Вирус?, процесс svchost Опции

[KENaKEN]

Процесс svchost занимает 95-99% ЦП, это ДИКО тормозит систему. При его завершении выскакивает сообщение с отсчётом на 1 мин после чего ребут. ЧТО ЭТО? Перед этим неудачно хотел поставить сп2 (не совпал язык, у мя стоит XP_ENG+MUI а SP2_rus). Сканил комп NOD32 ничего... Щас буду каспером сканить.

[Joker]

Цитата: (KENaKEN @ Mar 31 2005, 17:46) Процесс svchost

Посмотри внимательно на название - sVChost или sCVhost ? если sСVhost то 100% это вирус, если sVChost то это системный файл и у тебя что-то не так с виндой

[KENaKEN]

Просканил каспером (без архивов) нашёл 12 заражённых файлов, и это при условии что сегодня форматировал хард! Ужас! Из них 4 вируса 6 червей и 2 трояна! пока всё ьез проблем работает, но эта зараза начинается не сразу после загрузки компа. А процесс именно svchost.
Не помогло нифига =(((( Опять винду сносить =(

[Eugene]

Цитата: (KENaKEN @ Mar 31 2005, 19:23) А процесс именно svchost. Не помогло нифига =(((( Опять винду сносить =(

Писал уже. Это атака, после неё может и появиться тело вредоноса, но не обязательно. Заключается в зацикливании на localhost этой службы. Антивирем НЕ лечится, встроеная стенка не помагает. Аутпост, например, тоже может не помоч, если разрешить, выходящие за правила svhost'а действия.

Я решаю проблему временной установкой Аутпоста в режиме обучения (около двух дней), после того, как все службы получат правила, фаер переводится в режим блокировки, что бы svhost не доставал вопросами.

[KENaKEN]

Цитата: (Eugene @ Mar 31 2005, 20:22) Писал уже. Это атака, после неё может и появиться тело вредоноса, но не обязательно. Заключается в зацикливании на localhost этой службы. Антивирем НЕ лечится, встроеная стенка не помагает. Аутпост, например, тоже может не помоч, если разрешить, выходящие за правила svhost'а действия. Я решаю проблему временной установкой Аутпоста в режиме обучения (около двух дней), после того, как все службы получат правила, фаер переводится в режим блокировки, что бы svhost не доставал вопросами.

Во блин загнул... Спасибо за совет! А где взять его? И какой именно?

[mosq]

Цитата: (KENaKEN @ Mar 31 2005, 18:23) и это при условии что сегодня форматировал хард!

после того, как переустановил винду - первый твой сайт для посещения - windowsupdate.microsoft.com - и никакой другой.

[Vinni]

Цитата: (mosq @ Mar 31 2005, 21:43) после того, как переустановил винду - первый твой сайт для посещения - windowsupdate.microsoft.com - и никакой другой.

но переде этим - выдираеш сетевой кабель из розетки и ставиш антивирь и фоервол

[Fury]

Цитата: (Vinni @ Mar 31 2005, 21:57) но переде этим - выдираеш сетевой кабель из розетки и ставиш антивирь и фоервол

именно... самый пральный вариант =)
ставишь винду при выдранном кабеле... ставишь экстренные заплаты, затем файр и антивирь... тока потом подрубаешь сеть и идёшь гулять на http://windowsupdate.microsoft.com

[qwerty]

Цитата: (Vinni @ Mar 31 2005, 20:57) но переде этим - выдираеш сетевой кабель из розетки и ставиш антивирь и фоервол

Где то даже писали, что незащищёный комп в сети живёт 10-15 мин :)

[root]

У меня при первой загрузке бласт вылетал %)

[mafet]

Типа какнить глянь где именно находится файл svchost.exe нормальный файл системный должен находиться только в C:\Windows\System32 Если ещё где-то то сноси нафик его!

[lok1]

А вот, если мне нажать ctrl+alt+del то у меня видно сразу 4 процесса SVCHOST.EXE!!! Причем 2 из них системных 1 local service и 1 network servis.
Ето нормально?
А раньше даже 5 было!
А в фаер добавлен токо один процесс svchost!

[Fel]

Ну у меня тож.... через него винды dns запросы и всякую фигню делаеть вроде как...

[Fury]

svchost никак не участвует при днс запросах.... его ваапче мона отключить, как сделал я... то есть для этого svchost у меня нет ни одного правила, то есть он отсутствует в правилах моего файра... ваапче.. а файр стоит в режиме блокировки.. и фсё раппотает
другое дело что при таком варианте некоторые возможности винды и/или некоторые сетевые приложения могут некорректно или ваапче не раппотать (windows update, share ну и фсё такое)....

[mosq]

Цитата: (Vinni @ Mar 31 2005, 20:57) но переде этим - выдираеш сетевой кабель из розетки и ставиш антивирь и фоервол

не согласен. без этого можно обойтись.

ps: за исключением, когда за компом твоим ведут охоту и ждут когда ты в онлайн вылезешь на голой винде.

[AlxsDfndr]

Гы! а ОТКУДА-ж догда NTёвой виндой сразу-же ловится Ловесан/Сассер ? :ninja: с чистого дистрибутива-то?

[mosq]

ну вот сам подумай, ОТКУДА он может появиться?

кстати дистрибутив проверил бы на вирус, думаешь невозможно такое? вполне возможно, у тебя же не официальная версия от ms

[AlxsDfndr]

мне ЭТО можешь НЕ объяснять!

поэтому твоё "не согласен" на то, что "надо выдёргивать сетевой кабель(RJ-45) из розетки " в условиях нашей Псилайн сетки вызывает
как-только настроил сетевое подключение -- кердык

[Fury]

Цитата: (mosq @ Apr 7 2005, 12:18) кстати дистрибутив проверил бы на вирус, думаешь невозможно такое? вполне возможно, у тебя же не официальная версия от ms

а кста.. вполне реальный вариант =) мне пару дисочкафф подобных попадалось - вшитые трояны

[AlxsDfndr]

пацаны! Эта была ПОДКОЛКА mosqа ;)

Но для кого-то РЕАЛЬНАЯ ситуёвина вон, для Fury как оказалось -- тоже

Fury, точная копия официальной ещё с тех времён, когда этого добра и в помине не было