Red Rodgers  

Вернуться   Red Rodgers > Запасная полоса > Матчасть

Ответ
 
Опции темы Опции просмотра
Старый 08-12-2007, 16:55   #1
Orion33
Простой совеццкий инженер
 
Аватар для Orion33
 
Регистрация: Oct 2004
Адрес: Фиинский заалифф :)
Сообщений: 2,810
Чрезмерная активность svchost.exe

Че-то сия служба проявляет повышенную активность, ломясь на всякие левые сайты и производя по 10-20 запросов в секунду. Например:
Цитата:
SVCHOST.EXE TCP local:192.168.0.11 4393 nelleke249.startee.startpda.hyves.net HTTP 3927 байт/с 304 байт 49,3 Кб Generic Host Process HTTP connection ИСХ 15: 50: 23 12 сек. scroese.hyves.verhyving10.hyves.net

SVCHOST.EXE TCP local:192.168.0.11 4887 karinpeeman.hyves.verhyving10.hyves.net HTTP 1469 байт/с 293 байт 12,0 Кб Generic Host Process HTTP connection ИСХ 15:54:23 08 сек. antoine47.slpiero.startpda.hyves.net
Что это может быть? Антивирь и антиспай запускал. Ничего не нашел Я, конечно, могу закрыть ей доступ по хттп, но как быть с обновлениями?..
__________________
[SIGPIC][/SIGPIC]
Почётный дятел
Главное знать, куда долбить!
Orion33 вне форума   Ответить с цитированием
Старый 08-12-2007, 20:48   #2
RR_BeGG
Flying Officer
 
Аватар для RR_BeGG
 
Регистрация: Jul 2006
Адрес: Севастополь - город-герой!
Сообщений: 1,440
вирус, причем так и называецо, SVCHOST.EXE
у тебя что за антивирь?
RR_BeGG вне форума   Ответить с цитированием
Старый 08-12-2007, 20:52   #3
RR_Tihon
Друг сердеШный
 
Аватар для RR_Tihon
 
Регистрация: Sep 2004
Адрес: Правый берег Волги
Сообщений: 688
Цитата:
Сообщение от RR_BeGG Посмотреть сообщение
вирус, причем так и называецо, SVCHOST.EXE
у тебя что за антивирь?
хм....он собой заменяет виндовый SVCHOST.EXE или что ?
RR_Tihon вне форума   Ответить с цитированием
Старый 08-12-2007, 21:18   #4
RR_Vinni
Ик...
 
Аватар для RR_Vinni
 
Регистрация: Aug 2004
Адрес: Севастополь, Россия
Сообщений: 1,655
Значит так. svchost.exe - виндовая служба, обрабатывающая 32-битные ДЛЛ-ки и некоторые службы. Сама по себе безвредна и должна работать в нескольких экземплярах, НО!
1. Иногда черви и трояны лезут под этим именем из несистемного каталога. Выход - убить все svchost.exe вне %windir%/system32/, ну и антивирем и антиспайварем еще раз покататься.
2. Командой tasklist /svc можно глянуть все процессы, которые пользуются вышеозначенным svchost.exe, если так какие-то неизвестные гуглу - значит вирь, опять катаемся антивирем и антиспайварем.
__________________
Патронов бывает или очень мало, или просто мало, но больше уже не поднять...
RR_Vinni вне форума   Ответить с цитированием
Старый 08-12-2007, 22:22   #5
Orion33
Простой совеццкий инженер
 
Аватар для Orion33
 
Регистрация: Oct 2004
Адрес: Фиинский заалифф :)
Сообщений: 2,810
Виня, ты меня нубом считаешь? Естественно, это нормальный свцхост из сиситем32. Я даже знаю, что это за служба: Запуск серверных процессов DCOM (C:\WINDOWS\system32\svchost.exe -k DcomLaunch). Антивирь НОД32. Левых служб в таске нету. Убиение этой службы делает невозможным запуск некоторых других. Но почему она лезет на левые сайты - мая не понимать.
__________________
[SIGPIC][/SIGPIC]
Почётный дятел
Главное знать, куда долбить!
Orion33 вне форума   Ответить с цитированием
Старый 08-12-2007, 22:37   #6
RR_Vinni
Ик...
 
Аватар для RR_Vinni
 
Регистрация: Aug 2004
Адрес: Севастополь, Россия
Сообщений: 1,655
Тогда какие вопросы. Явный вирь ИМХО, фигли его нод не видит - не ко мне
__________________
Патронов бывает или очень мало, или просто мало, но больше уже не поднять...
RR_Vinni вне форума   Ответить с цитированием
Старый 08-12-2007, 23:37   #7
Orion33
Простой совеццкий инженер
 
Аватар для Orion33
 
Регистрация: Oct 2004
Адрес: Фиинский заалифф :)
Сообщений: 2,810
Ну как это может быть вирь, если это служба виндовая. Более того, я в консоли восстановления скопировал нужные файлы с СД заново... Может, это какая другая прога через хост делает? Тогда как узнать, какой он вызывается?
__________________
[SIGPIC][/SIGPIC]
Почётный дятел
Главное знать, куда долбить!
Orion33 вне форума   Ответить с цитированием
Старый 09-12-2007, 01:10   #8
RR_Vinni
Ик...
 
Аватар для RR_Vinni
 
Регистрация: Aug 2004
Адрес: Севастополь, Россия
Сообщений: 1,655
Этого уже не знаю....
__________________
Патронов бывает или очень мало, или просто мало, но больше уже не поднять...
RR_Vinni вне форума   Ответить с цитированием
Старый 09-12-2007, 01:12   #9
Orion33
Простой совеццкий инженер
 
Аватар для Orion33
 
Регистрация: Oct 2004
Адрес: Фиинский заалифф :)
Сообщений: 2,810
Ну дык там и смотрел, что процесс с PID 440 вызывает сетевую активность. Это служба DcomLaunch. Вырубить ее нельзя.
__________________
[SIGPIC][/SIGPIC]
Почётный дятел
Главное знать, куда долбить!
Orion33 вне форума   Ответить с цитированием
Старый 09-12-2007, 03:48   #10
RR_BeGG
Flying Officer
 
Аватар для RR_BeGG
 
Регистрация: Jul 2006
Адрес: Севастополь - город-герой!
Сообщений: 1,440
о, вспомнил, а обновления на винде все последние? если нет, попробуй обновиццо автобновлением.
RR_BeGG вне форума   Ответить с цитированием
Старый 09-12-2007, 05:23   #11
Orion33
Простой совеццкий инженер
 
Аватар для Orion33
 
Регистрация: Oct 2004
Адрес: Фиинский заалифф :)
Сообщений: 2,810
Да, вроде последние. Или почти последние, потому как я хттп открыл тока на микрософт, но может не везде...
__________________
[SIGPIC][/SIGPIC]
Почётный дятел
Главное знать, куда долбить!
Orion33 вне форума   Ответить с цитированием
Старый 12-12-2007, 10:51   #12
RR_Flash
Добрый Начуч
Администратор
 
Аватар для RR_Flash
 
Регистрация: Jul 2004
Адрес: Пермь, Россия
Сообщений: 3,102
Видел как-то на одном компе такое. НОД не видел, а Каспер 6 выловил троянчега. Базы были актуальные. Сделал выводы, снес НОД
__________________
Too old to rock 'n' roll: too young to die!
RR_Flash вне форума   Ответить с цитированием
Старый 12-12-2007, 12:45   #13
RR_BEAR
Pilot Officer
 
Аватар для RR_BEAR
 
Регистрация: Aug 2004
Сообщений: 558
А я все равно Симантек не поменяю на каспера. Ну его...
__________________
война полов ведется традиционным оружием

RR_BEAR вне форума   Ответить с цитированием
Старый 12-12-2007, 17:42   #14
RR_LeeHarveOsvald
IIsqn RAF Regiment
 
Аватар для RR_LeeHarveOsvald
 
Регистрация: Jul 2004
Сообщений: 3,874
Нормальный лицензионный КАВ очень даже рулит, особенно в офисе с доменом и Админ Китом. Денег стоит конечно, но зато шанс поймать якусь гадость стремятся к нулю.
__________________
Опыт - это то что мы получаем вместо того что мы хотим

Abandon all Hope

plɐʌsoǝʌɹɐɥǝǝl
RR_LeeHarveOsvald вне форума   Ответить с цитированием
Старый 12-12-2007, 17:48   #15
RR_BEAR
Pilot Officer
 
Аватар для RR_BEAR
 
Регистрация: Aug 2004
Сообщений: 558
KAV уже поборол свою "тормознутость"?
__________________
война полов ведется традиционным оружием

RR_BEAR вне форума   Ответить с цитированием
Старый 12-12-2007, 18:06   #16
Orion33
Простой совеццкий инженер
 
Аватар для Orion33
 
Регистрация: Oct 2004
Адрес: Фиинский заалифф :)
Сообщений: 2,810
Нет, КАВ оттого и тормознутый, что не делает вид, а действительно работает

Вычислил, что первоначально запрос идет на сайт firsttrue.hk, а затем уже начинается вся эта кутерьма. По гуглу пробить сей адрес не получаецо... На сайте Касперского тож ничего не известно. Щас буду запускать сканер...
__________________
[SIGPIC][/SIGPIC]
Почётный дятел
Главное знать, куда долбить!
Orion33 вне форума   Ответить с цитированием
Старый 12-12-2007, 23:20   #17
RR_DAE
ВRRедное ЛениФФое и Злое
 
Регистрация: Jul 2004
Сообщений: 1,091
На счет тормознутости, ток это реально было до 5й версии каспера, у меня щас стоит шестая, так я и не замеаю, что она включена... т.е. абсолютно комп не тупит.. и тем не менее, я абсолютно спокоен на предмет вирусов.. единственное не ленюсь раза 3 в неделю нажать на обновить..
__________________
"...им даже ненадо крестов на могилы, сойдут и на крыльях кресты..."(с)В.С.Высоцкий

"...ведь у тебя СПИТ, а значит мы умрем..."(с) пилот люфваффы, умерший неизвестным

"...хуже нет исхода драки, чем снаряд хиспаны в сраке..." (с) списанный по инвалидности пилот люфтваффы
RR_DAE вне форума   Ответить с цитированием
Старый 12-12-2007, 23:38   #18
RR_Mirage
Нет меня, нету…©
 
Аватар для RR_Mirage
 
Регистрация: Jan 2005
Адрес: Недалеко от Альфы Кентавра
Сообщений: 2,241
Что-то высокочтимые СэРРы заставили меня задуматься... На предмет Каспера...
__________________


Смерть достаточно близка, чтобы можно было не страшиться жизни.
Ф. Нитцше


Flash before my eyes, Now I gonna die...
(c) Ride the Lightning, Metallica /Mirage's coveRR/


War, war never changes. Or does it? The war has changed. Did it? The answer is no. Unless it is yes… No, of course it is. It’s war. Yes. No. Yes? (c) Duty Calls
RR_Mirage вне форума   Ответить с цитированием
Старый 13-12-2007, 00:19   #19
Orion33
Простой совеццкий инженер
 
Аватар для Orion33
 
Регистрация: Oct 2004
Адрес: Фиинский заалифф :)
Сообщений: 2,810
Убил 6 часов, просканил харды КАВом (НОДом сканилось около 2х часов). Из 1,65млн объектов тока один троян в экселевском файле, который я на новой системе не открывал. НОД его не видел. Также НОД не увидел спайварей в хтмлах одного скачанного сайта. Но зато НОД увидел троян в дистрибе Линейки...

А svchost все долбит и долбит на firsttrue.hk... Разумеется, доступ я ему туда закрыл, но откуда это лезет - не понятно.

ЗЫ Идеального антивиря не существует...
__________________
[SIGPIC][/SIGPIC]
Почётный дятел
Главное знать, куда долбить!
Orion33 вне форума   Ответить с цитированием
Старый 13-12-2007, 04:23   #20
RR_SteelRat
СтальноКрыс
 
Аватар для RR_SteelRat
 
Регистрация: Sep 2005
Адрес: Надым-сити
Сообщений: 1,558
А чё Каспер уже свиньёй не верещит?....
Не люблю когда ворд предлагает сделать сайт, а антивирус - записать диски с музыкой.... остался верен НОДу
__________________

Улыбайтесь, господа...улыбайтесь. (с) ЯНКОВСКИЙ
RR_SteelRat вне форума   Ответить с цитированием
Ответ


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Часовой пояс GMT +4, время: 18:21.


Red Rodgers official site. Powered by TraFFa. ©2000 - 2024, Red Rodgers
vBulletin Version 3.8.12 by vBS. Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot