Svchost.exe
Ile razy powinien pojawiać się w menedźerze zadań proces svchost.exe.
U mnie powtaźa się 4 razy i strasznie obciąźa mi procesor 97%.
U mnie powtaźa się 4 razy i strasznie obciąźa mi procesor 97%.
Odpowiedzi: 15
Panika pojawi się dopiero jak się pojawi 5 i więcej takich procesów :mrgreen: no ale wtedy antywirusik bierzemy w łapki i po sprawie.
Heh, wyłączyłem ten jeden i przez 2 sekundy sys przybrał kształt 3.11 :mrgreen:
Ale potem się sam uruchomił :x :)
Ale potem się sam uruchomił :x :)
Aleź wym panikujecie :)))
nawet jak nie masz neta to zawsze bedzie ten plik uruchamiany tak jak powiedział SLAY3R
kazdy uzytkownik winxp orgianlnie bedzie miał uruchomione 4x SVCHOST.EXE chyba ze cos poknoci badz zamknie :D
Sa to usługi jeden jest do usługi lokalnej drugi do sieciowej a dwa do systemowej :)
i tak powinno byc i tak ma zazwyczaj kazdy :)
nawet jak nie masz neta to zawsze bedzie ten plik uruchamiany tak jak powiedział SLAY3R
kazdy uzytkownik winxp orgianlnie bedzie miał uruchomione 4x SVCHOST.EXE chyba ze cos poknoci badz zamknie :D
Sa to usługi jeden jest do usługi lokalnej drugi do sieciowej a dwa do systemowej :)
i tak powinno byc i tak ma zazwyczaj kazdy :)
Nie tylko, jeden z tych procesów odpowiada za wyświetlanie tzw. stylu systemu windows XP (panel sterowania, właściwości ekranu), czyli za zaokrąglony pasek zadań, półprzeźroczyste manu itp. Spróbujcie otworzyć managera zadań, i zakończyć proces svchost, który zajmuje najwięcej pamięci. Przy otworzeniu nowego okna zobaczycie kształty linii win 9x............
svchost to usługo sieciowa bez tego nie działałby ci np. internet. Jeźeli nie masz svchost.exe w C: to moźesz spać spokojnie.
Ale w opisach dotyczacych tego wirusa jest napisane ze instaluje sie na C: u mnie plik o nazwie Svchost.exe siedzi w folderze system32 (chyba ze glupi lamer ze mnie i to oznacza to samo), poza tym zajmuje 13kB. Wiec ja sie pytam o co tu chodzi?
do LOBO: a w ktorym momencie obserwujesz te pozytywne cechy?! :D
a to ciekawe bo ja na kompie z xp ekiem nie mam netu a mam 4 wystepujacy w sm pliki svchost.exe
poszukalem i znalazlem :twisted:
takie o to informacje:
http://www.mks.com.pl/baza.html?show=description&id=1755 ––>>chyba najbardziej wiarygodna :)
http://www.bhm.com.pl/wirusy_naj.htm
http://www.faq.net.pl/TopFaq.asp?id=190 ––>>obstajacy,ze to nie wirus :!: :!:
ja tam ufam MKS'owi :)
ide walczyc :) :) chociaz taki grozny on wcale nie jest :D ........nawet pozyteczny :lol:
>>pozdrownik<<
takie o to informacje:
http://www.mks.com.pl/baza.html?show=description&id=1755 ––>>chyba najbardziej wiarygodna :)
http://www.bhm.com.pl/wirusy_naj.htm
http://www.faq.net.pl/TopFaq.asp?id=190 ––>>obstajacy,ze to nie wirus :!: :!:
ja tam ufam MKS'owi :)
ide walczyc :) :) chociaz taki grozny on wcale nie jest :D ........nawet pozyteczny :lol:
>>pozdrownik<<
fakt.kolega wyzej prezentuje w swoim drugim linku informacje z CALKIEM inna definicja tego pliku svchost.exe :!: :!: :!: :?: :?: :?:
w takim razie ja podzielam pytanie kolegi:
WHAT THE FUCK IS THIS SHIT :!: :!: :?: :?: :!:
w takim razie ja podzielam pytanie kolegi:
WHAT THE FUCK IS THIS SHIT :!: :!: :?: :?: :!:
zatem wszyscy go maja :)
Jest to robak internetowy infekujący strony WWW atakując serwery IIS (Internet Information Server). Wirus rozprzestrzenia się między stronami WWW poprzez wysyłanie i uruchamianie własnego pliku EXE.
Nazwa pliku robaka zawsze jest taka sama – SVCHOST.EXE lub HTTPEXT.DLL. Jest to aplikacja Win32 (plik PE EXE) o rozmiarze około 29KB, napisana w języku programowania C++. Istnieje takźe wariant skompresowany o rozmiarze około 14KB. Wersja DLL ma rozmiar 47 KB i napisana jest przy uźyciu tego samego języka programowania.
Robak infekuje tylko maszyny z zainstalowanym pakietem IIS. Po uruchomieniu na takim komputerze wirus lokalizuje i atakuje zdalne strony WWW (zdalne komputery z zainstalowanym IIS) przepełniając ich bufor, wysyła do nich swoje kopie i kontynuuje rozprzestrzenianie. W rezultacie robak infekuje wszystkie serwery WWW (IIS) dostępne z zainfekowanej maszyny.
Robak posiada funkcję dodatkową, która od godziny 10:00 do 11:00 przeprowadza atak DoS (Deny of Service) na serwerze http://www.nsfocus.com.
Instalacja
Robak tworzy swoje kopie (EXE oraz DLL) w katalogu głównym dysku C: – C:SVCHOST.EXE oraz C:HTTPEXT.DLL. Pierwszy plik umieszczany jest w kluczu auto–run rejestru systemowego:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Domain Manager = C:svchost.exe
Następnie wirus tworzy i rozprzestrzenia skrypt C:D.VBS oraz wyłącza aplikację INETINFO.EXE jeźeli jest aktywna. Ponadto skrypt wyłącza serwisy indeksowania oraz mapowanie drukarki.
W rezultacie robak uniemoźliwia innym robakom oraz hakerom wniknięcie do zainfekowanego systemu przy uźyciu dziur w zabezpieczeniach serwera WWW.
Rozprzestrzenianie
W celu dalszego rozprzestrzeniania się robak uruchamia 100 wątków, które skanują losowe adresy IP i atakują je.
W 50% przypadków atakowane maszyny funkcjonują w tej samej sieci, natomiast atakowane adresy IP mają postać "aa.bb.??.??", gdzie "aa.bb" jest częścią adresu zainfekowanej maszyny, podczas gdy "??.??" to elementy losowe. W pozostałych przypadkach atakowane adresy są całkowicie losowe.
Aby zaatakować maszynę robak wysyła losowo skonstruowane źądania przepełniające jej bufor. Jest to zatem atak "polimorficzny" w wyniku czego filtry IIS mogą mieć problemy z jego zatrzymaniem.
jak sie go pozbyc dziada :) :) :)
Jest to robak internetowy infekujący strony WWW atakując serwery IIS (Internet Information Server). Wirus rozprzestrzenia się między stronami WWW poprzez wysyłanie i uruchamianie własnego pliku EXE.
Nazwa pliku robaka zawsze jest taka sama – SVCHOST.EXE lub HTTPEXT.DLL. Jest to aplikacja Win32 (plik PE EXE) o rozmiarze około 29KB, napisana w języku programowania C++. Istnieje takźe wariant skompresowany o rozmiarze około 14KB. Wersja DLL ma rozmiar 47 KB i napisana jest przy uźyciu tego samego języka programowania.
Robak infekuje tylko maszyny z zainstalowanym pakietem IIS. Po uruchomieniu na takim komputerze wirus lokalizuje i atakuje zdalne strony WWW (zdalne komputery z zainstalowanym IIS) przepełniając ich bufor, wysyła do nich swoje kopie i kontynuuje rozprzestrzenianie. W rezultacie robak infekuje wszystkie serwery WWW (IIS) dostępne z zainfekowanej maszyny.
Robak posiada funkcję dodatkową, która od godziny 10:00 do 11:00 przeprowadza atak DoS (Deny of Service) na serwerze http://www.nsfocus.com.
Instalacja
Robak tworzy swoje kopie (EXE oraz DLL) w katalogu głównym dysku C: – C:SVCHOST.EXE oraz C:HTTPEXT.DLL. Pierwszy plik umieszczany jest w kluczu auto–run rejestru systemowego:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Domain Manager = C:svchost.exe
Następnie wirus tworzy i rozprzestrzenia skrypt C:D.VBS oraz wyłącza aplikację INETINFO.EXE jeźeli jest aktywna. Ponadto skrypt wyłącza serwisy indeksowania oraz mapowanie drukarki.
W rezultacie robak uniemoźliwia innym robakom oraz hakerom wniknięcie do zainfekowanego systemu przy uźyciu dziur w zabezpieczeniach serwera WWW.
Rozprzestrzenianie
W celu dalszego rozprzestrzeniania się robak uruchamia 100 wątków, które skanują losowe adresy IP i atakują je.
W 50% przypadków atakowane maszyny funkcjonują w tej samej sieci, natomiast atakowane adresy IP mają postać "aa.bb.??.??", gdzie "aa.bb" jest częścią adresu zainfekowanej maszyny, podczas gdy "??.??" to elementy losowe. W pozostałych przypadkach atakowane adresy są całkowicie losowe.
Aby zaatakować maszynę robak wysyła losowo skonstruowane źądania przepełniające jej bufor. Jest to zatem atak "polimorficzny" w wyniku czego filtry IIS mogą mieć problemy z jego zatrzymaniem.
jak sie go pozbyc dziada :) :) :)
i tu nasuwa sie pytanie... WHAT THE HELL IS THIS :?:
jest wszedzie! w calym rejestrze i menadzerze zadan. jednak poszperalem troche na NET'cie i oto co znalazlem : http://www.wiruspc.pl/archiwum/numer_2001_09.php#c2http://komputery.wp.pl/mag_artykuly.html?wid=344. jak widac zdania sa podzielone, wiec niech ktos konkretny odpowie na moje wczesniejsze pytanie!!!
jest wszedzie! w calym rejestrze i menadzerze zadan. jednak poszperalem troche na NET'cie i oto co znalazlem : http://www.wiruspc.pl/archiwum/numer_2001_09.php#c2http://komputery.wp.pl/mag_artykuly.html?wid=344. jak widac zdania sa podzielone, wiec niech ktos konkretny odpowie na moje wczesniejsze pytanie!!!
u mnie 4 razy,ale "moj drogi" faktycznie,mam trojana.....ale klienta :twisted:
a czy jakis inny usuwa?
pozdroofki
pozdroofki
drodzy mili macie trojana jedyne wyjscie to format c bo symantec tego nie usowa
Strona 1 / 1