одном райотделе нет ни одной лицензионной программы.

Более того, только приняли программу, как суды, которые судят за пиратство, обеспечить лицензионным софтом! Вот такие дела.

Да, это совсем уже оффтоп. Так что если кому интересно - заводите тему об этом - есть что обсудить.

[Гость]

azlex

Мы не говорим про странные программы сомнительного характера, которые попадают с порнушных сайтов... Это другой разговор в другом топике...

Мы выяснили, что это такое и как это удалить...

[azlex]

Совсем забыл, голова еловая! Яж еще дохтуром вебом, вебом травил. Оптимизера он нашел в инетовых времянках.

[SIMC]

Я вчера тоже обнаружил у себя на нотике такую зверушку. Гы... Называется W32.Blaster.Worm

Вот тут коротко и ясно про него написано: http://www.filebox.ru/articles/read/lovsan_worm/

Там же лекарство.

Самое не понятное во всей этой истории то, что намотан он пол года назад, а колом все встало только вчера.

В течение всего этого времени только сообщения об ошибке svchost.exe