Подозрительный svchost

Discussion in 'Безопасность и Анонимность' started by Lanu, 16 Jul 2008.

  1. Lanu

    Lanu New Member

    Joined:
    31 Aug 2007
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    Приветствую всех!

    Люди подскажите, пожалуйста, по следующему вопросу: Пришел я вчера домой, навстречу выбежал довольный брат и говорит - "Ты знаешь, я здесь сидел в Интернете и вдруг начали всплывать какие-то странные картинки, и твой антивирус начал орать как резаная свинья? Но я, честно, никуда не лазил!!!" Я тяжело вздохнул и поплелся к компьютеру. Итак, что удалось выяснить: Когда антивирь заорал, брат с перепугу запустил проверку всей системы. Судя по журналу, Каспер нашел около 60 вредоносных объектов, после чего удалили их всех. Но интуиция говорила мне, что просто так все не закончится. Т она меня не подвела! Когда я открыл файервол Outpost, то увидел что количество открытых портов составляет около 2000! И причем с каждой секундой открывается новый порт. Я заметил особенность, что порты открываются с шагом 4. Т.е. открывается 1924 далее 1928, 1932..... Процесс, открывающий эти порты носит название svchost. Я открыл таск менеджер, нашел svchost который жрал 17% процессорного времени, и убил его. Все открытые порты моментально закрылись, за исключением 10 (они все время открыты). Но буквально через минуту, svchost снова появился в таск менеджере и порты снова стали открываться с невероятной скоростью. Если я убиваю svchost, то через минуту все начинается с начала!
    Что предпринимал: загрузился в безопасном режиме, просканировал систему программами SpyBot S&D, Ad-Aware. Просмотрел автозагрузку (msconfig), ничего подозрительного не нашел. Запустил sfc/scannow. В итоге ничего не помогло. ОС Windows XP SP2

    Кто посоветует, что можно сделать с этой проблемой?
     
  2. -=lebed=-

    -=lebed=- хэшкрякер

    Joined:
    21 Jun 2006
    Messages:
    3,804
    Likes Received:
    1,960
    Reputations:
    594
    Загрузчик загрузил трояна, а он хорошенько закрепился в системе - проинжектился в доверенный процесс или установив руткит, вообщем грузись в сайф моде (через f8) и скань антивирем на предмет подозрительных файлов, если это svchost.exe (норм. должен лежать в sysmem32) а ты нашёл ещё такой же либо в этой папке, либо в другой - то это и есть вирь.. (хотя скорее у тебя всё же идёт инжектирование в норм. svchost) кстате проактивка Каспера это должна запалить (если включена конечно...)
    ЗЫ KIS 7 рулит! Я Поставил и никаких проблем пока нету (1-2 года)
     
    1 person likes this.
  3. Lanu

    Lanu New Member

    Joined:
    31 Aug 2007
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    Я нашел один файл svchost в папке C:\Windows. На ПК стоит Каспер 6, по идее у него проактивка включена, но он сцуко все равно "коня" пропустил :( Я так понимаю инжектирование в норм. svchost значит что трой дописал себя в конец этого самого файла. Так? Если так, то может попробовать удалить этот файл (который нормальный), а потом командой sfc/scannow восстановить с диска?
     
  4. YoYo Factory

    YoYo Factory Elder - Старейшина

    Joined:
    24 Mar 2008
    Messages:
    108
    Likes Received:
    79
    Reputations:
    -5
    Брат у тебя хацкер!)))
    Лучше винду переустанови! мой тебе совет! :)
     
  5. Lanu

    Lanu New Member

    Joined:
    31 Aug 2007
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    А что толку переустанавливать винду, ставить всевозможную защиту, если за компом "троянский конь" сидит! :)
     
  6. MVadim

    MVadim Elder - Старейшина

    Joined:
    6 Oct 2007
    Messages:
    397
    Likes Received:
    164
    Reputations:
    9
    грузись в safe modе, ищи все svchost.exe, если они лежат не в папке /диск/windows/system32/ то удаляй, затем проскань комп на предмет копий, удали их, почисти реестр, в принцыпе должно помочь,но если вирь внедрился в оригинальный файл /диск/windows/system32/svchost.exe то тут уже ничё не поделаешь придется еще и винду переустанавливать
     
  7. Взломщек

    Joined:
    11 Jul 2008
    Messages:
    11
    Likes Received:
    9
    Reputations:
    0
    4itat y4is
    ищи все svchost.exe, если они лежат не в папке /диск/windows/system32/ то удаляй
     
  8. MVadim

    MVadim Elder - Старейшина

    Joined:
    6 Oct 2007
    Messages:
    397
    Likes Received:
    164
    Reputations:
    9
    +1
     
  9. -=lebed=-

    -=lebed=- хэшкрякер

    Joined:
    21 Jun 2006
    Messages:
    3,804
    Likes Received:
    1,960
    Reputations:
    594
    svchost.exe может и ещё 3 шт. быть в одной папке, если буковки с o кириллица
    ЗЫ Инжектирование - внедрение чужого кода в адресное пространство процесса-жертвы, т.е. это происходит в памяти. Если ориг. файл был изменён, то качни его на вирустотал и сравни хэш с оригинальным, если разница есть значит изменён (даже если там ничего не найдено) хотя его не так просто изменить, он имеет цифровую подпись вроде и сам себя должен контролировать (целостность) так что это врядли (что он модифицирован). Просто к нему может подгружаться вредоноснаяя dll
    Ищи оригинальный svchost.exe, остальные в топку (если в других папках или в этой же но с русскими буквами в названии)
     
    1 person likes this.
  10. P3L3NG

    P3L3NG Banned

    Joined:
    4 Jun 2008
    Messages:
    175
    Likes Received:
    204
    Reputations:
    11
    попробуй с другого компа взять svhost.
    кстати это нормально что у меня их штук 9 в процессах?
     
  11. Neo.aka.Darkman

    Joined:
    20 Jun 2008
    Messages:
    15
    Likes Received:
    7
    Reputations:
    5
    Вполне, хотя может стоит и призадуматься: обычно их 5 штук весит.

    Lanu Если шаманство с другими svchost.exe не поможет, равно как и замена на оригналный, то есть один метод.
    Нужна прога iolo System Mechanic (седьмой или восьмой версии). Качаем триал, ставим без авиря и файера. Запускаем. Вкладка Manage System Configuration. Апплет Manage Running Programs. Находишь там свой прожорливый svchost. щелкнув по нему можно увидеть его путь. а строка Dependencies раскрывает список файлов которые связани с этим гадом. Проверяешь каждый файл и находишь левый. Там же можно снести и процесс и заблокировать его. Нужна будет помощь, пиши в личку или в асю.
     
    #11 Neo.aka.Darkman, 16 Jul 2008
    Last edited: 16 Jul 2008
    3 people like this.
  12. Lanu

    Lanu New Member

    Joined:
    31 Aug 2007
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    Спасибо за совет Neo.aka.Darkman!
    Сейчас попробую! Кстати такая особеность, этот svchost загружается и в безопасном режиме! Причем эта сволочь жрет 95% ЦП. Из-за этого Касперский стает раком и замирает, приходится убивать svchost каждые 3 минуты. Когда убиваю его Каспер начинает сканировать систему. Вот и сижу блин, как нуб у разбитого карыта и мочу этот долбаный svchost!
     
  13. Neo.aka.Darkman

    Joined:
    20 Jun 2008
    Messages:
    15
    Likes Received:
    7
    Reputations:
    5
    Lanu Воскрешение svchost'a происходит потому, что это важный системный файл. По этой же причине он и грузится в безопаске. Любой файл, названный именем сйстемного будет загружаться вместе с системой, правда от твоего имени (по идее). Так что дерзай! Если что ,обращайся, помогу.
     
  14. Lanu

    Lanu New Member

    Joined:
    31 Aug 2007
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    Neo.aka.Darkman

    Скачал систем механик. Попробую разобраться откуда ноги растут. Кстати в процессах у меня 7 свйхостов висит. Если что буду на связи!
     
  15. GROB_T

    GROB_T Elder - Старейшина

    Joined:
    3 Mar 2007
    Messages:
    134
    Likes Received:
    50
    Reputations:
    6
    ты что-то путаешь, по твоему если на рабочем столе ,например, создать файл svchost.exe то он будет запускаться после перезагрузки?:)
     
  16. Neo.aka.Darkman

    Joined:
    20 Jun 2008
    Messages:
    15
    Likes Received:
    7
    Reputations:
    5
    grob_t Давно я такими вещами занимался. Шутки переименовывал в винлогон, а диспетчер не позволял снести, ибо критический процесс. Как он стартовал, честно сказать не помню!
    П.С. Винда часть процессов сама перезапускает! в частности свцхосты.
     
  17. neprovad

    neprovad Elder - Старейшина

    Joined:
    19 Oct 2007
    Messages:
    899
    Likes Received:
    274
    Reputations:
    59
    если вирус имеет при себе службу то может дописаться в группу
    Code:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
    
    и стартовать в безопасном режиме.
    Как уже говорили выше - все файлы svchost находящиеся вне system32 следует удалить.
    Если тебя терзают сомнения - то ли ты удаляешь то смотри в свойства файла вкладку версия а там кто производитель.
     
  18. оlbaneс

    оlbaneс Moderator

    Joined:
    5 Nov 2007
    Messages:
    1,379
    Likes Received:
    1,095
    Reputations:
    356
    была такая хрень не далее как вчера.
    проверка различными антируткитами и антивсякимиштучками помогает. кто нибудь да находит.
     
    _________________________
  19. Грот

    Грот Elder - Старейшина

    Joined:
    24 Jan 2008
    Messages:
    110
    Likes Received:
    36
    Reputations:
    0
    скачай AVZ грохни процес svchost и активируй гуард блокировка на запуск всех процессов
    (чуть не забыл антивирус отключи ) далие запускай перехват всех рутиков в ядре карнел и усер эвристик на максимум и попер проверять ве фаилы для надежности нужно подгрузить драйвер мониторинга скрытых процессов эта штука всегда меня спасала
    думаю и тебе поможет.
     
    1 person likes this.
  20. Jailer

    Jailer Elder - Старейшина

    Joined:
    21 Mar 2008
    Messages:
    37
    Likes Received:
    29
    Reputations:
    0
    случайно не svhost.com ?
    вирус Neshta чето там...
    у меня был, заражает все екзешники и сильно грузит систему, что аж dsod вылетает)