08-12-2007, 16:55 | #1 | |
Простой совеццкий инженер
Регистрация: Oct 2004
Адрес: Фиинский заалифф :)
Сообщений: 2,810
|
Чрезмерная активность svchost.exe
Че-то сия служба проявляет повышенную активность, ломясь на всякие левые сайты и производя по 10-20 запросов в секунду. Например:
Цитата:
__________________
|
|
08-12-2007, 20:48 | #2 |
Flying Officer
Регистрация: Jul 2006
Адрес: Севастополь - город-герой!
Сообщений: 1,440
|
вирус, причем так и называецо, SVCHOST.EXE
у тебя что за антивирь? |
08-12-2007, 20:52 | #3 |
Друг сердеШный
Регистрация: Sep 2004
Адрес: Правый берег Волги
Сообщений: 688
|
|
08-12-2007, 21:18 | #4 |
Ик...
Регистрация: Aug 2004
Адрес: Севастополь, Россия
Сообщений: 1,655
|
Значит так. svchost.exe - виндовая служба, обрабатывающая 32-битные ДЛЛ-ки и некоторые службы. Сама по себе безвредна и должна работать в нескольких экземплярах, НО!
1. Иногда черви и трояны лезут под этим именем из несистемного каталога. Выход - убить все svchost.exe вне %windir%/system32/, ну и антивирем и антиспайварем еще раз покататься. 2. Командой tasklist /svc можно глянуть все процессы, которые пользуются вышеозначенным svchost.exe, если так какие-то неизвестные гуглу - значит вирь, опять катаемся антивирем и антиспайварем.
__________________
Патронов бывает или очень мало, или просто мало, но больше уже не поднять... |
08-12-2007, 22:22 | #5 |
Простой совеццкий инженер
Регистрация: Oct 2004
Адрес: Фиинский заалифф :)
Сообщений: 2,810
|
Виня, ты меня нубом считаешь? Естественно, это нормальный свцхост из сиситем32. Я даже знаю, что это за служба: Запуск серверных процессов DCOM (C:\WINDOWS\system32\svchost.exe -k DcomLaunch). Антивирь НОД32. Левых служб в таске нету. Убиение этой службы делает невозможным запуск некоторых других. Но почему она лезет на левые сайты - мая не понимать.
__________________
|
08-12-2007, 22:37 | #6 |
Ик...
Регистрация: Aug 2004
Адрес: Севастополь, Россия
Сообщений: 1,655
|
Тогда какие вопросы. Явный вирь ИМХО, фигли его нод не видит - не ко мне
__________________
Патронов бывает или очень мало, или просто мало, но больше уже не поднять... |
08-12-2007, 23:37 | #7 |
Простой совеццкий инженер
Регистрация: Oct 2004
Адрес: Фиинский заалифф :)
Сообщений: 2,810
|
Ну как это может быть вирь, если это служба виндовая. Более того, я в консоли восстановления скопировал нужные файлы с СД заново... Может, это какая другая прога через хост делает? Тогда как узнать, какой он вызывается?
__________________
|
09-12-2007, 01:10 | #8 |
Ик...
Регистрация: Aug 2004
Адрес: Севастополь, Россия
Сообщений: 1,655
|
Этого уже не знаю....
__________________
Патронов бывает или очень мало, или просто мало, но больше уже не поднять... |
09-12-2007, 01:12 | #9 |
Простой совеццкий инженер
Регистрация: Oct 2004
Адрес: Фиинский заалифф :)
Сообщений: 2,810
|
Ну дык там и смотрел, что процесс с PID 440 вызывает сетевую активность. Это служба DcomLaunch. Вырубить ее нельзя.
__________________
|
09-12-2007, 03:48 | #10 |
Flying Officer
Регистрация: Jul 2006
Адрес: Севастополь - город-герой!
Сообщений: 1,440
|
о, вспомнил, а обновления на винде все последние? если нет, попробуй обновиццо автобновлением.
|
09-12-2007, 05:23 | #11 |
Простой совеццкий инженер
Регистрация: Oct 2004
Адрес: Фиинский заалифф :)
Сообщений: 2,810
|
Да, вроде последние. Или почти последние, потому как я хттп открыл тока на микрософт, но может не везде...
__________________
|
12-12-2007, 10:51 | #12 |
Добрый Начуч
Администратор
Регистрация: Jul 2004
Адрес: Пермь, Россия
Сообщений: 3,102
|
Видел как-то на одном компе такое. НОД не видел, а Каспер 6 выловил троянчега. Базы были актуальные. Сделал выводы, снес НОД
__________________
Too old to rock 'n' roll: too young to die! |
12-12-2007, 12:45 | #13 |
Pilot Officer
Регистрация: Aug 2004
Сообщений: 558
|
А я все равно Симантек не поменяю на каспера. Ну его...
|
12-12-2007, 17:42 | #14 |
IIsqn RAF Regiment
Регистрация: Jul 2004
Сообщений: 3,874
|
Нормальный лицензионный КАВ очень даже рулит, особенно в офисе с доменом и Админ Китом. Денег стоит конечно, но зато шанс поймать якусь гадость стремятся к нулю.
__________________
Опыт - это то что мы получаем вместо того что мы хотим Abandon all Hope plɐʌsoǝʌɹɐɥǝǝl |
12-12-2007, 17:48 | #15 |
Pilot Officer
Регистрация: Aug 2004
Сообщений: 558
|
KAV уже поборол свою "тормознутость"?
|
12-12-2007, 18:06 | #16 |
Простой совеццкий инженер
Регистрация: Oct 2004
Адрес: Фиинский заалифф :)
Сообщений: 2,810
|
Нет, КАВ оттого и тормознутый, что не делает вид, а действительно работает
Вычислил, что первоначально запрос идет на сайт firsttrue.hk, а затем уже начинается вся эта кутерьма. По гуглу пробить сей адрес не получаецо... На сайте Касперского тож ничего не известно. Щас буду запускать сканер...
__________________
|
12-12-2007, 23:20 | #17 |
ВRRедное ЛениФФое и Злое
Регистрация: Jul 2004
Сообщений: 1,091
|
На счет тормознутости, ток это реально было до 5й версии каспера, у меня щас стоит шестая, так я и не замеаю, что она включена... т.е. абсолютно комп не тупит.. и тем не менее, я абсолютно спокоен на предмет вирусов.. единственное не ленюсь раза 3 в неделю нажать на обновить..
__________________
"...им даже ненадо крестов на могилы, сойдут и на крыльях кресты..."(с)В.С.Высоцкий "...ведь у тебя СПИТ, а значит мы умрем..."(с) пилот люфваффы, умерший неизвестным "...хуже нет исхода драки, чем снаряд хиспаны в сраке..." (с) списанный по инвалидности пилот люфтваффы |
12-12-2007, 23:38 | #18 |
Нет меня, нету…©
Регистрация: Jan 2005
Адрес: Недалеко от Альфы Кентавра
Сообщений: 2,241
|
Что-то высокочтимые СэРРы заставили меня задуматься... На предмет Каспера...
__________________
Смерть достаточно близка, чтобы можно было не страшиться жизни. Ф. Нитцше Flash before my eyes, Now I gonna die... (c) Ride the Lightning, Metallica /Mirage's coveRR/ War, war never changes. Or does it? The war has changed. Did it? The answer is no. Unless it is yes… No, of course it is. It’s war. Yes. No. Yes? (c) Duty Calls |
13-12-2007, 00:19 | #19 |
Простой совеццкий инженер
Регистрация: Oct 2004
Адрес: Фиинский заалифф :)
Сообщений: 2,810
|
Убил 6 часов, просканил харды КАВом (НОДом сканилось около 2х часов). Из 1,65млн объектов тока один троян в экселевском файле, который я на новой системе не открывал. НОД его не видел. Также НОД не увидел спайварей в хтмлах одного скачанного сайта. Но зато НОД увидел троян в дистрибе Линейки...
А svchost все долбит и долбит на firsttrue.hk... Разумеется, доступ я ему туда закрыл, но откуда это лезет - не понятно. ЗЫ Идеального антивиря не существует...
__________________
|
13-12-2007, 04:23 | #20 |
СтальноКрыс
Регистрация: Sep 2005
Адрес: Надым-сити
Сообщений: 1,558
|
А чё Каспер уже свиньёй не верещит?....
Не люблю когда ворд предлагает сделать сайт, а антивирус - записать диски с музыкой.... остался верен НОДу
__________________
Улыбайтесь, господа...улыбайтесь. (с) ЯНКОВСКИЙ |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|