Компьютерный форум
Правила
Вернуться   Компьютерный форум > Компьютерные форумы > Новости > Наука
Перезагрузить страницу Популярно о SVCHOST.EXE и распространенных признаках работы вирусов
Ответ
 
Опции темы Опции просмотра
  (#1 (permalink)) Старый
alex99-81 alex99-81 вне форума
Member
 
Аватар для alex99-81
 
Сообщений: 246
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Регистрация: 16.06.2010
Адрес: мурманск
Exclamation Популярно о SVCHOST.EXE и распространенных признаках работы вирусов - 10.09.2010, 16:01

Я очень долго думал, что вирусы это скорее раздутый миф. Пока я не начал вставлять в комп всякие “неопознанные” флешки. Теперь свое мнение поменял .
Хорошо когда вам попадется вирус с фатальными последствиями, тогда вы хотя бы чему-нибудь научитесь. Как у меня было, только я вставляю в свой новенький ноут чужую флешку, происходит автозагрузка и с изумлением вижу следующие события:
1. Появляется сообщение винды, что файервол (сетевой экран) отключен.
2. Антивирус отключается тоже сам собой.
3. Пытаюсь войти в диспечер задач, получаю сообщение – запрещено администратором (аж обидно, а я кто?)
Все компьютер заражен и в дальнейшем я ничего лучшего не нашел, кроме как отформатировать диски и поставить винду заново.
Ну и ничего, зато я поимел опыт о коварстве вирусов, отключил автозагрузку флешек, стал следить за обновлениями антивирусов и пока все нормально.
А в основном заражение вирусами до поры до времени не несет фатальных последствий и пользователь его просто не замечает. Просто постепенно компьютер теряет производительность, могут пропасть ценные данные и пароли, и конечно же самое главное – компьютер становится переносчиком инфекции. Вы сами того не желая можете подставить своих товарищей и знакомых.
Поэтому думаю неплохо, если вы будете знать признаки работы вирусов. Вот признаки вирусов, с которыми приходилось встречаться мне:
1. При просмотре процессов через диспетчер задач, процесс SVCHOST.EXE должно быть указано, что он запущен от SYSTEM, LOCAL SERVICE или NETWORK SERVICE. Если SVCHOST.EXE запущен от имени пользователя, это 100% работа вируса.
2. При просмотре процессов через диспетчер задач, появился процесс runbll32.exe, маскировался под rundll32.exe, при быстром просмотре можно и не обратить внимание. Аналогично вирусы могут маскироваться и под другие популярные имена файлов, например svhost.exe или swchost.exe и т.д.
3. SVCHOST.EXE должен находиться в папке system32, но так-же находится в папке Windows , это временной фаил , если в другом месте то это вирус.
4. Не возможность включить диспетчер задач.
5. Самостоятельное отключение сетевого экрана.
6. Самостоятельное отключение антивируса.
7. Невозможность сканирования компьютера антивирусом.
8. Невозможность обновления или установки антивируса.
9. На флешке появляется скрытая папка RECYCLER, то есть корзина. На флешке ее не должно быть. У меня в этой корзине содержался исполняемый файл SVCHOST.EXE. Не сразу и понял, что это вирус маскируется.
10. На флешке в папках появляются файлы с такими же именами как и у содержащих их папок но с расширением exe. Например, у меня в папке NOD32 eset появился файл Nod32.exe, и так же в других папках. Кончилось тем, что я все таки случайно запустил такой неопознанный файл. Последствия были печальны.
11. На флешке в корневой директории появились странные файлы, при просмотре через total commander они выглядели как папки, то есть имели значок в виде папки, но они так же имели расширение исполняемого файла. Внимательно смотрите, что открываете именно папку. В тот раз обновленный NOD32 мне не помог.
Конечно, такой список должен быть гораздо длиннее, но это пока все, что я смог вспомнить, напишите с какими признаками работы вирусов встречались вы.
Нужно поподробнее остановиться на SVCHOST.EXE. Когда у людей начинаются странности с компьютером, при просмотре через диспетчер задач обращают внимание на ту странность что программ SVCHOST.EXE запущенно несколько экземпляров. Многие ошибочно принимают это за работу вирусов, начинают пытаться отключать этот процесс.
Если посмотреть повнимательнее, то становиться видно, что SVCHOST.EXE запущен с разными идентификаторами процесса и с разными выделенными объемами памяти. Так что фактически мы видим работу совершенно различных процессов, а именно работу различных сервисов Windows, запущенных посредством служебной программы SVCHOST.EXE. Его оригинальное имя Generic Host Process for Win32 Services. Так что наличие нескольких экземпляров SVCHOST.EXE совершенно нормально. Могу добавить, что у меня сейчас через диспетчер задач видно пять экземпляров SVCHOST.EXE.
На сайте Майкрософт пишут, что запуск разных сервисов с помощью SVCHOST.EXE, это очень элегантное решение, уменьшающее загрузку оперативное памяти, упрощающее отладку и слежение за процессами и т.п. Но что Биллу Гейтсу хорошо, то для нас может быть не очень. Когда начинаются косяки с SVCHOST.EXE, разобраться действительно не легко, могу посоветовать зайти в Панель управления – Производительность и обслуживание – Администрирование – Службы, посмотреть запущенные сервисы, поэкспериментировать с их отключением. Отключать сам процесс SVCHOST.EXE через диспетчер задач обычно бесполезно и ведет к нарушению работы операционки.
Так же для подробного изучения SVCHOST.EXE могу посоветовать программу Svchost Process Analyser или аналагичную программу которая расширяет возможности диспетчера задач. Сам я пользуюсь программой What’s Running версии 2.2. Такая софтина поможет узнать в подробностях всю информацию о том, что делает каждый из процессов.
С этим SVCHOST.EXE часто возникают всякие курьезы. Особенно мне понравилась ситуация, которая как-то возникла у моего знакомого. Он никак не мог поставить себе винду. А именно после установки чистой системы, установки всех драйверов и установки антивируса появлялось сообщение о том, что заражен файл SVCHOST.EXE, лечение не возможно, удалить его? Мой знакомый конечно же отвечал утвердительно. После этого компьютер уже не перезагружался. После этого он опять форматировал диски, ставил винду и опять все повторялось у него несколько раз. Оказалось что у него был заражен диск с драйверами сканера. Причем диск был не какой-то левый, а шел в магазине с самим сканером и вроде бы заслуживал доверия. Проблема решилась скачиванием новых дров из Интернета.
Так что не спешите и будьте внимательны. Защита от вирусов только на 40% зависит от антивируса и другого программного обеспечения, остальные 40% зависят от нашей внимательности, знаний, разборчивости. Ну остальные 20% это наше с вами везение, ну или невезение . Ещё в заключении , если во время пользования сетью у вас поевляется сообщение Generic Host Process for Win32 Services и далие о том что приложение будет закрыто и преходится перегружаться , то выполните следующие (пуск/выполнить/прописать msconfing ) запустится утилита управления , жмём службы и снемаем галочки с сервира и рабочей станции после перегружаемся . Если не запускается утилита управления , то фаил msconfing можно найти C:/pchealth/helptr/binares/. Если кого-то заинтересует эта тема то я готов подробно рассказать о методах борьбы с различными вирусами и ошибками по мере своей возможности . Тем кто считает что это бред , прошу не комментировать , ПОЖАЛУЙСТА !
ALEX99-81
Ответить с цитированием
  (#2 (permalink)) Старый
Кактус Кактус вне форума
Специалист
 
Аватар для Кактус
 
Сообщений: 4,827
Сказал(а) спасибо: 2
Поблагодарили 34 раз(а) в 34 сообщениях
Регистрация: 08.12.2007
Адрес: Москва
По умолчанию 11.09.2010, 13:50

Хорошая заметка... Однако не согласен про 40%, на которые нас защищает антивирус.. думаю, что больше, надеюсь что так Деятельность вируса отслеживать глазами никто не будет, и смотреть процесссы люди лезут только когда есть какие-то проблемы... а 95% юзеров и вовсе не знают где это смотреть...
Ответить с цитированием
  (#3 (permalink)) Старый
Cosmologist Cosmologist вне форума
Member
 
Аватар для Cosmologist
 
Сообщений: 256
Сказал(а) спасибо: 0
Поблагодарили 1 раз в 1 сообщении
Регистрация: 25.06.2010
По умолчанию 08.10.2010, 14:20

был у меня этот SVCHOST.EXE и непонятно окуда взялся...

спасиб за инфу!
Ответить с цитированием
  (#4 (permalink)) Старый
icemen icemen вне форума
Новичок
 
Сообщений: 1
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Регистрация: 22.06.2011
По умолчанию Нехорошо уважаемый. - 22.06.2011, 21:31

Вообще обычно принято в интернете ссылки на первоисточники ставить - популярно о svchost.exe. Но яндыкс дебил, вы украли, а меня за копипаст наказал яша. Если ссылку удалите мою, напишу абузу яше, иногда это очень действенно).
Ответить с цитированием
  (#5 (permalink)) Старый
Mistify Mistify вне форума
Member
 
Аватар для Mistify
 
Сообщений: 13
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Регистрация: 08.10.2011
По умолчанию 11.10.2011, 18:14

Раньше, пока не просекли эту фишку, вирусописатели довольно успешно маскировали его под именем svch0st.exe, то есть вместо "о" впаривался нолик. ) Вообще, есть много вариантов его написания с целью маскировки под системный файл, надо всегда обращать внимание на это при просмотре активных процессов в диспетчере задач.
Ответить с цитированием
Ads.
  (#6 (permalink)) Старый
sizz sizz вне форума
Member
 
Сообщений: 743
Сказал(а) спасибо: 15
Поблагодарили 87 раз(а) в 87 сообщениях
Регистрация: 11.10.2011
Адрес: Saratov
По умолчанию 12.10.2011, 00:37

да при чем тут свхост, можно под любой файл, можно клеить, можно че угодно делать, первым делом над выносить автозагрузку с реестра ибо больнство вирусов скрыты с диспетчера задач а некоторые даж и через скрытые файлы экзешники не видит, эт я к тому вирусы который через флешки распространяется который делает ся папкой а папки скрывает
Ответить с цитированием
  (#7 (permalink)) Старый
sizz sizz вне форума
Member
 
Сообщений: 743
Сказал(а) спасибо: 15
Поблагодарили 87 раз(а) в 87 сообщениях
Регистрация: 11.10.2011
Адрес: Saratov
По умолчанию 12.10.2011, 21:20

ОФФТОП
Цитата:
Сообщение от Mistify Посмотреть сообщение
Раньше, пока не просекли эту фишку, вирусописатели довольно успешно маскировали его под именем svch0st.exe, то есть вместо "о" впаривался нолик. ) Вообще, есть много вариантов его написания с целью маскировки под системный файл, надо всегда обращать внимание на это при просмотре активных процессов в диспетчере задач.

не обязательно буквы менять, он и так запускается
Ответить с цитированием
  (#8 (permalink)) Старый
TheChemicalBrothers TheChemicalBrothers вне форума
Seller of dead fish
 
Аватар для TheChemicalBrothers
 
Сообщений: 2,578
Сказал(а) спасибо: 51
Поблагодарили 161 раз(а) в 156 сообщениях
Регистрация: 09.08.2011
По умолчанию 12.10.2011, 22:34

антивирус надо ставить
Ответить с цитированием
  (#9 (permalink)) Старый
sizz sizz вне форума
Member
 
Сообщений: 743
Сказал(а) спасибо: 15
Поблагодарили 87 раз(а) в 87 сообщениях
Регистрация: 11.10.2011
Адрес: Saratov
По умолчанию 12.10.2011, 22:42

Цитата:
Сообщение от TheChemicalBrothers Посмотреть сообщение
антивирус надо ставить
антивирус тебе не поможет, ибо если ты вирус сам пишешь его в базах антивиря нет, ну уж на край если криптануть уже существующий то антивир его тож не увидит пока крипт не спалят...так шо ручками над всё, ручками....ну и заплатки для винды +фаер

p.s. к тому же антивирус не устраняет последствия вирусов
Ответить с цитированием
  (#10 (permalink)) Старый
TheChemicalBrothers TheChemicalBrothers вне форума
Seller of dead fish
 
Аватар для TheChemicalBrothers
 
Сообщений: 2,578
Сказал(а) спасибо: 51
Поблагодарили 161 раз(а) в 156 сообщениях
Регистрация: 09.08.2011
По умолчанию 12.10.2011, 23:24

Цитата:
Сообщение от sizz Посмотреть сообщение
если ты вирус сам пишешь его в базах антивиря нет
это нужно придумать новый принцып работы виря, каторого нет ещё в базах. Лично у меня мозгов нехватит на такое
Ответить с цитированием
  (#11 (permalink)) Старый
sizz sizz вне форума
Member
 
Сообщений: 743
Сказал(а) спасибо: 15
Поблагодарили 87 раз(а) в 87 сообщениях
Регистрация: 11.10.2011
Адрес: Saratov
По умолчанию 12.10.2011, 23:25

Цитата:
Сообщение от TheChemicalBrothers Посмотреть сообщение
это нужно придумать новый принцып работы виря, каторого нет ещё в базах. Лично у меня мозгов нехватит на такое
ничего придумывать не надо, даже если есть сорцы старого виря можн поменять названия функций и процедур, засрать малось код пустыми дейставами и получим новый вирус который не видят антивирусы
Ответить с цитированием
Ads
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Выкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
svchost.exe - что за процесс? fedos868 Любые вопросы от новичков 12 06.03.2012 21:03
svchost.exe грузит процессор на 100% DeadDemon Процессоры 8 19.02.2011 01:30
svchost.exe Str 3 Любые вопросы от новичков 4 05.02.2011 14:59
Популярно о SVCHOST.EXE и распространенных признаках работы вирусов alex99-81 Наука 0 10.09.2010 16:00
восстановление SVCHOST.EXE crazy_mActep Windows 7 3 17.07.2010 20:13
не угомонный svchost.exe Lobo Операционная система Windows 3 01.02.2010 10:09
Svchost Чёрный_Лёд Компьютерная безопасность 16 19.03.2009 03:04
svchost.exe выдает ошибки. smalkoff Техническая поддержка 6 01.03.2009 18:56
Проблемы с SVChost Agent_47 Windows XP 20 08.02.2009 20:23
Предлагаю решение самых распространенных задач на Vip 5.2 DenoZavr Prolog 2 14.10.2006 03:13
Популярно о протоколах Зирк Юмор 2 08.03.2006 07:07



Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.
Нardforum.ru - компьютерный форум и программирование, форум программистов