svchost.exe чудит
 

Посмотрел недавано в outpost и наблюдаю картину-
svchost.exe непрерывно шлет какието запросы на какойто адрес и при это номер порта увеличивается на 1 все время!что это за ерунда происходит???

Это не ерунда, это вирус

У меня была такая же кинуха. Не помогло ничего (переустановка винды)
кроме полного формата диска.

Turman
мда... скорее всего это действительно вирус... скорее всего троян... меня уже один раз за это забанили...

Turman
еще посмотри куда именно он шлет, и что по этому поводу написано в outpost

SilentSpider
Ghostface_killah

а как вылечить svchost.exe? форматировать совсем не хочется-слишком много данных накопилось.
пробовал касперским и доктором вебом - ничего не нашли.

Vlad Drakula

в outpost написано что
remote address 192.168.1.1
а значение remote port постоянно увеличивается на 1

Turman
выноси с винча svchost.exe не подписанные майкрософт...

это программа сканирования портов...

Vlad Drakula
ааааа!!!кошмар!!!
а как найти версии не подписанные майкрософт???
я пытался найти такой файл с помощью виндоуз коммандера.
и вот он нашел два таких файла
с:\\windows\servicepackfiles\i386\svchost.exe
c:\\windows\system32\svchost.exe

наверно первый надо снести???

Turman
если посмотреть смойства, но на закладке версия будет написано кто написал эту прогу...
но если вынесешь настойщий то придется переустанавливать винду....

Vlad Drakula
а я первый удалил- и компьютер перезагружается успешно-значит верный svchost.exe и отстался.
но порты опять сканируются.
такое еще наблюдение-когда комп выключаю-то сначала появляется какоето окошко -я не успеваю все прочитать -но там что-то написано про какой-то файл с расширением dll.
может это как то связано?

Turman
это значит что у тебя дочерта вирусов...

Vlad Drakula

я переустановил service pack 2 и svchost.exe вроде перестал сканировать порты.
однако вирусы -это плохо.
наверно ктото из сетки их наваял- ведь я доктором вебом проверял и касперским-значит наверняка какиенибудь местные вирусы....
(у меня комп к локальной городской сетке подключен)

Turman
ну... каспирский и доктор веб их могут и не находить...
на самом деле это не вирусы это трояны...

Turman
имея широкое постоянное подключение нужно в файрволе ставить жесткие настройки!

Если хочешь, я подкину тебе "Spy Sweeper" и "Ad-Aware SE Personal"? Они мне помогают.

Vlad Drakula

я в аутпосте поставил block most mode.
более детальную блокировку не представляя даже как делать.
может какиенибудь порты надо закрыть??
у меня шлюз 10.10.147.1
а локальная сеть с маской 255.255.255.0.
и в аутпосте постоянно какието соединения с 10.10.147.* пытаются активироваться! (system и netbios в основном пытаются это сделать)
странно еще что когда я ничего не делаю и трафик вроде не использую-то аутпост все равно засекает какието потоки!

Baber

у меня Ad-aware есть-он ничего не нашел.
а вот spy sweeper нет! а его скачать можно где-нибудь??

Turman, отравлю на личный или ищите.

Turman
у меня примерно несколько сотен тысячь коннектов за один день набегает...
ты посмотри каким приложениям ты что разрешил...

Baber
что-то у меня с приемом сообщения по е-мейл.
наверно поищу тогда в инете...

Vlad Drakula

меня немного настораживает что netbios и system постоянно лезут в адреса локальной сети.
а в списке программ которые можно ограничивать в аутпосте нет netbios и system !
как тогда их ограничить можно?

Turman
там когда увидишь что какой то процес (тот который не нужен) рвется туда куда не нужно, нажми правой кнопкой мыши на нем в
аутпосте и выбери "создать правило" только смотри не пришиби коннект с DNS серверами... а то совсем плохо тебе станет!

netbios вообще отключи - на хрена он для серфинга в инете???

Vlad Drakula
Absolut

пытался откючить netbios но когда жму на него в аутпосте то появляется окошко-но там комманда "создать правило" не работает (она не темная как остальные)!
как эт netbios вырубить?

Попытайся вырубить через панель управления/сетевые подключения/свойства... свойства протокола TCP\IP /дополнительно... вкладка WINS //попробуй отключить NETBIOS по TCP\IP протоколу.... может поможет.....у мя такого не было.......
если поможет скажи пожалуста..... :)

svchost.exe в процессах сколько памяти жрет?

у меня их пять процессов четыре из них по 1.5 метра...а один системный чуть больше 10 М......
система WIN_XP PRO/celeron 2.00G/512M_DDR

NIGHT_ANGEL

пробовал это проделать-не получилось- по-прежнему netbios активен и шлет какие-то запросы.
я вот думаю-а может стереть вообще этот svchost.exe и установить его с инсталляционного диска windows.
здесь правда вопрос возникает-ведь система не будет загружаться без svchost.exe.
как тогда и в какой последовательности надо этот svchost.exe скопировать с CD?
просто с CD перекопировать svchost.exe в папку system32? ( а есть ли вообще на CD такой отдельный файл svchost.exe ?)
или както по-другому надо этот svchost.exe заново установить???

Turman
1) svchost.exe не обязательно быть вирусом, для выполнения вредоносных действий. Он может быть инфецирован вредоносным кодом (что вылечится заменой на исходный файл) либо запускаться вредоносным процессом с необходимыми параметрами.
2) Для восстановления оригинального файла можно использовать команду "sfc /scannow". Это также воссстановит другие измененные системные файлы, если такие имеют место. Можно также задействовать команду "sfc /scanboot", что будет вызывать такую проверку на действительность файлов при каждой загрузке системы. Это увеличит время загрузки, но увеличит безопасность системы. При нормальном функционировании антивируса и регулярной работе антишпиона этого не требуется.
3) Для поиска вредоносных источников запуска svchost.exe с противоправными параметрами, можно использовать хороший менеджер процессов (например, я юзаю TaskInfo2003). Далее ищешь уже тот источник (либо файл на диске, либо ключи реестра или строки в файлах конфигурации).
4) NETBIOS можно отключить и системными свойствами. Для блокирования его через Outpost смотри раздел "Параметры" - "Общие" - "Системные" - "Параметры". Однако можешь лишиться работы по сети в своей локалке.

загружаешся с диска win_xp входишь в консоль восстановления логинишся в систему, вводишь команду SET он те выдает четыре параметра по умолчанию все равны FALSE изменяешь параметры "разрешить все пути" и "разрешить сменные носители" на TRUE потом етот файл на диске у меня находится в папке "I386" называется SVCHOST.EX_ тогда смоешь его спокойно переписать с минимумом гемора и одной перезагрузкой....... попробуй, сам я никода так не делал.....
если что стучи в асю...... 295236170....

2 truman

без SVCHOST.EXЕ сетки не будет вообще никакой.......

Greyman
NIGHT_ANGEL

Спасибо за помощь!
Попробую предпринять что-нибудь...