Приветствую всех! Люди подскажите, пожалуйста, по следующему вопросу: Пришел я вчера домой, навстречу выбежал довольный брат и говорит - "Ты знаешь, я здесь сидел в Интернете и вдруг начали всплывать какие-то странные картинки, и твой антивирус начал орать как резаная свинья? Но я, честно, никуда не лазил!!!" Я тяжело вздохнул и поплелся к компьютеру. Итак, что удалось выяснить: Когда антивирь заорал, брат с перепугу запустил проверку всей системы. Судя по журналу, Каспер нашел около 60 вредоносных объектов, после чего удалили их всех. Но интуиция говорила мне, что просто так все не закончится. Т она меня не подвела! Когда я открыл файервол Outpost, то увидел что количество открытых портов составляет около 2000! И причем с каждой секундой открывается новый порт. Я заметил особенность, что порты открываются с шагом 4. Т.е. открывается 1924 далее 1928, 1932..... Процесс, открывающий эти порты носит название svchost. Я открыл таск менеджер, нашел svchost который жрал 17% процессорного времени, и убил его. Все открытые порты моментально закрылись, за исключением 10 (они все время открыты). Но буквально через минуту, svchost снова появился в таск менеджере и порты снова стали открываться с невероятной скоростью. Если я убиваю svchost, то через минуту все начинается с начала! Что предпринимал: загрузился в безопасном режиме, просканировал систему программами SpyBot S&D, Ad-Aware. Просмотрел автозагрузку (msconfig), ничего подозрительного не нашел. Запустил sfc/scannow. В итоге ничего не помогло. ОС Windows XP SP2 Кто посоветует, что можно сделать с этой проблемой?
Загрузчик загрузил трояна, а он хорошенько закрепился в системе - проинжектился в доверенный процесс или установив руткит, вообщем грузись в сайф моде (через f8) и скань антивирем на предмет подозрительных файлов, если это svchost.exe (норм. должен лежать в sysmem32) а ты нашёл ещё такой же либо в этой папке, либо в другой - то это и есть вирь.. (хотя скорее у тебя всё же идёт инжектирование в норм. svchost) кстате проактивка Каспера это должна запалить (если включена конечно...) ЗЫ KIS 7 рулит! Я Поставил и никаких проблем пока нету (1-2 года)
Я нашел один файл svchost в папке C:\Windows. На ПК стоит Каспер 6, по идее у него проактивка включена, но он сцуко все равно "коня" пропустил Я так понимаю инжектирование в норм. svchost значит что трой дописал себя в конец этого самого файла. Так? Если так, то может попробовать удалить этот файл (который нормальный), а потом командой sfc/scannow восстановить с диска?
А что толку переустанавливать винду, ставить всевозможную защиту, если за компом "троянский конь" сидит!
грузись в safe modе, ищи все svchost.exe, если они лежат не в папке /диск/windows/system32/ то удаляй, затем проскань комп на предмет копий, удали их, почисти реестр, в принцыпе должно помочь,но если вирь внедрился в оригинальный файл /диск/windows/system32/svchost.exe то тут уже ничё не поделаешь придется еще и винду переустанавливать
svchost.exe может и ещё 3 шт. быть в одной папке, если буковки с o кириллица ЗЫ Инжектирование - внедрение чужого кода в адресное пространство процесса-жертвы, т.е. это происходит в памяти. Если ориг. файл был изменён, то качни его на вирустотал и сравни хэш с оригинальным, если разница есть значит изменён (даже если там ничего не найдено) хотя его не так просто изменить, он имеет цифровую подпись вроде и сам себя должен контролировать (целостность) так что это врядли (что он модифицирован). Просто к нему может подгружаться вредоноснаяя dll Ищи оригинальный svchost.exe, остальные в топку (если в других папках или в этой же но с русскими буквами в названии)
Вполне, хотя может стоит и призадуматься: обычно их 5 штук весит. Lanu Если шаманство с другими svchost.exe не поможет, равно как и замена на оригналный, то есть один метод. Нужна прога iolo System Mechanic (седьмой или восьмой версии). Качаем триал, ставим без авиря и файера. Запускаем. Вкладка Manage System Configuration. Апплет Manage Running Programs. Находишь там свой прожорливый svchost. щелкнув по нему можно увидеть его путь. а строка Dependencies раскрывает список файлов которые связани с этим гадом. Проверяешь каждый файл и находишь левый. Там же можно снести и процесс и заблокировать его. Нужна будет помощь, пиши в личку или в асю.
Спасибо за совет Neo.aka.Darkman! Сейчас попробую! Кстати такая особеность, этот svchost загружается и в безопасном режиме! Причем эта сволочь жрет 95% ЦП. Из-за этого Касперский стает раком и замирает, приходится убивать svchost каждые 3 минуты. Когда убиваю его Каспер начинает сканировать систему. Вот и сижу блин, как нуб у разбитого карыта и мочу этот долбаный svchost!
Lanu Воскрешение svchost'a происходит потому, что это важный системный файл. По этой же причине он и грузится в безопаске. Любой файл, названный именем сйстемного будет загружаться вместе с системой, правда от твоего имени (по идее). Так что дерзай! Если что ,обращайся, помогу.
Neo.aka.Darkman Скачал систем механик. Попробую разобраться откуда ноги растут. Кстати в процессах у меня 7 свйхостов висит. Если что буду на связи!
ты что-то путаешь, по твоему если на рабочем столе ,например, создать файл svchost.exe то он будет запускаться после перезагрузки?
grob_t Давно я такими вещами занимался. Шутки переименовывал в винлогон, а диспетчер не позволял снести, ибо критический процесс. Как он стартовал, честно сказать не помню! П.С. Винда часть процессов сама перезапускает! в частности свцхосты.
если вирус имеет при себе службу то может дописаться в группу Code: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal и стартовать в безопасном режиме. Как уже говорили выше - все файлы svchost находящиеся вне system32 следует удалить. Если тебя терзают сомнения - то ли ты удаляешь то смотри в свойства файла вкладку версия а там кто производитель.
была такая хрень не далее как вчера. проверка различными антируткитами и антивсякимиштучками помогает. кто нибудь да находит.
скачай AVZ грохни процес svchost и активируй гуард блокировка на запуск всех процессов (чуть не забыл антивирус отключи ) далие запускай перехват всех рутиков в ядре карнел и усер эвристик на максимум и попер проверять ве фаилы для надежности нужно подгрузить драйвер мониторинга скрытых процессов эта штука всегда меня спасала думаю и тебе поможет.
случайно не svhost.com ? вирус Neshta чето там... у меня был, заражает все екзешники и сильно грузит систему, что аж dsod вылетает)
