Вирус?, процесс svchost Опции

[KENaKEN]

Процесс svchost занимает 95-99% ЦП, это ДИКО тормозит систему. При его завершении выскакивает сообщение с отсчётом на 1 мин после чего ребут. ЧТО ЭТО? Перед этим неудачно хотел поставить сп2 (не совпал язык, у мя стоит XP_ENG+MUI а SP2_rus). Сканил комп NOD32 ничего... Щас буду каспером сканить.

[Joker]

(IMG:style_images/psiline/quotes/quot-top-left.gif) Цитата: (IMG:style_images/psiline/quotes/quot-top-right.gif) (IMG:style_images/psiline/quotes/quot-by-left.gif) (KENaKEN @ Mar 31 2005, 17:46) (IMG:style_images/psiline/quotes/quot-by-right.gif) (IMG:style_images/psiline/quotes/quot-top-right-10.gif) Процесс svchost (IMG:style_images/psiline/quotes/quot-bot-left.gif) (IMG:style_images/psiline/quotes/quot-bot-right.gif)

Посмотри внимательно на название - sVChost или sCVhost ? если sСVhost то 100% это вирус, если sVChost то это системный файл и у тебя что-то не так с виндой

[KENaKEN]

Просканил каспером (без архивов) нашёл 12 заражённых файлов, и это при условии что сегодня форматировал хард! Ужас! Из них 4 вируса 6 червей и 2 трояна! пока всё ьез проблем работает, но эта зараза начинается не сразу после загрузки компа. А процесс именно svchost.
Не помогло нифига =(((( Опять винду сносить =(

[Eugene]

(IMG:style_images/psiline/quotes/quot-top-left.gif) Цитата: (IMG:style_images/psiline/quotes/quot-top-right.gif) (IMG:style_images/psiline/quotes/quot-by-left.gif) (KENaKEN @ Mar 31 2005, 19:23) (IMG:style_images/psiline/quotes/quot-by-right.gif) (IMG:style_images/psiline/quotes/quot-top-right-10.gif) А процесс именно svchost. Не помогло нифига =(((( Опять винду сносить =( (IMG:style_images/psiline/quotes/quot-bot-left.gif) (IMG:style_images/psiline/quotes/quot-bot-right.gif)

Писал уже. Это атака, после неё может и появиться тело вредоноса, но не обязательно. Заключается в зацикливании на localhost этой службы. Антивирем НЕ лечится, встроеная стенка не помагает. Аутпост, например, тоже может не помоч, если разрешить, выходящие за правила svhost'а действия.

Я решаю проблему временной установкой Аутпоста в режиме обучения (около двух дней), после того, как все службы получат правила, фаер переводится в режим блокировки, что бы svhost не доставал вопросами.

[KENaKEN]

(IMG:style_images/psiline/quotes/quot-top-left.gif) Цитата: (IMG:style_images/psiline/quotes/quot-top-right.gif) (IMG:style_images/psiline/quotes/quot-by-left.gif) (Eugene @ Mar 31 2005, 20:22) (IMG:style_images/psiline/quotes/quot-by-right.gif) (IMG:style_images/psiline/quotes/quot-top-right-10.gif) Писал уже. Это атака, после неё может и появиться тело вредоноса, но не обязательно. Заключается в зацикливании на localhost этой службы. Антивирем НЕ лечится, встроеная стенка не помагает. Аутпост, например, тоже может не помоч, если разрешить, выходящие за правила svhost'а действия. Я решаю проблему временной установкой Аутпоста в режиме обучения (около двух дней), после того, как все службы получат правила, фаер переводится в режим блокировки, что бы svhost не доставал вопросами. (IMG:style_images/psiline/quotes/quot-bot-left.gif) (IMG:style_images/psiline/quotes/quot-bot-right.gif)

Во блин загнул... Спасибо за совет! А где взять его? И какой именно?

[mosq]

(IMG:style_images/psiline/quotes/quot-top-left.gif) Цитата: (IMG:style_images/psiline/quotes/quot-top-right.gif) (IMG:style_images/psiline/quotes/quot-by-left.gif) (KENaKEN @ Mar 31 2005, 18:23) (IMG:style_images/psiline/quotes/quot-by-right.gif) (IMG:style_images/psiline/quotes/quot-top-right-10.gif) и это при условии что сегодня форматировал хард! (IMG:style_images/psiline/quotes/quot-bot-left.gif) (IMG:style_images/psiline/quotes/quot-bot-right.gif)

после того, как переустановил винду - первый твой сайт для посещения - windowsupdate.microsoft.com - и никакой другой.

[Vinni]

(IMG:style_images/psiline/quotes/quot-top-left.gif) Цитата: (IMG:style_images/psiline/quotes/quot-top-right.gif) (IMG:style_images/psiline/quotes/quot-by-left.gif) (mosq @ Mar 31 2005, 21:43) (IMG:style_images/psiline/quotes/quot-by-right.gif) (IMG:style_images/psiline/quotes/quot-top-right-10.gif) после того, как переустановил винду - первый твой сайт для посещения - windowsupdate.microsoft.com - и никакой другой. (IMG:style_images/psiline/quotes/quot-bot-left.gif) (IMG:style_images/psiline/quotes/quot-bot-right.gif)

но переде этим - выдираеш сетевой кабель из розетки и ставиш антивирь и фоервол (IMG:style_emoticons/default/biggrin.gif)

[Fury]

(IMG:style_images/psiline/quotes/quot-top-left.gif) Цитата: (IMG:style_images/psiline/quotes/quot-top-right.gif) (IMG:style_images/psiline/quotes/quot-by-left.gif) (Vinni @ Mar 31 2005, 21:57) (IMG:style_images/psiline/quotes/quot-by-right.gif) (IMG:style_images/psiline/quotes/quot-top-right-10.gif) но переде этим - выдираеш сетевой кабель из розетки и ставиш антивирь и фоервол (IMG:style_emoticons/default/biggrin.gif) (IMG:style_images/psiline/quotes/quot-bot-left.gif) (IMG:style_images/psiline/quotes/quot-bot-right.gif)

именно... самый пральный вариант =)
ставишь винду при выдранном кабеле... ставишь экстренные заплаты, затем файр и антивирь... тока потом подрубаешь сеть и идёшь гулять на http://windowsupdate.microsoft.com

[qwerty]

(IMG:style_images/psiline/quotes/quot-top-left.gif) Цитата: (IMG:style_images/psiline/quotes/quot-top-right.gif) (IMG:style_images/psiline/quotes/quot-by-left.gif) (Vinni @ Mar 31 2005, 20:57) (IMG:style_images/psiline/quotes/quot-by-right.gif) (IMG:style_images/psiline/quotes/quot-top-right-10.gif) но переде этим - выдираеш сетевой кабель из розетки и ставиш антивирь и фоервол (IMG:style_emoticons/default/biggrin.gif) (IMG:style_images/psiline/quotes/quot-bot-left.gif) (IMG:style_images/psiline/quotes/quot-bot-right.gif)

Где то даже писали, что незащищёный комп в сети живёт 10-15 мин :)

[root]

У меня при первой загрузке бласт вылетал %)

[mafet]

Типа какнить глянь где именно находится файл svchost.exe нормальный файл системный должен находиться только в C:\Windows\System32 Если ещё где-то то сноси нафик его!

[lok1]

А вот, если мне нажать ctrl+alt+del то у меня видно сразу 4 процесса SVCHOST.EXE!!! Причем 2 из них системных 1 local service и 1 network servis.
Ето нормально?
А раньше даже 5 было!
А в фаер добавлен токо один процесс svchost!

[Fel]

Ну у меня тож.... через него винды dns запросы и всякую фигню делаеть вроде как...

[Fury]

svchost никак не участвует при днс запросах.... его ваапче мона отключить, как сделал я... то есть для этого svchost у меня нет ни одного правила, то есть он отсутствует в правилах моего файра... ваапче.. а файр стоит в режиме блокировки.. и фсё раппотает (IMG:style_emoticons/default/blush.gif)
другое дело что при таком варианте некоторые возможности винды и/или некоторые сетевые приложения могут некорректно или ваапче не раппотать (windows update, share ну и фсё такое).... (IMG:style_emoticons/default/blush.gif)

[mosq]

(IMG:style_images/psiline/quotes/quot-top-left.gif) Цитата: (IMG:style_images/psiline/quotes/quot-top-right.gif) (IMG:style_images/psiline/quotes/quot-by-left.gif) (Vinni @ Mar 31 2005, 20:57) (IMG:style_images/psiline/quotes/quot-by-right.gif) (IMG:style_images/psiline/quotes/quot-top-right-10.gif) но переде этим - выдираеш сетевой кабель из розетки и ставиш антивирь и фоервол (IMG:style_emoticons/default/biggrin.gif) (IMG:style_images/psiline/quotes/quot-bot-left.gif) (IMG:style_images/psiline/quotes/quot-bot-right.gif)

не согласен. без этого можно обойтись.

ps: за исключением, когда за компом твоим ведут охоту и ждут когда ты в онлайн вылезешь на голой винде.

[AlxsDfndr]

Гы! а ОТКУДА-ж догда NTёвой виндой сразу-же ловится Ловесан/Сассер ? :ninja: (IMG:style_emoticons/default/laugh.gif) с чистого дистрибутива-то?(IMG:style_emoticons/default/blink.gif)

[mosq]

ну вот сам подумай, ОТКУДА он может появиться?

кстати дистрибутив проверил бы на вирус, думаешь невозможно такое? вполне возможно, у тебя же не официальная версия от ms

[AlxsDfndr]

мне ЭТО можешь НЕ объяснять!

поэтому твоё "не согласен" на то, что "надо выдёргивать сетевой кабель(RJ-45) из розетки " в условиях нашей Псилайн сетки вызывает (IMG:style_emoticons/default/laugh.gif) (IMG:style_emoticons/default/tongue.gif)
как-только настроил сетевое подключение -- кердык (IMG:style_emoticons/default/blink.gif)

[Fury]

(IMG:style_images/psiline/quotes/quot-top-left.gif) Цитата: (IMG:style_images/psiline/quotes/quot-top-right.gif) (IMG:style_images/psiline/quotes/quot-by-left.gif) (mosq @ Apr 7 2005, 12:18) (IMG:style_images/psiline/quotes/quot-by-right.gif) (IMG:style_images/psiline/quotes/quot-top-right-10.gif) кстати дистрибутив проверил бы на вирус, думаешь невозможно такое? вполне возможно, у тебя же не официальная версия от ms (IMG:style_images/psiline/quotes/quot-bot-left.gif) (IMG:style_images/psiline/quotes/quot-bot-right.gif)

а кста.. вполне реальный вариант =) мне пару дисочкафф подобных попадалось - вшитые трояны (IMG:style_emoticons/default/unsure.gif)

[AlxsDfndr]

пацаны! Эта была ПОДКОЛКА mosqа ;)

Но для кого-то РЕАЛЬНАЯ ситуёвина (IMG:style_emoticons/default/wacko.gif) вон, для Fury как оказалось -- тоже

Fury, точная копия официальной (IMG:style_emoticons/default/cool.gif) ещё с тех времён, когда этого добра и в помине не было (IMG:style_emoticons/default/happy.gif)