Настоящий ресурс может содержать материалы 16+
Каменск-Уральский интернет портал

Форум Виртуального Каменска


Мы в социальных сетях:
Виртуальный Каменск в ВКонтакте  Виртуальный Каменск на Одноклассниках
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?
28 Ноября 2024, 02:12:52

Войти
* Начало Помощь Поиск Войти Регистрация
+  Виртуальный Каменск
|-+  Тематические разделы
| |-+  Технический форум (Модератор: Ариец)
| | |-+  Процессы в Системе
Страниц: [1] 2 3   Вниз
Печать
Автор Тема: Процессы в Системе  (Прочитано 24751 раз)
0 Пользователей и 3 Гостей смотрят эту тему.
Nikos
ооони среди нас*
Новичок
*

Карма: +4/-5
Offline Offline

Пол: Мужской
Сообщений: 110


Тссссс


WWW
« : 29 Января 2009, 20:11:47 »

Недавно обнаружил странный процесс в системе(winXP)   " svhosst.exe". Всебыхорошо, но  этот процесс открывает кучу TCPсоединений и по каждому отправляет примерно по килобайту, в сумме выходят большие объемы. Соединения "генерятся" бесконечно. И траффик потребляемый этим svhosst'ом квадратично растет.  Прикрыл этот процесс файрволом. Просканировал систему на вирусы. Clamwin ничего не нашел. Что это может быть? Вирус, или баг ?
« Последнее редактирование: 29 Января 2009, 20:31:35 от Nikos » Записан

 
 
Don't U see their bodies burnin?(Serj Tankian)
Ado
Постоялец
***

Карма: +21/-22
Offline Offline

Пол: Мужской
Сообщений: 387


Rage!


« Ответ #1 : 29 Января 2009, 20:42:08 »

Вроде не вирус но может быть, оригинальный файл свхост - Svchost.exe

Файл Svchost.exe расположен в папке %SystemRoot%\System32. В процессе загрузки Svchost.exe составляет на основании записей в реестре список служб, которые необходимо запустить. Одновременно может быть запущено несколько экземпляров процесса Svchost.exe. Каждый сеанс Svchost.exe может содержать несколько служб. Таким образом, в зависимости от того, как и где запущен процесс Svchost.exe, могут выполняться несколько отдельных служб. Такая группировка служб обеспечивает более высокий уровень контроля над ними и облегчает отладку.

Группы Svchost.exe определяются в следующем разделе реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost
Каждое значение в этом разделе представляет отдельную группу Svchost и отображается при просмотре активных процессов как отдельный экземпляр. Каждое из этих значений имеет тип REG_MULTI_SZ и содержит службы, выполняемые в этой группе Svchost. Каждая группа Svchost может содержать одно или несколько имен служб, извлекаемых из следующего раздела реестра, в котором подраздел Parameters содержит значение ServiceDLL:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Служба
Чтобы просмотреть список служб, работающих в процессе Svchost, выполните описанные ниже действия.
Нажмите на панели задач Windows кнопку Пуск и выберите пункт Выполнить.
В поле Открыть введите команду CMD и нажмите клавишу ВВОД.
Введите команду Tasklist /SVC и нажмите клавишу ВВОД.
Команда Tasklist выводит список активных процессов. Параметр /SVC используется для вывода списка активных служб в каждом процессе. Для получения дополнительных сведений о процессе введите следующую команду и нажмите клавишу ВВОД:
Tasklist /FI "PID eq идентификатор_процесса" (кавычки обязательны)
В приведенном ниже примере показан вывод команды Tasklist для двух экземпляров процесса Svchost.exe.
Код:
 Image Name         PID      Services
   ========================================================================
   System Process        0     N/A
   System                8     N/A   
   Smss.exe            132     N/A
   Csrss.exe           160     N/A
   Winlogon.exe        180     N/A
   Services.exe        208     AppMgmt,Browser,Dhcp,Dmserver,Dnscache,
                               Eventlog,LanmanServer,LanmanWorkstation,
                               LmHosts,Messenger,PlugPlay,ProtectedStorage,
                               Seclogon,TrkWks,W32Time,Wmi
   Lsass.exe            220    Netlogon,PolicyAgent,SamSs
   Svchost.exe          404    RpcSs
   Spoolsv.exe          452    Spooler
   Cisvc.exe            544    Cisvc
   Svchost.exe          556    EventSystem,Netman,NtmsSvc,RasMan,
                               SENS,TapiSrv
   Regsvc.exe           580    RemoteRegistry
   Mstask.exe           596    Schedule
   Snmp.exe             660    SNMP
   Winmgmt.exe          728    WinMgmt
   Explorer.exe         812    N/A
   Cmd.exe             1300    N/A
   Tasklist.exe        1144    N/A
Двум группам из этого примера соответствует следующий параметр реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:
Netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
RApcss :Reg_Multi_SZ: RpcSs

Записан
Ведметь
hardware hacker
Старожил
****

Карма: +82/-21
Offline Offline

Пол: Мужской
Сообщений: 909


в лесе жыву...


« Ответ #2 : 29 Января 2009, 20:55:17 »

Ado, совсем не о том и не в тему. название файла сравни...

Nikos, троян у тебя. Маскируется он похожим названием под svchost.exe. А антивирями не находиться потому что свежий. Я тебе за часок штук 10 таких написать могу с разным функционалом и ниодин не обнаружится пока ктонить антивирьмэйкерам на них не нажалуется.
Решение простое - грузишся в безопасном режиме и грохаешь файл(ы) и ссылки в реестре по которым они запускаются.
Записан

Ado
Постоялец
***

Карма: +21/-22
Offline Offline

Пол: Мужской
Сообщений: 387


Rage!


« Ответ #3 : 29 Января 2009, 21:40:40 »

Ado, совсем не о том и не в тему. название файла сравни...
Я заметил, и всё в тему. Я привёл описание оригинального файла, чтобы было понятно что у него троян.
Записан
Nikos
ооони среди нас*
Новичок
*

Карма: +4/-5
Offline Offline

Пол: Мужской
Сообщений: 110


Тссссс


WWW
« Ответ #4 : 29 Января 2009, 22:41:57 »

ponyatno...troyan znachit.
Записан

 
 
Don't U see their bodies burnin?(Serj Tankian)
userdef
Старожил
****

Карма: +42/-17
Offline Offline

Пол: Мужской
Сообщений: 791


Постоянно на компом.


WWW
« Ответ #5 : 29 Января 2009, 23:33:13 »

Сталкивался я каг то с таким.... судя по логу- он занимается спамом ( много коннектов на 25 порт ).
Записан
Nikos
ооони среди нас*
Новичок
*

Карма: +4/-5
Offline Offline

Пол: Мужской
Сообщений: 110


Тссссс


WWW
« Ответ #6 : 30 Января 2009, 15:53:40 »

Х) нашел еще трояна  csrcs.exe ...и оказался он на всех компах в локалке...лог такойже как и с  "ложнохостом"
Записан

 
 
Don't U see their bodies burnin?(Serj Tankian)
AngryMouse
Старожил
****

Карма: +81/-56
Offline Offline

Пол: Мужской
Сообщений: 864



« Ответ #7 : 30 Января 2009, 15:57:14 »

Х) нашел еще трояна  csrcs.exe ...и оказался он на всех компах в локалке...лог такойже как и с  "ложнохостом"
А вот этого товарища знаю, он у нас в КУПК живёт  :D
Записан

В мире есть 2 бесконечные вещи: космос и человеческая глупость. Но на счет первой я не уверен.
(А. Энштейн)
Nikos
ооони среди нас*
Новичок
*

Карма: +4/-5
Offline Offline

Пол: Мужской
Сообщений: 110


Тссссс


WWW
« Ответ #8 : 30 Января 2009, 16:13:14 »

если верить форума касперского то никто из антивиров его не "узнал"
AntiVir 7.3.1.38 03.05.2007 HEUR/Crypted
Authentium 4.93.8 03.04.2007  no virus found
Avast 4.7.936.0 03.03.2007  no virus found
AVG 7.5.0.447 03.05.2007  no virus found
BitDefender 7.2 03.05.2007 Dropped:Trojan.Deletme.A
CAT-QuickHeal 9.00 03.05.2007 (Suspicious) - DNAScan
ClamAV devel-20060426 03.05.2007  no virus found
DrWeb 4.33 03.05.2007 BackDoor.IRC.Sdbot.1123
eSafe 7.0.14.0 03.05.2007 Suspicious Trojan/Worm
eTrust-Vet 30.6.3455 03.05.2007  no virus found
Ewido 4.0 03.05.2007  no virus found
FileAdvisor 1 03.05.2007  no virus found
Fortinet 2.85.0.0 03.05.2007  no virus found
F-Prot 4.3.1.45 03.04.2007  no virus found
F-Secure 6.70.13030.0 03.05.2007  no virus found
Ikarus T3.1.1.3 03.05.2007  no virus found
Kaspersky 4.0.2.24 03.05.2007  no virus found
McAfee 4975 03.02.2007  no virus found
Microsoft 1.2204 03.05.2007  no virus found
NOD32v2 2096 03.05.2007  no virus found
Norman 5.80.02 03.05.2007  no virus found
Panda 9.0.0.4 03.05.2007 Bck/Sdbot.JWE
Prevx1 V2 03.05.2007  no virus found
Sophos 4.14.0 03.03.2007  no virus found
Sunbelt 2.2.907.0 03.01.2007  no virus found
Symantec 10 03.05.2007  no virus found
TheHacker 6.1.6.069 03.05.2007  no virus found
UNA 1.83 03.02.2007  no virus found





Надо таких гадов вручную резать Смеющийся
Записан

 
 
Don't U see their bodies burnin?(Serj Tankian)
Nikos
ооони среди нас*
Новичок
*

Карма: +4/-5
Offline Offline

Пол: Мужской
Сообщений: 110


Тссссс


WWW
« Ответ #9 : 30 Января 2009, 16:19:43 »

блин.не компутер ,а какая-то гельментокака.А все началось с того, что я хотел  "порыбалить" со спутника Express AM 22...Замутил граббинг без фильтров. Накачал полный HDD всякой дряни...Наверное еще долго чиститься буду...
« Последнее редактирование: 30 Января 2009, 20:37:54 от Nikos » Записан

 
 
Don't U see their bodies burnin?(Serj Tankian)
Ado
Постоялец
***

Карма: +21/-22
Offline Offline

Пол: Мужской
Сообщений: 387


Rage!


« Ответ #10 : 30 Января 2009, 16:22:17 »

Поставь нод 32 последней версии и обнови.
Сейчас последнее обновление - 3812 может быть и найдёт/удалит твой троян.
Записан
Nikos
ооони среди нас*
Новичок
*

Карма: +4/-5
Offline Offline

Пол: Мужской
Сообщений: 110


Тссссс


WWW
« Ответ #11 : 30 Января 2009, 17:12:32 »

Скачаю сеня... Но какое-то у меня недоверие к Ноду.помню у знакомого его ставил, тот ниче просканить не мог: пропускал половину файлов.
Записан

 
 
Don't U see their bodies burnin?(Serj Tankian)
Michael Scofield
Старожил
****

Карма: +46/-25
Offline Offline

Пол: Мужской
Сообщений: 1055





« Ответ #12 : 30 Января 2009, 18:50:49 »

если верить форума касперского то никто из антивиров его не "узнал"

DrWeb 4.33 03.05.2007 BackDoor.IRC.Sdbot.1123

:)

Кста если не заметил, то все базы от 2007г, так что ставь любой последний, все равно найдет
« Последнее редактирование: 30 Января 2009, 18:53:10 от Michael Scofield » Записан

я фигею в этом Зоопарке
Nikos
ооони среди нас*
Новичок
*

Карма: +4/-5
Offline Offline

Пол: Мужской
Сообщений: 110


Тссссс


WWW
« Ответ #13 : 30 Января 2009, 19:32:10 »

заметил)  Clamaw обновленный  ничего не нашел , и   сканер в  Comodo Internet Securty сказал, что все ти-топ.гуд. скачаю Нода.
Записан

 
 
Don't U see their bodies burnin?(Serj Tankian)
Nikos
ооони среди нас*
Новичок
*

Карма: +4/-5
Offline Offline

Пол: Мужской
Сообщений: 110


Тссссс


WWW
« Ответ #14 : 31 Января 2009, 16:03:22 »

Nod не нашел ничего(((( Наревно единсвенный способ, как сказал  Ведметь - удалить вирус вручную... Svchosst.exe "простенький" оказался, выкорчевал его из реестра , а погуглив про   csrcs.exe  нашел, что тот где-то хранит свою копию с неизвестным названием , и при удалении , не запускается explorer.exe. csrcs.exe его заменяет в автозапуске\
Записан

 
 
Don't U see their bodies burnin?(Serj Tankian)
Страниц: [1] 2 3   Вверх
Печать
Перейти в:  

Новости
Каменска-Уральского

Все новости
Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!