не сталкивались?

общие симптомы - некие процессы (чаще всего svchost, explorer.exe, iexplorer.exe) сами по себе начинают лезть в инет, адреса в разных случаях разные. Лезет очень часто - с периодичностью где то чуть ли не каждые 5-6 секунд.

сперва рассказала коллега на работе - описала примерно такие симптомы, не обратил внимания.

Потом сам в субботу "схватил" нечто, когда полазил без файрволла по инету. После включения файрволла увидел, что какой то процесс пытается вылезть в инет + бесперерывно чтото пытается сделать. Потом локализовал его и убрал в отдельную папку (для интереса - посмотреть позже что же это такое), тогда перестал запускаться. Нод32 его в упор не видит как вирус (!!!).

сегодня ездил к другу помочь почистить машину (те же симптомы - лезут некоторые процессы очень часто в инет) - вирус как бы видится (нод32 последний со свежими базами), но не чистит. Или убивает, но после перезагрузки снова появляется. Вирус опознался как некий win32.Rootkit.Agent. (порыскал по инету - первые упоминания о нем еще в январе 2007 - кстати не с этим ли связаны крики о большом трафике у некоторых людей?). Маскируется под svchost.exe и iexplorer.exe.
Вылечить или найти источник не удалось ... хотя времени мало было, не успел полностью все попробовать.

возможно все разные вирусы, но симптомы схожие. Не встречались?

Я слышал от одного знакомого об этом. Те же симптомы. И антивирус Зайцева помог ему. Честное слово - не реклама ему. Как сказал, так и передал.

полазил по инету ... нашел много интересного на эту тему. Это оказывается такие особенные вирусы (Rootkit вирусы) - симптомы всегда одинаковые... пара идей возникла как почистить.

в общем лучший совет - не ловить такого зверька себе :)

кстати кажется AVZ действительно достаточно эффективно с ними борется. Завтра попробую на компьютере друга ...

Корень зол


Мир виртуальный ничуть не безопаснее реального. Наоборот: в нем проще совершить преступление и проще остаться безнаказанным. Вследствие этого число угроз, с которыми не только может, а ежедневно сталкивается любой пользователь, продолжает расти.

По историческим причинам юзеры больше всего боятся информационных вирусов. Изначально их называли (да и продолжают называть) "компьютерными", однако сейчас этот термин кажется анахронизмом: само понятие "компьютер" сильно изменилось за последнее десятилетие, да и среда для размножения вирусов стала куда разнообразнее - взять хотя бы смартфоны и даже банальные мобильники с поддержкой Java.

Поскольку изменился также и стиль жизни айтишников, вирусы постепенно отошли на задний план, уступив лидерство сетевым червям. Появление и повсеместное распространение дешевого доступа в Интернет (вкупе с халатным отношением пользователей к безопасности)привело к тому, что уже который год в списке самых опасных угроз интернет черви занимают первые места.

В затылок им дышат троянские кони, которые уже давно перестали быть прерогативой целенаправленной атаки и сейчас табунами скачут по жестким дискам случай ных жертв. Иногда слышу от пользователей жалобы: мол, антивирус нашел какую то гадость, а вылечить не смог - пришлось удалить. В связи с этим хочется напомнить, что зачастую черви и трояны существуют в виде отдельных файлов, которые "вылечить", естественно, невозможно, поскольку это и есть их тела. Число шпионских программ и компонентов возросло настолько, что периодическая проверка antispyware утилитами из параноидальной акции стала насущной необходимостью Более того, теперь отрицательный результат сканирования заставляет меня насторожиться.
Старый новый код

В прошлом году из за скандала с Sony [en.wikipedia.org/wiki/] вспомнили о давней и доселе игнорируемой пользователями угрозе - руткитах(rootkits). Изначально в ОС Unix под руткитом подразумевался набор программ, предназначенный для получения, удержания и сокрытия факта использования привилегий суперпользователя (root). В Windows же это понятие трактуется так: совокупность программных средств, установленных на ПК с целью получения над ним контроля (полного или частичного) и скрывающих свое присутствие в системе. Их назначение может быть каким угодно: перехватчик клавиатурных нажатий, троян, шпионская программа, драйвер виртуального привода оптических дисков (к слову, комплекс защиты от копирования StarForce действует во многом схоже с руткитами)… и даже защитный (например, антивирусный) комплекс. Безусловно, технология руткитов является довольно специфической и агрессивной, но, как видите, она используется не только злоумышленниками и далеко не всегда с корыстным умыслом.
Троицу любит не только Нео

Чтобы обеспечить тайну присутствия руткита, его разработчик может пойти одним из трех основных путей.

>Первый - добавление фрагмента кода к ядру ОС (или даже перезапись его части). В этом плане ядро Windows NT и его "потомки" удивляют своей hacker friendly архитектурой. Когда трава была зеленее и деревья выше, традиционное ядро выглядело как самая маленькая, наиболее тщательно оптимизированная часть операционной системы. Потому она и оказывалась самой надежной. Однако с тех пор утекло много воды, и сейчас на уровне ядра работает множество небеспроблемных процессов - например, драйверы устройств [Цифровой сертификат - это здорово. Однако проблемы он не решает. Ведь зачастую бывает так, что у пользователя в наличии только неподписанный драйвер, не прошедший WHQL сертификацию в Microsoft, и деваться некуда. Приходится ставить по принципу Plug n Pray, попросту игнорируя предупреждения]. Многие мудрые люди критиковали такой подход, однако внутренние отчеты компании о скорости разработки ОС семейства Windows и звон монет, видимо, заглушили для руководства MS даже глас Брюса Шнайера [Шнайер Б. Секреты и ложь. Безопасность данных в цифровом мире. - С Пб.: "Питер", 2003].

Прошли годы, а воз и ныне там. Справедливости ради отмечу, что Linux тоже небезупречна: в ней присутствуют подгружаемые модули ядра (через которые также можно добавлять системные вызовы), и это не делает ее безопаснее.

>Перехват и подмена системных вызовов - другой способ скрыть руткит от глаз пользователя. Для этой цели модифицируются или заменяются собственными системные библиотеки. Дело в том, что любое приложение (будь то файловый менеджер или антивирусный сканер) начинает работать с файлами и директориями на диске, запрашивая через системную библиотеку их список. Если библиотека выдает неверный результат (скрывает часть файлов/каталогов), то они не будут ни отображаться, ни проверяться. Аналогичным образом руткит может прятаться и при попытке просмотреть список активных процессов.

>Третий путь проникновения: непосред ственная замена кода пользовательской программы - то есть, по сути, его троянизация. Это типичный вариант работы руткитов уровня приложений. С одной стороны, такие вещи проще всего обнаруживаются. С другой - их также проще писать и использовать. Большая часть доступных в Интернете наборов для изготовления руткитов позволяет делать именно такие руткиты. Кстати, распространено мнение, что если процесс активен, то принадлежащий ему файл нельзя пропатчить до завершения процесса. Мягко говоря, это опасный миф. Достаточно вникнуть в схему разграничения прав различных типов исполняемого кода, чтобы развеять его.
Адская смесь

Разграничения в виртуальной среде довольно условны. Кроме того, практически всегда есть возможность сочетать методики атаки и сокрытия следов. Поэтому в каждом конкретном случае бывает затруднительно сказать, что вот этот руткит - уровня ядра, а вот этот - приложения. Хотя такая классификация и применяется в настоящее время, она не является официальной, общепринятой (да и не может пока быть таковой). Неясно также и то, каким образом следует позиционировать руткиты по отношению к другим "вредоносным" программам.

Широта методов их работы, доставки на ПК жертвы и конечных целей служит благодатной почвой для споров. Разные исследователи руткитов и эксперты в области информационной безопасности (в зависимости от того, с чем больше работали и чаще сталкивались) излагают свои, действительно уникальные точки зрения: от необходимости считать руткиты всего лишь технологией для сокрытия других процессов [См., например: Машевский Ю., Монастырский А., Сапронов К. Возможности rootkit и борьба с ними] до придания им статуса эволюционно нового и быстро развивающегося типа угроз [Haesman John, Rootkit threats].
Старая гвардия и ПО специального назначения

Сейчас антивирусные компании всерьез озаботились проблемой руткитов и стали не просто добавлять их сигнатуры в базы своих продуктов (обеспечивая тем самым профилактику заражения), но даже разрабатывать новые способы определения активного руткита в системе (осуществлять диагностику). Не дремлют и другие борцы за чистоту адресного пространства. Марк Руссинович и Брюс Когсвелл выпустили отличную утилиту RootkitRevealer [www.sysinternals.com] , которая во многих случаях позволяет обнаружить присутствие руткита любого типа по отличиям в реестре и файловой системе при их опросе различными способами.

Однако единственный способ, гарантирующий возможность беспрепятственной проверки зараженной ОС [А любая ОС, по моему параноидальному мнению, должна считаться инфицированной до тех пор, пока строго не доказано обратное. Поскольку же строго доказать это практически невозможно… делаем вывод], - это ее сканирование в неактивной форме, то есть из под другой ОС. Тогда самый совершенный руткит уровня ядра будет обнаруживаться так же просто, как и клон тривиального вируса, - по сигнатуре. Ведь противостоять сканированию он уже не сможет. Подобная методика борьбы со зловредным кодом изестна давно: раньше пользовались загрузочными носителями с DOS, теперь применяют Linux с драйверами чтения/записи NTFS или модифицированную версию Windows XP. Так, например, WinXP PE "устанавливается" на виртуальный жесткий диск, создаваемый в оперативной памяти, и позволяет производить с исходной (установленной на жесткий диск и подвергающейся проверке) WinNT/2k/XP/2k3 любые действия [См. статью "Флэш - драйв" в КТ #630]. Проверять базовую ОС следует всеми средствами, какие только найдете (по скольку разные продукты обладают разной чувствительностью и возможностями поиска), и так часто, насколько это возможно.

Разумеется, следует помнить о ложно положительных срабатываниях: прежде чем решиться на удаление чего либо, следует все тщательно обдумать и создать резервную копию.
О непротивлении злу

блин, зилот помоги, у меня такая хрень. svchost.exe аш 5, iexplore.exe 1, exprorer.exe 1

продолжение ...

Борьба с такими агрессивными в плане методов работы malware осложняется еще вот чем: руткиты, стелс вирусы и иже с ними могут преспокойно "плясать от ядра", вытворяя с ОС все, что угодно. Их создателям наплевать на возможные проблемы у пользователя. А вот разработчики антивирусных и прочих защитных приложений обычно не могут позволить себе такую роскошь в выборе средств [Хотя, между нами говоря, иногда позволяют]. Они дорожат своей репутацией, имеют службу поддержки и несут ответственность (несмотря на disclaimer’ы в лицензии) за свой продукт. Поэтому они вынуждены придерживаться стандартов и ограничиваться (подобно рядовым прикладным программистам) третьим кольцом защиты [Номер кольца определяет, что может делать программа, а какие инструкции выходят за рамки ее компетенции.Осуществляется этот механизм регулирования путем управления адресным пространством. Для каждого его сегмента устанавливается свой уровень привилегий. Чем выше номер кольца, тем меньше полномочий у программ, расположенных в нем]. Аналогия из жизни: если охраннику дать боевое оружие, он с гораздо большей вероятностью сможет остановить преступника. Однако вероятность причинения вреда законопослушным гражданам тоже возрастет.

Очевидно, что если такое положение дел кое как годится для предотвращения инфицирования (со многими оговорками), то для лечения уже зараженного (читай - подконтрольного malware) компьютера оно создает непреодолимые препятствия. С этим связана одна из типичных ошибок пользователя - целиком полагаться на защиту антивирусного монитора (резидентно проверяющего открываемые и запускаемые файлы). Дело в том, что AV монитор - это аналог фильтра грубой очистки. Он не может (да и не должен) выполнять проверку столь же тщательно, как антивирусный сканер. В противном случае он отъест львиную долю вычислительных ресурсов и сделает работу с ПК едва ли возможной. Нет речи о том, чтобы проверять файлы построчно (режим "избыточного" или "полного" сканирования). Зачастую пользователям предлагается отказаться от проверки архивов больше определенного размера или целиком либо вообще ограничиться тестированием исполняемых файлов и документов MS Office, как самого типичного рассадника заразы.

Кроме того: некий зловредный код может стартовать раньше, чем запустится антивирусный монитор, - со всеми вытекающими последствиями.
Откуда они берутся?

Обычная схема установки руткита в три шага (если его использует злоумышленник) принципиально не отличается от таковой в случае других malware и выглядит примерно так. На первом этапе пользоваелю предлагается установить нечто интересное. Затем это "нечто" доустанавливает руткит (например, под видом обновления). После чего руткит использует какую либо уязвимость в ОС или приложении (чаще всего - в Internet Explorer) для повышения своих привилегий до уровня системы.

Есть и более эффективные методики, сводящие к минимуму зависимость от действий компьютеровладельца. Использование эксплойт червей позволяет скрытно от юзера установить на его ПК любую программу - в том числе и руткит.

От них редко спасают файрволлы (поскольку эксплойт червь может работать как часть приложения, уже получившего разрешение на выход в Сеть. Например, браузера или медиа плейера).

Своевременная установка обновлений - мера необходимая, но недостаточная для защиты от такого метода доставки руткитов, поскольку о части новых уязвимостей становится известно за несколько дней (или даже недель!) до выпуска официальной "заплатки", устраняющей их. Другой изощренный способ внедрения работает по принципу бинарных зарядов [Здесь термин "бинарный" заимствован у военных токсикологов и не имеет отношения к ИТ]. Суть в том, что код руткита раз бивается на несколько частей, каждая из которых по отдельности не вызывает подозрений у антивирусной защиты. После этого тем или иным образом злоумышленник инициализирует сборку руткита непосредственно на компьютере жертвы.

Делается это, главным образом, для обхода антивирусных мониторов, установленных на корпоративном сервере. Поскольку методика сложна, ее реализация может сильно растянуться во времени (в случае, если каждая из частей доставляется своим путем), такие атаки редки и осуществляются целенаправленно.
PC’хологические аспекты

Говоря об угрозах вообще, должен обратить внимание читателей на следующий факт: возможности Интернета сейчас востребованы практически всеми программами вне зависимости от их назначения. Через него осуществляется регистрация и проверка обновлений. За очевидным удобством здесь стоит не менее очевидная угроза: трудность проверки взаимодействия программ с Интернетом, которая для рядового пользователя означает невозможность контроля сетевой активности своего компьютера. Кроме того, люди привыкают к мысли, что любая программа может работать в Сети, и в результате теряют бдительность. Даже если у них стоит грамотно настроенный файрволл, который заставляет весь софт честно спрашивать разрешение на подключение, под лавиной таких запросов пользователи часто сдаются и начинают соглашаться со всем подряд. Им уже не интересно, что и куда передается или откуда принимается. Лишь бы работало и не отвлекало. Затрудняют разумное регулирование поведения программ в Сети со стороны пользователя еще два момента: плохое владение английским (по прежнему далеко не весь софт может похвастаться грамотной русификацией) и весьма абстрактные представления об устройстве Интернета. Но эти проблемы решить труднее, чем обнаружить самый коварный руткит…

блин, зилот помоги, у меня такая хрень. svchost.exe аш 5, iexplore.exe 1, exprorer.exe 1

у всех эти процессы есть =)
это системные. Само присутствие их ни о чем не говорит.

вирус может маскироваться под них. У кого то маскируется под svchost.exe, у кого то под msimn.exe, у кого то еще под чтото.

выруби все проги, потом посмотри в файрволле - если никакой процесс в инет не лезет и не дрыгается, то все ок.

кстати AVZ оказ-ся есть на soft.ya1.ru, ставьте - обновляйтесь и проверяйтесь.

вот кстати типичное сообщение о такого рода вирусах ..

Здрасте.
У меня W2K. Нахватал я букет хворей всяких: трояны, вирусы. Проверял системный раздел АВПшником, нашел троян(ы) и какой-то вирус. На дню по несколько раз проверяю пытаясь избавиться от заразы.
За сегодня обнаружил вирус в файле Winnt/system32/msdom2.dll, удалил его. Поискал такой же файл в копии системы, там его нет. Однако теперь IE работает весьма глючно и ругается на отсутствие этого файла. Еще после каждой перезагрузки обнаруживаю троян "Rootkit.win32.agent.dp" в файле Netdtect.sys.
Еще у меня при подключении к инету траффик улетает в трубу, глазом моргнуть не успеваю. Пытался отслеживать в Outpost'е (в закладке "Сетевая активность") процессы пользующиеся инетом, и по очереди отключал. В общем Outpost показывает что активен Msimn.exe (хотя на самом деле этот процесс вообще не запущен), обрубаю ему доступ. Тут же пишется что активен IE, хотя он тоже закрыт. Обрубаю ему доступ, и т.д. Тем временем траффик съедается. И даже при отключенном инете, в Outpost'e показывается, что какой-нибудь из системных процессов непрерывно пытается воспользоваться инетом.
Так было еще сегодня. Но после сегодняшних, многочисленных проверок системного раздела АВПшником и AVZ, в данный момент вроде все в порядке. Инет не сгорает, Outpost говорит что все спокойно и никто не претендует на интернет. Но я почти уверен что проблемы всплывут после перезагрузки, или небольшой прогулки по инету. т.к. источник проблем, судя по всему не устранен.

прикрепил файлик с хелпом с форума авторов AVZ.
Если вдруг такая зараза у вас - смотрите файлик.

ты кроме нода32 пробовал другие антивирусы? др.Веб касперыча,аваст или только AVZ нормально его лечит?

зы. в след раз в инет без фаирволов не ногой))

походу файрволл придеться ставить, а то че-то вы тут меня малость напугали =)

ты кроме нода32 пробовал другие антивирусы? др.Веб касперыча,аваст или только AVZ нормально его лечит?

другие нет. Просто под рукой не было, да и против таких вирусов ни один антивирус из обычных не помогает - можно вылечить, только если винт подцепить к другому компу или же спец антивирусами (если на самой машине), которые именно против rootkit-вирусов умеют бороться

Сегодня на софте выложили Sophos Anti-Rootkit 1.3 (http://soft.ya1.ru/folder.php?id=1883)

, iexplore.exe 1,
точно вредоносная вещь. Удаил и реестр почисти

у меня после проверки AVZ перезагрузился комп, внезапно. Теперь у меня очень долго рабочий стол загружается.

Устонови Nod32 и некаких проблем небудет с вирусами !

у меня нод32 есть. Чистил "0" вирусов, "0" троянов

у меня после проверки AVZ перезагрузился комп, внезапно. Теперь у меня очень долго рабочий стол загружается.

вово у мя такая же проблема! долга грузится стала

блин опять новый вирус :(: ыыыы с каждым днем их становитса все больше и больше а антивирусы они обходят все чаще и чаще так што блин все наверное капут виндовсу....но если изобретут супер новый АНТИВИРУС тогда может быть и все намано будет =) будем надеятсо на ето =)

У меня при подключении VPN через некоторое время вылетает ошибка, в отчете которой указывается svchost.exe После этого Интернет ВООБЩЕ отказывается работать пока не перезагружу комп. Вот такая проблема уже 3 дня назад началась. Я конечно не спец в этом деле и не знаю причины, но может это тот самый вирус?

да ещё svchost сам лезит в интернет, только что посмотрел

У меня при подключении VPN через некоторое время вылетает ошибка, в отчете которой указывается svchost.exe После этого Интернет ВООБЩЕ отказывается работать пока не перезагружу комп. Вот такая проблема уже 3 дня назад началась. Я конечно не спец в этом деле и не знаю причины, но может это тот самый вирус?
ставь
http://updates.ya1.ru/winxpru_sp2/WindowsXP-KB921883-x86-RUS.exe

если лезет сам в инет - то это уже другое. Смотришь через файрволл и блокируешь. Сам по себе svchost никуда не должен лезть (максимум на 80.73.64.251 - наш днс сервер).

кстати поборол вирус (наз-ся Rootkit.Agent.df) на компе друга. Пришлось чуток попариться ...
Вначале запустил avz, стандартные скрипты - нашел тело вируса runtime2.sys + процесс зараженный (еще и скрытый). Скинул процесс, а тело скинуть не смог - сидит на уровне ядра, скинуть или сбросить не удавалось. Почистил в реестре все упоминания - после перезагрузки снова загружается (и в реестре все снова появляется ...)

побился побился, потом догадался как сделать. Запустил avz, скинул процесс, почистил реестр, почистил с помощью нод32 разные куски на диске и вырубил комп от сети (вырубил сразу пилот).
загрузился - и все! чисто. Оказ-ся в момент выключения компа свои записи обновляет (в реестр и на диске) ...

у меня после проверки AVZ перезагрузился комп, внезапно. Теперь у меня очень долго рабочий стол загружается

avzpm драйвер инсталлили?

дак если комп вообще 2 дня выключен, приходишь статистику проверяешь...внутренняя сеть по нулям.., внешка 87 kb или 280, как это может быть вирус если комп выключен????

дак если комп вообще 2 дня выключен, приходишь статистику проверяешь...внутренняя сеть по нулям.., внешка 87 kb или 280, как это может быть вирус если комп выключен????

в данном случае это не вирус, это как раз чистый паразитный трафик.

280 кб в день - это 9 мегабайт в месяц. СТК специально для этого выделяет по 10 мб в месяц (еще 1 мб остается)

в данном случае это не вирус, это как раз чистый паразитный трафик.

280 кб в день - это 9 мегабайт в месяц. СТК специально для этого выделяет по 10 мб в месяц (еще 1 мб остается)

А бывает и больше чем 280..конечно это копейки...но..всё равно как то напрягает...

ставь
http://updates.ya1.ru/winxpru_sp2/WindowsXP-KB921883-x86-RUS.exe

Спасибо Zealot

Седня подхвотил эту дрянь.Ща сижу чищу комп АВЗ посмотрим че получится.
Вирус какойто опасный ппц,нескока внешку жрет а скока оперативы жрет.
Открываются процессов 20-30 svchost.exe каждый по 3.5 мега кушает.

Хмм,ошибочка вышла,вирус у меня какойто мощный,нече неберет.
Щас буду делать формат C:
З.ы будьте прокляты хакеры :)
З.ы З.ы Может куданить скинуть зараженый архив?

Хмм,ошибочка вышла,вирус у меня какойто мощный,нече неберет.
Щас буду делать формат C:
З.ы будьте прокляты хакеры :)
З.ы З.ы Может куданить скинуть зараженый архив?

скинь в архиве, итересно втф :)

пробовал винт снять, подцепить к другому компу и лечить оттуда?

или загрузиться с загрузочных дисков типа WinPE - с другого ядра и чистить оттуда?

пробовал винт снять, подцепить к другому компу и лечить оттуда?

или загрузиться с загрузочных дисков типа WinPE - с другого ядра и чистить оттуда?

Первое пробывал,неберет.
Второе хз как делать :)

Кажись СТК сам этот вирус создал и распространил, чтоб охрененный трафик натикал. =)

тупишь

Хорошо что у меня Тметер стоит. Там в списке задержанных пакетов каждую минуту че-то пытается вылезти и скачать.
Тото наверно у меня 3 гига скачала!!!

Вот чего нашел

SVCHOST.EXE
(Generic Host Process for Win32 Services)



Очень часто у пользователей возникает вопрос - что это за приложение "svchost.exe", наблюдаемое ими в списке процессов, и почему оно загружено в нескольких экземплярах?..


SVCHOST.EXE - это главный системный процесс для тех служб, которые запускаются из динамически загружаемых библиотек (DLL-файлов).
И действительно несколько экземпляров процесса svchost.exe могут быть запущены одновременно (но с разными PID*). Так как каждый из таких экземпляров представляет собой определенную преимущественно системную службу или же группу служб. Эти группы определены в следующем разделе реестра:

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Cu rrentVersion\Svchost
Каждый параметр этого раздела представляет собой отдельную Svchost-группу и отображается при просмотре активных процессов, как отдельный экземпляр svchost.exe.
Также, чтобы просмотреть список служб, выполняющихся в каком-либо процессе svchost.exe, можно сделать следующее:

Start > Run (Пуск > Выполнить)
Вписываем: CMD
Нажимаем ОК или клавишу ENTER.
В появившемся приложении вводим команду: tasklist /SVC
И нажимаем на клавишу ENTER.




Список служб Windows XP, запускаемых с помощью svchost.exe:
(т.е. эти службы не являются вирусами!)

Alerter / Оповещатель
Application Management / Управление приложениями
Automatic Updates / Автоматическое обновление
Background Intelligent Transfer Service / Фоновая интеллектуальная служба передачи
Bluetooth Support Service
COM+ Event System / Система событий COM+
Computer Browser / Обозреватель компьютеров
Cryptographic Services / Службы криптографии
DCOM Server Process Launcher
DHCP Client / DHCP-клиент
Distributed Link Tracking Client / Клиент отслеживания изменившихся связей
DNS Client / DNS-клиент
Error Reporting Service / Служба регистрации ошибок
Fast User Switching Compatibility / Совместимость быстрого переключения пользователей
Help and Support / Справка и поддержка
HTTP SSL
Human Interface Device Access / Доступ к HID-устройствам
Logical Disk Manager / Диспетчер логических дисков
Messenger / Служба сообщений
Network Connections / Сетевые подключения
Network Location Awareness (NLA) / Служба сетевого расположения (NLA)
Network Provisioning Service
Portable Media Serial Number Service / Серийный номер переносного медиа-устройства
Remote Access Auto Connection Manager / Диспетчер авто-подключений удаленного доступа
Remote Access Connection Manager / Диспетчер подключений удаленного доступа
Remote Procedure Call (RPC) / Удаленный вызов процедур (RPC)
Remote Registry / Удаленный реестр
Removable Storage / Съемные ЗУ
Routing and Remote Access / Маршрутизация и удаленный доступ
Secondary Logon / Вторичный вход в систему
Security Center / Центр обеспечения безопасности
Server / Сервер
Shell Hardware Detection / Определение оборудования оболочки
SSDP Discovery Service / Служба обнаружения SSDP
System Event Notification / Уведомление о системных событиях
System Restore Service / Служба восстановления системы
Task Scheduler / Планировщик заданий
TCP/IP NetBIOS Helper / Модуль поддержки NetBIOS через TCP/IP
Telephony / Телефония
Terminal Services / Службы терминалов
Themes / Темы
Universal Plug and Play Device Host / Узел универсальных PnP-устройств
Upload Manager / Диспетчер отгрузки
WebClient / Веб-клиент
Windows Audio / Windows Audio
Windows Firewall/Internet Connection Sharing (ICS) / Брандмауэр Интернета (ICF)/Общий доступ к Интернету (ICS)
Windows Image Acquisition (WIA) / Служба загрузки изображений (WIA)
Windows Management Instrumentation / Инструментарий управления Windows
Windows Management Instrumentation Driver Extensions / Расширения драйверов WMI
Windows Time / Служба времени Windows
Wireless Zero Configuration / Беспроводная настройка
Workstation / Рабочая станция


Список "левых" служб, ссылающихся на svchost.exe:
(т.е. эти службы были созданы вирусами!)


(слева: название службы, справа: её команда)
AppMgmt - svchost.exe -k AppMgmt
Browser - svchost.exe -k Browser
COM Message Transfer (mscommt) - svchost.exe -k mscommt
Disk Monitor Services (DiskMon32) - svchost.exe -k dmon
dmserver - svchost.exe -k
DNS Server (DNS Server) - svchost.exe
FastUserSwitchingCompatibil (Fast User Switching Compatibil) - svchost.exe
Generic Host Process For Win32 Services (Generic Host Process) - svchost.exe
generic host process (svchost) - svchost.exe
Hardware Detection (Serv-U) - svchost.exe
Host Services (Host Services) - svhosts.exe
IPRIP (IPRIP) - svchost.exe -k netsvcs
kdc - svchost.exe -k kdc
LmHosts - svchost.exe -k LmHosts
Messenger - svchost.exe -k Messenger
MS Internet Countermeasures Framework (ICF) - \System32:svchost.exe
NetLogon - svchost.exe -k
Network Connections Sharing (RpcTftpd) - svchost.exe
Network DDE DSMA (NetDDEdsma) - svchost.exe
ntmssvc - svchost.exe -k ntmssvc
NVIDIA Driver ServiceЎЎ (NVSv ) - svchost.exe
RasAt (Remote Connection) - svchost.exe
Policy Agent - svchost.exe -k Policy Agent
Power Manager (PowerManager) - svchost.exe
ProtectedStorage - svchost.exe -k ProtectedStorage
Server Management Service - svchost.exe
SVC Module (SVC Module) - svchost.exe
svchost - SVCHOST.EXE
svchost.exe (moto) - svchost.exe
svchost.exe (moto) - любое название из 18-ти знаков
svchost.exe (svchost.exe) - svchost.exe
System Event Messaging - svchost.exe
taskmng (svchost) - svchost.exe
TrkSvr - svchost.exe -k TrkSvr
TrkWks - svchost.exe -k TrkWks
W32Time - svchost.exe -k W32Time
Windows Configuration Backup Service (CfgBackupSvc) - svchost.exe
Windows Configuration Loader (Windows Configuration Loader) - SVCHOST.EXE
Windows Configuration Manager (ConfigMgr) - svchost.exe
Windows Kernel (Windows Kernel) - svchost.exe
Windows Management (Windows Management) - svchost.exe
Windows Network Mapping Service (NetMap) - svchost.exe
Windows Security Drivers (csrs) - svchost.exe
Windows Smrss Service - svchost.exe
.NET Framework Service - svchost.exe
.NET Framework Service (.NET Connection Service) - svchost.exe
______________


Обязательно нужно иметь в виду, что системный файл svchost.exe должен находиться в папке:

C:\WINDOWS\system32 (касается только Windows XP/NT/2000)
Если он находится в папке WINDOWS и/или файлов с таким названием в вашей системе несколько, то, скорее всего, у вас живет вирус.
Я сказала именно "скорее всего", так как несколько копий файла svchost.exe - это всё-таки еще не гарантия заражения.

Например, вас ни в коем случае не должны пугать копии файла svchost.exe в таких папках, как:

C:\WINDOWS\ServicePackFiles\i386
C:\WINDOWS\Prefetch
а также некоторых других.
Или, к примеру, файл с названием svchost.exe создается при установке антивируса BullGuard:

C:\Program Files\BullGuard Software\svchost.exe
который также к вирусам никакого отношения не имеет.
Поэтому еще раз замечу, что впервую очередь, обращать внимание нужно именно на папку WINDOWS, т.к. она наиболее часто используется в целях маскировки под настоящий файл svchost.exe.


Наиболее распространенные местоположения вирусов, маскирующихся под svchost.exe:
(т.е. эти файлы на 99% были созданы вирусами)


C:\WINDOWS\svchost.exe
C:\WINDOWS\system\svchost.exe (касается только Windows XP/NT/2000)
C:\WINDOWS\config\svchost.exe
C:\WINDOWS\inet20000\svchost.exe
C:\WINDOWS\inetsponsor\svchost.exe

Помимо этого очень многие вирусы пытаются себя замаскировать, используя имена и названия, которые очень похожи на название "svchost" (в этом случае местоположение файлов уже может быть абсолютно любое, в том числе достаточно часто используется и папка WINDOWS\system32).


Наиболее распространенные названия файлов, маскирующихся под svchost.exe:
(т.е. эти файлы на 99% были созданы вирусами)


svсhost.exe (вместо английской "c" используется русская "с")
svcchost.exe (2 "c")
svhost.exe (пропущено "c")
svch0st.exe (вместо "o" используется ноль)
svchos1.exe (вместо "t" используется единица)
svchosl.exe (вместо "t" используется "l")
svchosts.exe (в конец добавлено "s")
svchoste.exe (в конец добавлено "e")
svchostt.exe (2 "t" на конце)
svchost32.exe (в конец добавлено "32")
svchosts32.exe (в конец добавлено "s32")
svchosthlp.exe (в конец добавлено "hlp")
svdhost32.exe (вместо "c" используется "d" + в конец добавлено "32")
svshost.exe (вместо "c" используется "s")
svehost.exe (вместо "c" используется "e")
svrhost.exe (вместо "c" используется "r")
svchest.exe (вместо "o" используется "e")
svschost.exe (после "v" добавлено лишнее "s")
svcshost.exe (после "c" добавлено лишнее "s")
svxhost.exe (вместо "c" используется "x")
syshost.exe (вместо "vc" используется "ys")
svchoes.exe (вместо "st" используется "es")
svhostes.exe (пропущено "c" + в конец добавлено "es")
svho0st98.exe
ssvvcchhoosst.exe

Также обязательно должно насторожить, если svchost.exe (или что-либо похожее) каким-либо образом пытается записать себя в обычную автозагрузку (т.е. помимо запуска в качестве системной службы, использует Windows StartUp или ini-файлы). Реальные примеры подобных вирусов из логов HijackThis:

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDO WS\config\svchost.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\config\svchost.exe
F2 - REG:system.ini: Shell=Explorer.exe scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [Win32 Update] svchosts.exe
O4 - HKLM\..\RunOnce: [Win32 Update] svchosts.exe
O4 - HKLM\..\RunServices: [Win32 Update] svchosts.exe
O4 - HKCU\..\Run: [Win32 Update] svchosts.exe
O4 - HKCU\..\RunOnce: [Win32 Update] svchosts.exe
O4 - HKLM\..\Run: [GNP Generic Host Process] C:\WINDOWS\system\svchost.exe
O4 - HKLM\..\Run: [WinService32] C:\Program Files\System32\svchost.exe
O4 - HKLM\..\Run: [svc] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [Microsoft ® Windows Configuration Backup Service] C:\WINDOWS\config\svchost.exe
O4 - HKLM\..\Run: [Microsoft ® Windows Configuration Manager] C:\WINDOWS\system\svchost.exe
O4 - Startup: svchost.exe
O4 - Global Startup: svchost.exe


http://www.softboard.ru/index.php?showtopic=37015&st=0&p=327695&#entry327695
Там много чего о вирусах и о способах лечения

кстати вы нодом проверяли на глубоком сканировании или как ?

конечно на полном

чтобы узнать - есть ли такой вирус, нужен файрволл. Антивирус может и не увидеть ...

Кажись СТК сам этот вирус создал и распространил, чтоб охрененный трафик натикал. =)

Ты тупиш ппц.Я вирус подхвотил не тут а на внешке
И вообще лучше профилактика,ненадо без файрволла лазать,и лучшее лечение это Format C:/
:) :)

лучшее лечение - format c: - не соглашусь.

во первых, формат цэ - это лечение уже последствий. Ну сегодня ты форматнул, а завтра так же подхватил. Сперва надо разобраться как проник вирус, заткнуть дыры, разобраться в чем ошибка.

во вторых, на компах бывает куча нужной инфы и настроек, которые заново переустанавливать долго и нудно, а порой и невосстановимо.

мм самый устойчивый и безопасный - это размещение системы и данных на разных дисках + периодически снимать образ с системной части, кидать допустим на двдишку.

в случае невосстановимости (уже перепробованы все шаги, все способы) - просто разворачиваем образ поверх и все.

так
короче у меня червяков на компе пзц появилось
и трафик в воскресенье набежал
12:00 319 758 981
13:00 422 868 759 хз от куда, я спал в это время
даже если не спал то когда встал я в нет не лез
ну короче в это время немогло стоко набежать
как лечить помогите, нод32 их видет но не удалят и не лечит токо в карантин направел

как вирус наз-ся?

Nuwar.Gen червь
TrojanDownloader.Small.AWA троян

У меня тоже самое C:\Program Files\Random's Developments\Flash&Backup 3\RegTool.exe >>> подозрение на Trojan-Downloader.Win32.Delf.amb :0 :aggressiv

На рабочем компе svchost.exe подгружает проц каждые 2-3 секунды на 30-50%. Стал инет виснуть. Позвонил в техподдержку, сказали у вас вирус и он генерирует "паразитный" трафик, из-за этого ВПН сервер нас рубит. Проверил Каспером - не нашел ничего. Проверил НОДом - тоже самое, чисто. Но стабильно грузит svchost.exe проц. И стабильно Outpost ругается на сканирование сети, раз в 5 минут точно. Может кто сталкивался?

проверь Lavasoft AdAware с последней базой

ага есть такая зараза... иногда нод32 лечит некорректно...

На рабочем компе svchost.exe подгружает проц каждые 2-3 секунды на 30-50%. Стал инет виснуть. Позвонил в техподдержку, сказали у вас вирус и он генерирует "паразитный" трафик, из-за этого ВПН сервер нас рубит. Проверил Каспером - не нашел ничего. Проверил НОДом - тоже самое, чисто. Но стабильно грузит svchost.exe проц. И стабильно Outpost ругается на сканирование сети, раз в 5 минут точно. Может кто сталкивался?

1) патч на хп2, который исправляют какую то ошибку с свхостом стоит?

2) свхост сам по себе в инет не должен лазить, это скорее всего поддельный svchost.exe, посмотри в winnt\system32 сколько там svchost-ов (у меня например было 2 =) ) ... поглядеть внутри - определить который майкрософтовский - который левый. Накрайняк заменить его с незараженного компа.

из процессов попробовать определить который лишний и выключить, посмотреть - есть ли соединения, потом почистить.

вот у меня тут в карантине тоже лежит svchost (то ли c русское, то ли o). Нод32 его не распознает как вирус, но стоит запустить - лезет в инет.

3) пройтись avz-шкой на предмет лечения spyware - он подскажет, где что подозрительное и запустить скрипты (он определит разные перехватчики).

Внимание !!! База поcледний раз обновлялась 06.03.2007 - необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.24
Сканирование запущено в 25.05.2007 22:14:00
Загружена база: 92528 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 06.03.2007 11:35
Загружены микропрограммы эвристики: 367
Загружены цифровые подписи системных файлов: 56710
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->7C882FC4
Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->7C882FD3
Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->7C882FF1
Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ACD3->7C882FE2
Детектирована модификация IAT: LoadLibraryA - 7C882FC4<>7C801D77
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=0846E0)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055B6E0
KiST = 89904008 (297)
>>> Внимание, таблица KiST перемещена ! (80503734(284)->89904008(297))
Функция NtClose (19) перехвачена (805BAEB4->A94A9870), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция NtCreateKey (29) перехвачена (80622048->BA6D10B0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtCreateProcess (2F) перехвачена (805CFA1C->A94A9530), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция NtCreateProcessEx (30) перехвачена (805CF966->A94A96D0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция NtCreateSection (32) перехвачена (805A9DEE->A94A99B0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция NtCreateThread (35) перехвачена (805CF804->A94AA1F0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция NtEnumerateKey (47) перехвачена (80622888->BA6D684C), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtEnumerateValueKey (49) перехвачена (80622AF2->BA6D6BEC), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtOpenKey (77) перехвачена (806233DE->BA6D1090), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtOpenProcess (7A) перехвачена (805C9C46->A94A8F90), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция NtQueryInformationFile (97) перехвачена (805797F8->A94A9EB0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция NtQueryKey (A0) перехвачена (80623702->BA6D6CC4), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtQuerySystemInformation (AD) перехвачена (8060F7E0->A94A9FF0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция NtQueryValueKey (B1) перехвачена (80620102->BA6D6B44), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtResumeThread (CE) перехвачена (805D3148->A94AA1A0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция NtSetValueKey (F7) перехвачена (80620708->BA6D6D56), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtSuspendThread (FE) перехвачена (805D3082->A94AA150), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция NtTerminateProcess (101) перехвачена (805D1170->A94A9D80), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Проверено функций: 284, перехвачено: 18, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
Количество найденных процессов: 33
Количество загруженных модулей: 351
Проверка памяти завершена
3. Сканирование дисков
C:\Documents and Settings\T-Mad\Мои документы\проги\Borland TASM and Tools 5.0\masm32v7.zip/{ZIP}/INSTALL.EXE/{EXE-Joiner}/.exe/{RAR-SFX}/EXAMPLE4\EX4.EXE/{RAR-SFX}/CPICKER\CPICKER.EXE >>> подозрение на Flooder.Win32.DNF.10 ( 07EB9B0A 045B9BB1 00020DAE 00000000 7168)
C:\NeOn Script\dll\raskladka.dll >>> подозрение на Trojan-PSW.Win32.Lmir.bge ( 0A05FED9 048D8839 00204BE4 0028EF1B 14336)
Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 86000, извлечено из архивов: 53578, найдено вредоносных программ 0
Сканирование завершено в 25.05.2007 22:33:48
Сканирование длилось 00:19:48
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info

Так это он очистил или че? Не понял

нет
кажись в твоей системе троян - C:\WINDOWS\System32\drivers\klif.sys
поиск по реестру по этому имени, почисти все упоминания.
поищи в памяти загруженный этот драйвер и пройдись по диску антивирусом

потом перезагрузка и посмотри еще раз - появится ли он еще раз в логах avz?

C:\NeOn Script\dll\raskladka.dll - от скрипта дллька?

Удаляй свой NOD32 это полная пе*ня. Ставь Касперского "6".Базы можешь безплатно скачать с kaspersky.ru. Помещаешь их в безопасном режиме в папку C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6. При первом же запуске твой SVCHOST удалится, после чего комп перезагрузиться.

Удаляй свой NOD32 это полная пе*ня. Ставь Касперского "6".Базы можешь безплатно скачать с kaspersky.ru. Помещаешь их в безопасном режиме в папку C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6. При первом же запуске твой SVCHOST удалится, после чего комп перезагрузиться.

просто еще один сторонник решил поиграть в "Что круче: NOD32, Касперский или Dr.Web?"

З.Ы.: Уже неактуально. Каждый выбирает сам. У каждого антивируса есть свои + и -

Удаляй свой NOD32 это полная пе*ня. Ставь Касперского "6".Базы можешь безплатно скачать с kaspersky.ru. Помещаешь их в безопасном режиме в папку C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6. При первом же запуске твой SVCHOST удалится, после чего комп перезагрузиться.


уахаххахаха :) я пацталом, если комп заражен, и ты на него поставиш любой антивирь, то етот самый антивирь будет заражен епт, и нихера не вылечит в итоге, да и к томуже, нахер касперский ? вот скажи мне зачем он мне нужен? затем чтобы я его поставил и лишился половины процесора при каждом запуске? да нет уж увольте )
смешно такие вещи слушать, плюс реклама сайта >_< дети дети.

Наверное сам господин "Евгений Касперский" зашел к нам на огонек прорекламировать свой продукт =)

Наверное сам господин "Евгений Касперский" зашел к нам на огонек прорекламировать свой продукт =)

:):110:

..., если комп заражен, и ты на него поставиш любой антивирь, то етот самый антивирь будет заражен епт, и нихера не вылечит в итоге....
да нет, не заражается. Я так делал, ставил антивирь на зараженную машину и лечил нормально с нее же. Многие антивирусы защищают сами себя и при попытке вирусов модифицировать их - ругаются.
правда надо не тот, что был раньше на машине или не справился (в принципе можно тот же антивирус - но версию повыше).

Zealot файл klif.sys - это библиотека Касперского. Это не вирус.

Удаляй свой NOD32 это полная пе*ня. Ставь Касперского "6".Базы можешь безплатно скачать с kaspersky.ru. Помещаешь их в безопасном режиме в папку C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6. При первом же запуске твой SVCHOST удалится, после чего комп перезагрузиться.

Ну-с, наверно, надо было упомянуть, что Вындовоз после ребута может и не встать =)

Кто нить встречал stl32 ?

Zealot файл klif.sys - это библиотека Касперского. Это не вирус.

а, тото смутно знакомое название =)

давно с касперским не встречался.

Zealot файл klif.sys - это библиотека Касперского. Это не вирус.

о_О я же удалил Касперский!
А какая прога лучше всего подходит для очистки реестра?

Я пользуюсь RegCleaner. А для полного удаления Касперского есть специальная утилита, лежит у них на сайте.

Так,вирус этот меня снова поймал,на этот раз есть подозрение что он просочился в бэкбон.
Я после формата во внешку невыходил,и впн вообще неврубал.
Итог:вирус опять подкрался незаметно :)

---------------------------------------------------------
Так опишу тут сам вирус(название его я незнаю)
Признаки:Открываются штук 20-40 svchoost.exe каждый по 3 мега оперы занимает.
Особенность:Процессы останавливаются открыватся только тогда когда осталось 20-25% от оперативы.

Что скачивал и устанавливал до появления вируса?
Пользовался ли каким-нить кряком или патчером или трейнером?

да ещё svchost сам лезит в интернет, только что посмотрел

У меня такое было, воспользовался "Востановление системы" от Windows откатил 2-3 недельки назад, кое что потерял за то сейчас все нормально работает

Что скачивал и устанавливал до появления вируса?
Пользовался ли каким-нить кряком или патчером или трейнером?

Нет,у меня весь софт с я1 фривар )
Качал токо фильмы и с торрента кое что.

файрволл есть?

как вариант - какие то патчи на систему не стоят и вирус заражает по какой то дыре ...

Ребята помогите!
Когда я смотрю "список активных сетевых приложений" анти-хакере Касперского. То у меня показывает аж 4 svchost.exe . 1 svchost занимает - 1 порт, 2 и 3 - по 2 порта, а 4 вообще озверевший - 10 портов!!! Еще alg.exe - 1порт.
И тем более Тметер показывает, что чуть ли не каждую секунду кто-то пытается залезть на внешку! Помогите!

Винду переставь поновой ,а вирус мне кажется в кукисах с*ка шифруется и дальше распостроняется большое подозрение на это .По моему анализу кто то из наших сайтов бекбона его схватил и заражает наши компы!В основном его много кто поймал из подключеных к АДСЛу надо вычеслять сайт!

Поставил по новой Винду, щя глянем как поведет себя этот "генерик хост процессинг файлур анд клосед"

сколько всего должно быть этих svchost? у меня их шесть

Попробуйте 7-ого касперского у него появилась функция поиска руткитов, может поможет )

сколько всего должно быть этих svchost? у меня их шесть
скорее у каждого по разному, зависит от того какие службы запущены... у меня svchost'ов 4.

не сталкивались?
Вылечить или найти источник не удалось ...

Я кжись узнал корень всех бед помоему есть один файлик который если скочаешь он и появляется.Его кжись ещё троян называют
Может он такой не один но етот файл точняк-ftp://yahost.ru/upload/xchange/WindowsXP-KB921883-x86-RUS.exe

Я кжись узнал корень всех бед помоему есть один файлик который если скочаешь он и появляется.Его кжись ещё троян называют
Может он такой не один но етот файл точняк-ftp://yahost.ru/upload/xchange/WindowsXP-KB921883-x86-RUS.exe

NOD32, Ad-Aware - молчат
kb921883 (http://updates.ya1.ru/winxpru_sp2/WindowsXP-KB921883-x86-RUS.exe) Переполнение буфера в службе Сервера (Server service) 7 августа 2006 г. MS06-040 (http://www.microsoft.com/technet/security/bulletin/MS06-040.mspx) Оригинал (http://download.microsoft.com/download/f/c/4/fc49672e-2a6b-4a44-9146-108e1d912fb0/WindowsXP-KB921883-x86-RUS.exe)

мда руткит не обошол меня дкмал вирус обошол но не тут то было =(
Теперь вопрос как лечить ???? у меня этих свхостов 5

мда руткит не обошол меня дкмал вирус обошол но не тут то было =(
Теперь вопрос как лечить ???? у меня этих свхостов 5

svhost-ов и должно быть 5 в нормальной работе системы. именно 5 служб, а вот больше уже стоит предостеречся

мда руткит не обошол меня дкмал вирус обошол но не тут то было =(
Теперь вопрос как лечить ???? у меня этих свхостов 5
То, что в системе есть скрытые ключи или файлы ещё не говорит о том, что это работа руткита.

я ваще понять не могу ) что за руткит такой прямо демонический, появился не откуда и делает не пойми что с системами :)
прямо блин ну фантастика чтоли.

Хехех, опасная вещь это руткит. Я блин после этого себе пару охранных систем завёл, в том числе и Firewall, и еще у мну стоит WWW OFF, программка так себе, да мне в принципе пофиг. svchost'ов у меня 5, так что бояться нечего, AVZайцева уже комп проверил, в system32 тока один svchost microsoft'ский, в общем вирусов у мну нету !!! Урррааа!!! Думаю в дальнейшем не будет, если не мой младший брат

мда руткит не обошол меня дкмал вирус обошол но не тут то было =(
Теперь вопрос как лечить ???? у меня этих свхостов 5
Скачай последнюю версию RootkitRevealer, он укажет ключи реестра которые следует удалить, вручную.

Мне пришлось в досе дозачищать зараженные и скрытые файлы.

в system32 тока один svchost microsoft'ский,

он там всегда один ) просто вирусы параметры прописывают ему, и запускают отдельный процес.

Скачай последнюю версию RootkitRevealer, он укажет ключи реестра которые следует удалить, вручную.

Мне пришлось в досе дозачищать зараженные и скрытые файлы.

Советчика в баню. Он (RootkitRevealer) указывает подозрительные ключи, ктр вызвали у него подозрения. Не факт, что они "ключи реестра которые следует удалить, вручную." Кто сказал, что их следует удалить? Думай, прежде чем давать опрометчивые советы. RootkitRevealer не является панацеей.

Советчика в баню. Он (RootkitRevealer) указывает подозрительные ключи, ктр вызвали у него подозрения. Не факт, что они "ключи реестра которые следует удалить, вручную." Кто сказал, что их следует удалить? Думай, прежде чем давать опрометчивые советы. RootkitRevealer не является панацеей.
Что то ты как то болезненно реагируешь, на советы.
Антивиры нах ставить, удалят еще системный файл, а файерволлы порты перекроют, потом разбирайся, может лучше тогда вообще не лечить вирусы?

И где я говорил что программа руткитривилер является панацеей? O.o

Мне лично помогло, как лечить, решайте сами.

У меня был этот вирус уже , причем 2 раза
СТоял касперский, вирус видит, но не может лечить и помещать в карантин
Пришлось переустанавливать систему в оба случая Т_т

Тестирование AntiSpyware-программ _ Безопасность _ КомпьютерПресс 10'2005

ftp://yahost.ru/upload/xchange/102005/102005.mht

жаль старое конечно (ажно 2005 год), но кое какие выводы можно сделать.