svchost.exe ломится на левые сайты...

Discussion in 'Безопасность и Анонимность' started by hiv, 20 Sep 2007.

  1. hiv

    hiv New Member

    Joined:
    15 Jul 2007
    Messages:
    14
    Likes Received:
    2
    Reputations:
    0
    Недавно через аутпост заметил что процес svchost.exe ломится на левые сайты, естественно все исходящие блокируются, но все равно неприятно, такое ощущение что какойто спайваре сидит или вирусяка, проверял нодом,аутпостом, нашлось пару спайваре, удалил, но процес svchost все еще продолжается долбиться на сайты
    вот их краткий список (на самом деле их около 40 штук)

    www.carolina-clicks.com
    www.carolina-clicks.com
    www.surfing4cash.info
    www.leopardsclicks.com
    www.paid2link.com

    подскажите что делать ? может чемнить другим проверить, что может быть за зараза такая ??? операционка xp sp2 Заранее благодарен!
     
  2. groundhog

    groundhog Elder - Старейшина

    Joined:
    12 May 2007
    Messages:
    1,159
    Likes Received:
    425
    Reputations:
    180
    Нода когда обновлял последний раз?

    Попробуй Microsoft® Windows® Malicious Software Removal Tool, но вообще 100% способ переустановка...
     
  3. BlackCats

    BlackCats Elder - Старейшина

    Joined:
    1 Feb 2006
    Messages:
    642
    Likes Received:
    630
    Reputations:
    -3
    ну как видно по названия сайтов.. это кликеры, сёрфиеры и прочая лабуда собственно я даж незнаю как его ловить... если за трафф не платиш то проще отключить антивир... ну у меня таких проблем нету... как и антивируса :)
     
  4. hiv

    hiv New Member

    Joined:
    15 Jul 2007
    Messages:
    14
    Likes Received:
    2
    Reputations:
    0
    нод регулярно обновляется в день раза по два, ладно спасибо за советы, попробую эту утилиту :)
     
  5. hiv

    hiv New Member

    Joined:
    15 Jul 2007
    Messages:
    14
    Likes Received:
    2
    Reputations:
    0
    а может какойнить монитор есть, чтобы отследить ? :) в любом случаи спасибо за ответы!
     
  6. ртуть

    ртуть Elder - Старейшина

    Joined:
    31 Aug 2007
    Messages:
    314
    Likes Received:
    389
    Reputations:
    29
    попробуй еще прогу Spybot - Search & Destroy.... она ловит этих шершней :)
     
  7. dscan

    dscan Elder - Старейшина

    Joined:
    23 Feb 2007
    Messages:
    265
    Likes Received:
    127
    Reputations:
    15
    переустанови фаирвол, он обновит svchost.exe, просто словил где то на просторах нета кликатель замаскированый под svchost
     
  8. Ky3bMu4

    Ky3bMu4 Elder - Старейшина

    Joined:
    3 Feb 2007
    Messages:
    487
    Likes Received:
    284
    Reputations:
    42
    Инжект в svchost.:) Проверь чё у тя в автозагрузке лежит.
     
  9. dscan

    dscan Elder - Старейшина

    Joined:
    23 Feb 2007
    Messages:
    265
    Likes Received:
    127
    Reputations:
    15
    может уже и не лежать, тк "склеяный" svchost и так в автозагрузке
     
  10. DeBugger

    DeBugger Banned

    Joined:
    6 Sep 2006
    Messages:
    134
    Likes Received:
    43
    Reputations:
    6
    Мне всегда помогало сканирование на spyware, встроенное в Outpost, плюс повторное сканирование с помощью Ad-Aware SE. Если точно известно, что файл поражён, мы иногда использовали метод "трансплантации" здорового файла с аналогичной версии Windows. Ну или команду sfc /scannow, правда последствия бывают.
     
  11. SiriX

    SiriX Member

    Joined:
    27 Jul 2007
    Messages:
    8
    Likes Received:
    5
    Reputations:
    4
    Поставь AntiVir PersonalEdition Classic сразу вычеслишь заразу.
     
  12. NOmeR1

    NOmeR1 Everybody lies

    Joined:
    2 Jun 2006
    Messages:
    1,068
    Likes Received:
    783
    Reputations:
    213
    Вряд ли возможно изменить как-нибудь svchost.exe
    Посмотри полный путь до него или поищи где-нибудь в папочке WINDOWS его или файл с похожим названием, например, cvchost.exe, один раз, когда я был заражён я нашёл в парочке windows\system32 файл cvchost.exe (он и был вирусом)
    Так же вирус может маскироваться под svchost, можешь поискать где-нибудь в Documents and Settings подозрительные файлы.
     
  13. Omen666

    Omen666 Elder - Старейшина

    Joined:
    3 Aug 2006
    Messages:
    339
    Likes Received:
    503
    Reputations:
    36
    Была тоже проблемка с svhost. Ничего не помоголо, моя ситуация была хуже чем твоя. Так вот. его вылечить почти не реал и не удалить. Либо востанавливай систему либо сноси винду.И кстате. Скорее всего он вклеился в Svhost и ты ничего не зделаешь. Хотя ты можешь посмотреть в процессах сколько у тя svhost(по дефолту их вроде 4). И потыкай там. лично мне помогало. Но каждый раз так делать оч надоедает
     
    #13 Omen666, 20 Sep 2007
    Last edited: 20 Sep 2007
    1 person likes this.
  14. Y.Dmitriy

    Y.Dmitriy Banned

    Joined:
    14 Mar 2007
    Messages:
    208
    Likes Received:
    85
    Reputations:
    16
    Попробуй просканировать в безопасном режиме без загрузки сетевіх драйверов...
     
  15. Alexsize

    Alexsize Fail

    Joined:
    17 Sep 2005
    Messages:
    1,771
    Likes Received:
    1,221
    Reputations:
    704
    Переставляй винду. Старая все равно покоцанная будет. Оно нам надо?
     
  16. vjlas

    vjlas New Member

    Joined:
    29 Jun 2007
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    мб глупость, а что, если его заменить чистым свхостом?
     
  17. dscan

    dscan Elder - Старейшина

    Joined:
    23 Feb 2007
    Messages:
    265
    Likes Received:
    127
    Reputations:
    15
    не глупость, а так и надо делать
     
  18. Alexsize

    Alexsize Fail

    Joined:
    17 Sep 2005
    Messages:
    1,771
    Likes Received:
    1,221
    Reputations:
    704
    Именно глупость. Объясняю: Инжект - это не внедрение в файл, как таковой. Это внедрение в адресное пространство ПАМЯТИ, которая выделяеться процессу SVCHOST.exe. Так что я тебе не просто так дал такой радиКАЛьный совет.
    Тут надо отлавливать файл, который осуществляет внедрение. Способы уже 300 раз описаны. Это РУЧКИ. Авер может и не палить криптованную прогу. Что делать? Starter+Regmon+Filemon+Portmon=)
    Ссылки надеюсь давать не надо?=)
     
    #18 Alexsize, 20 Sep 2007
    Last edited: 20 Sep 2007
  19. desTiny

    desTiny Elder - Старейшина

    Joined:
    4 Feb 2007
    Messages:
    1,006
    Likes Received:
    444
    Reputations:
    94
    пуск->выполнить->sfc /scannow
    (учти, что при крякнутой винде возможна замена активации - надо бдет заново крякать в безопасном режиме)
     
  20. Alexsize

    Alexsize Fail

    Joined:
    17 Sep 2005
    Messages:
    1,771
    Likes Received:
    1,221
    Reputations:
    704
    Пилить. ДА НЕ ПОВРЕЖДЕНЫ ФАЙЛЫ ВИНДЫ, ЭТО НИЧЕГО НЕ ДАСТ!!!

    Читай через один пост вверх.