Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

Strony: 1

 

#1  2007-04-14 18:37:31

  Meliana - Nowy użytkownik

Meliana
Nowy użytkownik
Zarejestrowany: 2007-04-14

svchost.exe i podejrzany Generic Host Process...

Od jakiegoś czasu mam problemy z z svchost.exe. Początkowo wywalał błąd co kilkanaście minut, że nastąpi zamknięcie. W procesach menedżera zadań siedzi ich 7, w tym jeden zajmuje 34mb (tak powinno być?).
Teraz daje mu firewallem tylko takie reguły, żeby obsłużył mi internet (Dialog DSL). Co kilka minut chce się łączyć (połączenie wychodzące) z jakimiś podejrzanymi domenami typu
[b]193-219-28-104.deploy.akamaitechnologies.com[/b] czy [b]cds143.ams.llnw.net [/b]na [b]HTTP (TCP:80)[/b]. Wyskakuje czasami 89-149-226-154.internetserviceteam.com na HTTPS (TCP:443). Po testowym przepuszczeniu chce się połączyć z [b]maila.microsoft.com[/b]
[b]SMTP (TCP:25)[/b]
albo
[b]c.mx.mail.yahoo.com[/b]
[b]SMTP (TCP:25)[/b]
wnioskuję, że próbuje nadawać jakieś wiadomości. Co to za syf?
Hijackthis nie wykrył nic szczególnego. Nod32 też nic. Pozostaje mi na razie tylko odcinać go firewallem.
Ciekawe jest to, że wysiadła zapora Windows, a z pobieraniem aktualizacji też coś się kopie, bo nie mogę svchosta wypuścić, a kiedy już wypuszczę aktualizacje są anulowane...

co tu się dzieje właściwie?

Offline

 

#2  2007-04-14 18:47:47

  Lorenzo - Moderator

Lorenzo
Moderator
Zarejestrowany: 2005-12-23

Re: svchost.exe i podejrzany Generic Host Process...

Pamiętam, że wiele robali lubiło sie doklejać do svchost'a
Przegrzeb [url=http://www.sophos.com/search/search-results/?search=svchost&product_search=site_search&submit.x=53&submit.y=12&action=search[/url] sophos'a[/url]

Offline

 

#3  2007-04-14 21:36:45

  Meliana - Nowy użytkownik

Meliana
Nowy użytkownik
Zarejestrowany: 2007-04-14

Re: svchost.exe i podejrzany Generic Host Process...

to mógł być Zapchast trojan, którego mi ostatnie skanowanie Nodem odkryło i się pozbyło. Ale skutki pozostały. Ten Sophos moze je naprawić?

Offline

 

#4  2007-04-15 02:42:52

  pasqdnik - Pijak ;-P

pasqdnik
Pijak ;-P
Skąd: Wrocław
Zarejestrowany: 2006-03-06

Re: svchost.exe i podejrzany Generic Host Process...

W services.msc przy odrobinie cierpliwości dopatrzysz się który to proces i za co odpowiada oraz ewentualnie go zatrzymasz/wyłączysz...

Zwróć również uwagę czy jest to s[b]vc[/b]host.exe czy s[b]cv[/b]host.exe :)

BTW: NTD ;)

Dum spiro - spero ...
pozdrawiam, pasqdnik

Offline

 

#5  2007-04-16 15:25:27

  kiko80 - Użytkownik

kiko80
Użytkownik
Skąd: /mnt/podlasie
Zarejestrowany: 2007-04-03

Re: svchost.exe i podejrzany Generic Host Process...

Początkowo wywalał błąd co kilkanaście minut, że nastąpi zamknięcie[/quote]
za 30s lub za 60s zostanie zamknięty system tak??
Jeśli tak to 2 wiry odpowiedzialne za to to msblaster lub saser

Wirusy w Linuxie to jak krasnoludki,
podobno są ale nikt ich nie widział :D
http://filefox.pl/poleca/kiko80
Linux register users: #445562

Offline

 

#6  2007-04-16 17:31:18

  k4misiek - Green Reaper

k4misiek
Green Reaper
Skąd: Poznań
Zarejestrowany: 2006-11-11

Re: svchost.exe i podejrzany Generic Host Process...

Początkowo wywalał błąd co kilkanaście minut, że nastąpi zamknięcie[/quote]
za 30s lub za 60s zostanie zamknięty system tak??
Jeśli tak to 2 wiry odpowiedzialne za to to msblaster lub saser[/quote]

Ewentualnie coś usilnie zamyka lsass'a ;-]

You are registered as user [b]#464141[/b] with the Linux Counter

Offline

 

#7  2007-04-19 16:36:51

  Qdłaty - Członek DUG

Qdłaty
Członek DUG
Skąd: z komputera
Zarejestrowany: 2005-08-09

Re: svchost.exe i podejrzany Generic Host Process...

reczne zamkniecie (ktoregos z) svchost.exe moze powodowac bledne myslenie o istnieniu jednego z dwoch robakow sasera lub blastera!
Svchostow jest zazwyczaj kilka. Ja mam np trzy uslugi systemowe i dwa zadania systemu. Jezeli chcesz dokladniej to



Kod:

Plik Svchost.exe znajduje się w folderze %SystemRoot%System32. Przy uruchamianiu program Svchost.exe sprawdza część rejestru dotyczącą usług, aby przygotować listę usług, które ma załadować. Jednocześnie może być uruchomionych wiele wystąpień programu Svchost.exe. Każda sesja programu Svchost.exe może zawierać grupy usług, tak że oddzielne usługi można uruchamiać w zależności od sposobu i miejsca uruchomienia programu Svchost.exe. Umożliwia to lepszą kontrolę i debugowanie.

Kod:

Aby wyświetlić listę usług uruchomionych w pliku Svchost:
1.    Kliknij przycisk Start na pasku zadań systemu Windows, a następnie kliknij polecenie Uruchom.
2.    W polu Otwórz wpisz polecenie CMD, a następnie naciśnij klawisz ENTER.
3.    Wpisz polecenie Tasklist /SVC, a następnie naciśnij klawisz ENTER.

Calosc znajduje sie na jakze przyjaznej stronie
[url]http://support.microsoft.com/kb/314056/pl[/url]
pozdro

Offline

 

#8  2007-04-19 17:24:07

  harry666t - Członek DUG

harry666t
Członek DUG
Zarejestrowany: 2007-01-28

Re: svchost.exe i podejrzany Generic Host Process...

Początkowo wywalał błąd co kilkanaście minut, że nastąpi zamknięcie[/quote]
za 30s lub za 60s zostanie zamknięty system tak??
Jeśli tak to 2 wiry odpowiedzialne za to to msblaster lub saser[/quote]

dać w konsoli shutdown -a gdy się pokazuje

a potem pozbyć się windy (geez, jak ja się cieszę że nie mam już *takich* problemów...)

[ /\/\/\ o_0 ----->>>       Ascii Art Userbar User ]

"steal and steal and steal some more and give it to all your friends and keep on stealin'"
- Reznor

Offline

 

 

Strony: 1

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)

[ Generated in 0.009 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00011 SET CHARSET latin2
0.00004 SET NAMES latin2
0.00066 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.220.142.67' WHERE u.id=1
0.00092 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.220.142.67', 1738507423)
0.00029 SELECT * FROM punbb_online WHERE logged<1738507123
0.00051 SELECT topic_id FROM punbb_posts WHERE id=58287
0.00157 SELECT id FROM punbb_posts WHERE topic_id=7629 ORDER BY posted
0.00067 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=7629 AND t.moved_to IS NULL
0.00005 SELECT search_for, replace_with FROM punbb_censoring
0.00120 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=7629 ORDER BY p.id LIMIT 0,25
0.00078 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=7629
Total query time: 0.0068 s