|
Главная | Правила | Регистрация | Дневники | Справка | Пользователи | Календарь | Поиск | Сообщения за день | Все разделы прочитаны |
|
Опции темы | Опции просмотра |
19.03.2009, 01:42 | #11 (permalink) |
Новичок
Регистрация: 13.03.2009
Сообщений: 2,101
Записей в дневнике: 6
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 1199
|
Некоторые компьютерные вирусы и трояны маскируются под имя svchost.exe, помещая исполняемый файл в отличный от system32 каталог. (например, Net-Worm.Win32.Welchia.a, Virus.Win32.Hidrag.d, Trojan-Clicker.Win32.Delf.cn Возьмём например Net-Worm.Win32.Welchia.a Червь написан на языке Visual C++. Имеет размер около 10КB (10240 байт), упакован UPX. Размножается в виде набора из двух файлов с именами dllhost.exe и svchost.exe. Содержит текстовые строки: I love my wife & baby :-) ~~~ Welcome Chian~~~ Notice: 2004 will remove myself:-) ~~ sorry zhongli~~~ Романтик не правда ли? При запуске червь копирует себя с именем dllhost.exe в каталог %System%\wins, после чего создает сервис с именем WINS Client. Туда же червь копирует файл tftpd.exe из каталога %System%\dllcache, с именем svchost.exe и создает сервис с именем Network Connections Sharing. В результате этих действий червь будет получать управление и исполняться при каждом запуске Windows. Червь проверяет системный реестр Windows на наличие информации об установленных патчах и сервисных паках для Windows, и в том случае если патч закрывающий уязвимость в DCOM не установлен, запускает процедуру загрузки данного патча с сайта download.microsoft.com. После того как требуемый патч загружен и установлен, червь перезагружает компьютер. Червь использует два способа выбора IP-адресов для заражения. В первом варианте он использует из текущего адреса два первых значения A и B и начинает сканирование сетей с A.B.0.0, последовательно перебирая все вышестоящие адреса. Во втором случае адрес выбирается произвольно. Червь формирует два разных запроса для отправки на удаленные машины. Первый запрос содержит в себе эксплойт уязвимости WebDAV, второй - эксплойт DCOM RPC практически полностью идентичный тому, что был использован в сетевом черве Lovesan. Червь выбирает IP-адрес, отсылает на него ICMP запрос и ждет ответа. Если удаленный компьютер ответил, червь устанавливает с ним соединение по 135 порту (аналогично Lovesan) или на 80 порт (если на удаленной машине используется IIS) и отсылает подготовленный пакет, содержащий команды для загрузки (при помощи tftp) себя с зараженной машины. Далее проверяет наличие на удаленной машине файла tftpd.exe и если такой не обнаружен, то загружает его туда (в виде файла svchost.exe) в каталог %System%\wins. Если текущий год равен 2004, то червь удаляет себя из системы и прекращает свою работу. Но переписать исходник под свои нужды у кого то труда не составит. Где был 2004 год, то там вполне может быть 2009 и т.д. Также можно рассмотреть такой вирус как Trojan-Clicker.Win32.Delf.cn Примитивный Win32-троянец, созданный для открытия в окне Internet Explorer следующей интернет страницы без ведома пользователя: http://24***search.com/***irect1.php Троянская программа представляет собой Windows PE EXE-файл, написана на языке Delphi и имеет размер около 196 КБ. Упакована UPX. Размер распакованного файла — около 527 КБ. После запуска троянец копирует себя в следующую папку с именем svchost.exe: C:\DriverLoad\svchost.exe Затем регистрирует себя в ключе автозапуска системного реестра .. Про остальные вирусы можно посмотреть на сайте касперского |
19.03.2009, 01:42 | |
Helpmaster
Member
Регистрация: 08.03.2016
Сообщений: 0
|
Вот топики, в которых найдены совпадения с вашей темой Все сетевые процессы Как отключить ненужные процессы? Службы Странные процессы Процессы OS Windows Срок службы батарей |
19.03.2009, 01:43 | #12 (permalink) |
Новичок
Регистрация: 13.03.2009
Сообщений: 2,101
Записей в дневнике: 6
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 1199
|
Давайте узнаем Список служб Windows XP, запускаемых с помощью svchost.exe,
а также Список "левых" служб, ссылающихся на svchost.exe Узнать можно тут http://www.saule-spb.ru/library/index.html В разделе операционные программы. (Ничего НЕ удаляем, гуглим если найдём в списке левых службу и анализируем) Что делать если процесс хавает ресурсы с огромной скоростью, уменьшить скорость? Нет. Вот подробный пошаговый вариант http://whiteportal.ru/2007/04/17/pro...r_pod_100.html Что делать если на компьютере действительно вирус? Сканировать, лечить утилитами от касперского или другими антивирусными утилитами и программами, предоставленными в виде ссылок на форуме Последний раз редактировалось SQL; 19.03.2009 в 03:01 |
19.03.2009, 02:01 | #13 (permalink) |
Новичок
Регистрация: 13.03.2009
Сообщений: 2,101
Записей в дневнике: 6
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 1199
|
Какие процессы больше всего помимо svchost вызывают ещё пылкий интерес?
Пишите названия и я выложу по ним материал. Но помните..процесса под именем никакие.exe в природе нет Добавлено: Раз ответа не было, то следующим пойдёт процесс services.exe Когда закончим с svchost.exe Последний раз редактировалось SQL; 19.03.2009 в 04:02 |
19.03.2009, 06:40 | #14 (permalink) |
Member
Регистрация: 07.01.2008
Сообщений: 39,687
Сказал(а) спасибо: 783
Поблагодарили 834 раз(а) в 404 сообщениях
Репутация: 124544
|
svchost.exe
Практически постояно берет что та с инета. Даже если все сетьевые приложения отключены только эта служба бывает что та берет с инета. Защита:Outpost Security Suite Pro и avast 4.8 Pro |
19.03.2009, 15:57 | #15 (permalink) | |
Новичок
Регистрация: 13.03.2009
Сообщений: 2,101
Записей в дневнике: 6
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 1199
|
Цитата:
Я напишу немного позже о svсhost.exe и интернет. Пока готовлю. |
|
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
08.06.2009, 19:37 | #16 (permalink) |
Новичок
Регистрация: 08.06.2009
Сообщений: 5
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
|
ради эксперимента я отключила некоторые службы. Теперь комп виснет и подключение этих служб сделать невозможно, запуск служб не активен. Что можно сделать, чтобы восстановить отключенные службы?
Восстановление Windows ничего не дало. |
08.06.2009, 19:44 | #17 (permalink) |
Новичок
Регистрация: 13.03.2009
Сообщений: 2,101
Записей в дневнике: 6
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 1199
|
какие службы?
и где тут в посте было написано что их надо отключать? Последний раз редактировалось SQL; 08.06.2009 в 19:48 |
08.06.2009, 21:19 | #18 (permalink) |
Новичок
Регистрация: 08.06.2009
Сообщений: 5
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
|
Естессно, в этой теме не написано, что дураки могут экспериментировать со службами. Но раз такое приключилось?
Я отключила Удаленный вызов процедур (RPC) и удалила прописанный там профиль. Теперь там стоит авто (в этой службе), но ни одна служба не открывается и компьютер работает с трудом, нет сети, не делаются файловые операции и т.п. |
08.06.2009, 22:18 | #19 (permalink) | |
TEHNARI.RU
Регистрация: 31.03.2008
Адрес: Израиль
Сообщений: 18,407
Записей в дневнике: 7
Сказал(а) спасибо: 10
Поблагодарили 1 раз в 1 сообщении
Репутация: 14157
|
Цитата:
Вопрос!!!а зачем удаляла? |
|
08.06.2009, 23:37 | #20 (permalink) |
Новичок
Регистрация: 13.03.2009
Сообщений: 2,101
Записей в дневнике: 6
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 1199
|
спокойно! всем оставаться на своих местах! пристегните ремни!
службу включаем снова. ох вы намутили Если же Вы отключили жизненно важную службу, и нет возможности её запуска стандартными средствами, Вам необходимо в реестре по названию службы найти ключ с параметрами этой службы (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces), изменить значение параметра Start на 2 (Start=0x00000002) и перезагрузить систему. ну и тут |
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
Опции темы | |
Опции просмотра | |
|
|