Службы и Процессы в Windows XP - Страница 2

SQL · 19.03.2009, 01:42

Все копии svchost.exe запускаются системным процессом services.exe. Вызовы svchost.exe для сервисов указаны в ключе реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\<Service> (где <Service> имя сервиса) в поле ImagePath; например, сервис ComputerBrowser (имя сервиса Browser) вызывается как %SystemRoot%\system32\svchost.exe -k netsvcs. При этом группировка процессов осуществляется на основании данных ветви реестра HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Cu rrentVersion\Svchost, где каждый ключ соответствует имени группы, а значение ключа — списку (через пробел) имён сервисов относящихся к группе.

Некоторые компьютерные вирусы и трояны маскируются под имя svchost.exe, помещая исполняемый файл в отличный от system32 каталог. (например, Net-Worm.Win32.Welchia.a, Virus.Win32.Hidrag.d, Trojan-Clicker.Win32.Delf.cn
Возьмём например Net-Worm.Win32.Welchia.a
Червь написан на языке Visual C++. Имеет размер около 10КB (10240 байт), упакован UPX. Размножается в виде набора из двух файлов с именами dllhost.exe и svchost.exe.

Содержит текстовые строки:

I love my wife & baby :-)
~~~ Welcome Chian~~~
Notice: 2004 will remove myself:-)
~~ sorry zhongli~~~
Романтик не правда ли?

При запуске червь копирует себя с именем dllhost.exe в каталог %System%\wins, после чего создает сервис с именем WINS Client. Туда же червь копирует файл tftpd.exe из каталога %System%\dllcache, с именем svchost.exe и создает сервис с именем Network Connections Sharing.
В результате этих действий червь будет получать управление и исполняться при каждом запуске Windows.
Червь проверяет системный реестр Windows на наличие информации об установленных патчах и сервисных паках для Windows, и в том случае если патч закрывающий уязвимость в DCOM не установлен, запускает процедуру загрузки данного патча с сайта download.microsoft.com. После того как требуемый патч загружен и установлен, червь перезагружает компьютер.
Червь использует два способа выбора IP-адресов для заражения. В первом варианте он использует из текущего адреса два первых значения A и B и начинает сканирование сетей с A.B.0.0, последовательно перебирая все вышестоящие адреса. Во втором случае адрес выбирается произвольно.
Червь формирует два разных запроса для отправки на удаленные машины. Первый запрос содержит в себе эксплойт уязвимости WebDAV, второй - эксплойт DCOM RPC практически полностью идентичный тому, что был использован в сетевом черве Lovesan.
Червь выбирает IP-адрес, отсылает на него ICMP запрос и ждет ответа. Если удаленный компьютер ответил, червь устанавливает с ним соединение по 135 порту (аналогично Lovesan) или на 80 порт (если на удаленной машине используется IIS) и отсылает подготовленный пакет, содержащий команды для загрузки (при помощи tftp) себя с зараженной машины.
Далее проверяет наличие на удаленной машине файла tftpd.exe и если такой не обнаружен, то загружает его туда (в виде файла svchost.exe) в каталог %System%\wins.
Если текущий год равен 2004, то червь удаляет себя из системы и прекращает свою работу.
Но переписать исходник под свои нужды у кого то труда не составит.
Где был 2004 год, то там вполне может быть 2009 и т.д.
Также можно рассмотреть такой вирус как Trojan-Clicker.Win32.Delf.cn
Примитивный Win32-троянец, созданный для открытия в окне Internet Explorer следующей интернет страницы без ведома пользователя:
http://24***search.com/***irect1.php
Троянская программа представляет собой Windows PE EXE-файл, написана на языке Delphi и имеет размер около 196 КБ. Упакована UPX. Размер распакованного файла — около 527 КБ.
После запуска троянец копирует себя в следующую папку с именем svchost.exe:
C:\DriverLoad\svchost.exe
Затем регистрирует себя в ключе автозапуска системного реестра ..
Про остальные вирусы можно посмотреть на сайте касперского

SQL · 19.03.2009, 01:43

Давайте узнаем Список служб Windows XP, запускаемых с помощью svchost.exe,
а также Список "левых" служб, ссылающихся на svchost.exe
Узнать можно тут http://www.saule-spb.ru/library/index.html
В разделе операционные программы.
(Ничего НЕ удаляем, гуглим если найдём в списке левых службу и анализируем)
Что делать если процесс хавает ресурсы с огромной скоростью, уменьшить скорость? Нет.
Вот подробный пошаговый вариант
http://whiteportal.ru/2007/04/17/pro...r_pod_100.html

Что делать если на компьютере действительно вирус?
Сканировать, лечить утилитами от касперского или другими антивирусными утилитами и программами,
предоставленными в виде ссылок на форуме

SQL · 19.03.2009, 02:01

Какие процессы больше всего помимо svchost вызывают ещё пылкий интерес?
Пишите названия и я выложу по ним материал.
Но помните..процесса под именем никакие.exe в природе нет

Добавлено:
Раз ответа не было, то следующим пойдёт процесс services.exe
Когда закончим с svchost.exe

Технарь · 19.03.2009, 06:40

svchost.exe
Практически постояно берет что та с инета.
Даже если все сетьевые приложения отключены только эта служба бывает что та берет с инета.
Защита:Outpost Security Suite Pro и avast 4.8 Pro

SQL · 19.03.2009, 15:57

Цитата:

Сообщение от Технарь

svchost.exe
Практически постояно берет что та с инета.
Даже если все сетьевые приложения отключены только эта служба бывает что та берет с инета.
Защита:Outpost Security Suite Pro и avast 4.8 Pro

Хорошая штука например отключить автоматическое обновление, например если винда не лиценз. Или поставить с запросом если лиценз. Чтобы на автомате ничего не шло.
Я напишу немного позже о svсhost.exe и интернет. Пока готовлю.

Frau_Muller · 08.06.2009, 19:37

ради эксперимента я отключила некоторые службы. Теперь комп виснет и подключение этих служб сделать невозможно, запуск служб не активен. Что можно сделать, чтобы восстановить отключенные службы?
Восстановление Windows ничего не дало.

SQL · 08.06.2009, 19:44

какие службы?
и где тут в посте было написано что их надо отключать?

Frau_Muller · 08.06.2009, 21:19

Естессно, в этой теме не написано, что дураки могут экспериментировать со службами. Но раз такое приключилось?
Я отключила Удаленный вызов процедур (RPC) и удалила прописанный там профиль. Теперь там стоит авто (в этой службе), но ни одна служба не открывается и компьютер работает с трудом, нет сети, не делаются файловые операции и т.п.

Eli · 08.06.2009, 22:18

Цитата:

Сообщение от Frau_Muller

Естессно, в этой теме не написано, что дураки могут экспериментировать со службами. Но раз такое приключилось?
Я отключила Удаленный вызов процедур (RPC) и удалила прописанный там профиль. Теперь там стоит авто (в этой службе), но ни одна служба не открывается и компьютер работает с трудом, нет сети, не делаются файловые операции и т.п.

странно что вобще работает

Вопрос!!!а зачем удаляла?

SQL · 08.06.2009, 23:37

спокойно! всем оставаться на своих местах! пристегните ремни!
службу включаем снова.

ох вы намутили
Если же Вы отключили жизненно важную службу, и нет возможности её запуска стандартными средствами, Вам необходимо в реестре по названию службы найти ключ с параметрами этой службы (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces), изменить значение параметра Start на 2 (Start=0x00000002) и перезагрузить систему.
ну и тут

19.03.2009, 01:43	#12 (permalink)
SQL Новичок Регистрация: 13.03.2009 Сообщений: 2,101 Записей в дневнике: 6 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 1199	Давайте узнаем Список служб Windows XP, запускаемых с помощью svchost.exe, а также Список "левых" служб, ссылающихся на svchost.exe Узнать можно тут http://www.saule-spb.ru/library/index.html В разделе операционные программы. (Ничего НЕ удаляем, гуглим если найдём в списке левых службу и анализируем) Что делать если процесс хавает ресурсы с огромной скоростью, уменьшить скорость? Нет. Вот подробный пошаговый вариант http://whiteportal.ru/2007/04/17/pro...r_pod_100.html Что делать если на компьютере действительно вирус? Сканировать, лечить утилитами от касперского или другими антивирусными утилитами и программами, предоставленными в виде ссылок на форуме Последний раз редактировалось SQL; 19.03.2009 в 03:01

19.03.2009, 02:01	#13 (permalink)
SQL Новичок Регистрация: 13.03.2009 Сообщений: 2,101 Записей в дневнике: 6 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 1199	Какие процессы больше всего помимо svchost вызывают ещё пылкий интерес? Пишите названия и я выложу по ним материал. Но помните..процесса под именем никакие.exe в природе нет Добавлено: Раз ответа не было, то следующим пойдёт процесс services.exe Когда закончим с svchost.exe Последний раз редактировалось SQL; 19.03.2009 в 04:02

08.06.2009, 19:44	#17 (permalink)
SQL Новичок Регистрация: 13.03.2009 Сообщений: 2,101 Записей в дневнике: 6 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 1199	какие службы? и где тут в посте было написано что их надо отключать? Последний раз редактировалось SQL; 08.06.2009 в 19:48

19.03.2009, 01:42	#11 (permalink)
SQL Новичок Регистрация: 13.03.2009 Сообщений: 2,101 Записей в дневнике: 6 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 1199	Все копии svchost.exe запускаются системным процессом services.exe. Вызовы svchost.exe для сервисов указаны в ключе реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\<Service> (где <Service> имя сервиса) в поле ImagePath; например, сервис ComputerBrowser (имя сервиса Browser) вызывается как %SystemRoot%\system32\svchost.exe -k netsvcs. При этом группировка процессов осуществляется на основании данных ветви реестра HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Cu rrentVersion\Svchost, где каждый ключ соответствует имени группы, а значение ключа — списку (через пробел) имён сервисов относящихся к группе. Некоторые компьютерные вирусы и трояны маскируются под имя svchost.exe, помещая исполняемый файл в отличный от system32 каталог. (например, Net-Worm.Win32.Welchia.a, Virus.Win32.Hidrag.d, Trojan-Clicker.Win32.Delf.cn Возьмём например Net-Worm.Win32.Welchia.a Червь написан на языке Visual C++. Имеет размер около 10КB (10240 байт), упакован UPX. Размножается в виде набора из двух файлов с именами dllhost.exe и svchost.exe. Содержит текстовые строки: I love my wife & baby :-) ~~~ Welcome Chian~~~ Notice: 2004 will remove myself:-) ~~ sorry zhongli~~~ Романтик не правда ли? При запуске червь копирует себя с именем dllhost.exe в каталог %System%\wins, после чего создает сервис с именем WINS Client. Туда же червь копирует файл tftpd.exe из каталога %System%\dllcache, с именем svchost.exe и создает сервис с именем Network Connections Sharing. В результате этих действий червь будет получать управление и исполняться при каждом запуске Windows. Червь проверяет системный реестр Windows на наличие информации об установленных патчах и сервисных паках для Windows, и в том случае если патч закрывающий уязвимость в DCOM не установлен, запускает процедуру загрузки данного патча с сайта download.microsoft.com. После того как требуемый патч загружен и установлен, червь перезагружает компьютер. Червь использует два способа выбора IP-адресов для заражения. В первом варианте он использует из текущего адреса два первых значения A и B и начинает сканирование сетей с A.B.0.0, последовательно перебирая все вышестоящие адреса. Во втором случае адрес выбирается произвольно. Червь формирует два разных запроса для отправки на удаленные машины. Первый запрос содержит в себе эксплойт уязвимости WebDAV, второй - эксплойт DCOM RPC практически полностью идентичный тому, что был использован в сетевом черве Lovesan. Червь выбирает IP-адрес, отсылает на него ICMP запрос и ждет ответа. Если удаленный компьютер ответил, червь устанавливает с ним соединение по 135 порту (аналогично Lovesan) или на 80 порт (если на удаленной машине используется IIS) и отсылает подготовленный пакет, содержащий команды для загрузки (при помощи tftp) себя с зараженной машины. Далее проверяет наличие на удаленной машине файла tftpd.exe и если такой не обнаружен, то загружает его туда (в виде файла svchost.exe) в каталог %System%\wins. Если текущий год равен 2004, то червь удаляет себя из системы и прекращает свою работу. Но переписать исходник под свои нужды у кого то труда не составит. Где был 2004 год, то там вполне может быть 2009 и т.д. Также можно рассмотреть такой вирус как Trojan-Clicker.Win32.Delf.cn Примитивный Win32-троянец, созданный для открытия в окне Internet Explorer следующей интернет страницы без ведома пользователя: http://24*search.com/irect1.php Троянская программа представляет собой Windows PE EXE-файл, написана на языке Delphi и имеет размер около 196 КБ. Упакована UPX. Размер распакованного файла — около 527 КБ. После запуска троянец копирует себя в следующую папку с именем svchost.exe: C:\DriverLoad\svchost.exe* Затем регистрирует себя в ключе автозапуска системного реестра .. Про остальные вирусы можно посмотреть на сайте касперского

19.03.2009, 01:42
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	Вот топики, в которых найдены совпадения с вашей темой Все сетевые процессы Как отключить ненужные процессы? Службы Странные процессы Процессы OS Windows Срок службы батарей

19.03.2009, 06:40	#14 (permalink)
Технарь Member Регистрация: 07.01.2008 Сообщений: 39,694 Сказал(а) спасибо: 784 Поблагодарили 834 раз(а) в 404 сообщениях Репутация: 124544	svchost.exe Практически постояно берет что та с инета. Даже если все сетьевые приложения отключены только эта служба бывает что та берет с инета. Защита:Outpost Security Suite Pro и avast 4.8 Pro

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

08.06.2009, 19:37	#16 (permalink)
Frau_Muller Новичок Регистрация: 08.06.2009 Сообщений: 5 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	ради эксперимента я отключила некоторые службы. Теперь комп виснет и подключение этих служб сделать невозможно, запуск служб не активен. Что можно сделать, чтобы восстановить отключенные службы? Восстановление Windows ничего не дало.

08.06.2009, 21:19	#18 (permalink)
Frau_Muller Новичок Регистрация: 08.06.2009 Сообщений: 5 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	Естессно, в этой теме не написано, что дураки могут экспериментировать со службами. Но раз такое приключилось? Я отключила Удаленный вызов процедур (RPC) и удалила прописанный там профиль. Теперь там стоит авто (в этой службе), но ни одна служба не открывается и компьютер работает с трудом, нет сети, не делаются файловые операции и т.п.

08.06.2009, 23:37	#20 (permalink)
SQL Новичок Регистрация: 13.03.2009 Сообщений: 2,101 Записей в дневнике: 6 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 1199	спокойно! всем оставаться на своих местах! пристегните ремни! службу включаем снова. ох вы намутили Если же Вы отключили жизненно важную службу, и нет возможности её запуска стандартными средствами, Вам необходимо в реестре по названию службы найти ключ с параметрами этой службы (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces), изменить значение параметра Start на 2 (Start=0x00000002) и перезагрузить систему. ну и тут