» svchost лезет в инет. Как его поймать и остановить?

Проблема такая.
Есть Win2000Pro в ней McAfee Desktop Firewall, McAfee Antivirus, Net Activity Diagram.
Компьютер качает настойчиво качает инфу (за 15 мин 150Мб входящий трафик, 70 Исходящий). Качает не постоянно, а запускается и останавлливается произвольно. Исходящий трафик smtp(25) сразу по нескольким десякам адресов. Видимо спам рассылает.

Увидев такую фишку, проверил все McAfee, ничего не нашел. Установил NAV Corporate Edition 10, этот нашел пару вирусов (Downloader и какой-то троян). Но как оказалось не они качали. Трафик идет от имени svchost. В диспетчере задач таких оказалось 5. В реестре в соответствующе ветке нашлось только 4 строчки. В момент передачи инфы в инет грузила процессор только один svchost.

1. файлов svchost кроме в папках system32 и dllcache нету. Эти оба фалйа одинаковые и совпадают с файлами на других машинах.
2. в автозагрузке не нашел svchost

Вычитал про утилиту tlist и ProcessExplorer.
Утилитой нашел отличие в том, что напротив того svchost (который предположительно лезет в интернет) нет списка служб им запущенных, и в дереве процессов он расположен на уровень выше, чем остальные 4.

Теперь вот не знаю как определить что вирус и как онно запускается.
Подсажите куда дальше копать?

Зайди на сайт Касперского и проверь этот файл в режиме онлайн.
Сразу все станет ясно.
А еще лучше скачай пробную версию KAV 6.0 и проверь весь диск.

Касперского скачаю, просканирую.
А файл какой имелось в виду? Если svchost.exe, то он такой же как и на других машинах, врядли виноват сам файл.

Проблема то в том, как найти нужный файл...

У меня Outpost иногда спрашивает разрешение на доступ в сеть для svchost.
При чем только если захожу через одного провайдера (dial-up). При этом подключившись через xDSL (у этого провайдера опасные порты заблокированы) такого не происходит.
Скорее всего найдена новая дыра в XP SP2 через которую и идет управление через svchost. Обхожусь просто - игнорирую эти просьбы. Outpost, кстати, показывает IP по которым svchost хочет связаться.

Надо будет как нибудь скачать обновления на XP.

ясно. т.е. по существу никаких предложений как искать эту прогу нет?
Остается мне видимо заблокировать фаерволом и ждать пока появится нужное мне обновление антивируса или win2000?

А ты точно Касперского уже скачал и проверил весь комп?

Цитата:

как искать эту прогу нет?

этой проги может и не быть. Вероятно это очередная найденная дыра и то самое зловещее - "выполнение произвольного кода". Однако в конкретно этом случае - может что то и осталось.

Я бы посканировал несколькими утилитами:
Dr. Web Cureit!
AVZ
в безопасном режиме.
Посмотрел бы характерные места в автозагрузке.

Outpost для svchost создает правила, если будет что то лишнее он бы спросил. Может и в McAfee Desktop Firewal такое возможно?
IP внешний?
Есть утилиты, которые могут увидеть кто цепляется к svchost.

Да, svchost.exe очень самостоятельна в отношении выхода в и-нет. У меня похожая проблема. Дома два компа и со второго что-то пыталось соединиться с и-нетом, как оказалось - svchost.exe. Кстати, эта проблема часто обсуждается на форумах, что говорит о ее актуальности. Так вот, проверка антивирусом (Касперский 6.0) и Ad-Aware SE Personal ничего не показали - все чисто. Отключил ненужные службы, запускаемые от svhost.exe и ...все! Больше ничего не ломится. Правда и подключения к и-нету нет. Где-то перемудрил. Будем искать.

SaintVillaint

Цитата:

Утилитой нашел отличие в том, что напротив того svchost (который предположительно лезет в интернет) нет списка служб им запущенных, и в дереве процессов он расположен на уровень выше, чем остальные 4.

вообще-то это системная служба, через которую многие другие лазят в инет. То есть, ей самой быть вирем не обязательно =))

копать для начала можно в сторону сканирования прочими антивирями (дабы не ставить на машину кучу мусора, предлагаю портабл версии),
а также, если есть возможность, проверить комп в пассивном режиме (когда зараженная ОСь не загружена) - то есть, или с Хирена под досом (если фат), или с РЕ загрузившись, или подрубив слейвом к другой машине.
//просто вспомнил, что некоторые вири имеют механизм скрытия от служб выни, дабы их не нашли, а при таком случае - когда ОСь не загружена - они также, то есть, имеем больше шансов увидеть//

У меня была такая же история.
Каспер помог реально вместе с ad-aware.
Сидел трой Trojan-Downloader.Win32.Agent.ac и ещё парочку в Sistem Volume Information в .dat файах, как называются непомню сейчас.

Кому то помог вот такой способ:


Цитата:

Проблема, как наконец-то мне удалось установить, связана с недавно выявленной уязвимостью в системной службе 'Server' Windows XP. Поэтому необходимо проделать следующее: - нажмите комбинацию Microsoft+R (примечание: Microsoft - клавиша с изображением фирменного флажка Микрософта); - в командной строке наберите msconfig; - заходите в закладку 'Службы' и снимаете 'птички' со следующих служб: 'Сервер' и 'Рабочая станция' - перезагрузите компьютер; в появившем ся сообщении отметьте "птичкой" предложенную там опцию и нажмите ОК. Данное изменение в листинге служб никак не скажется на работоспособности Интернет-коннекта. Важно! Если Ваша машина с Windows XP SP1/SP2 работает в связке с др. машинами и несет роль сервера, то необходимо не отключать указанные службы, а скачать с сайта Микрософт и установить патч KB921883.

link


https://www.microsoft.com/downloads/details.aspx?familyid=2996B9B6-03FF-4636-861A-46B3EAC7A305&displaylang=ru

Спасибо. Каспер ставил, ад-аваре ничего не нашел (
Переустановил винду ((

Цитата:

Переустановил винду ((

Отключение: 'Сервер' и 'Рабочая станция' или заплатка - KB921883 не помогли?

не успел попробовать... уже снес
Да и финда у меня 2000

Цитата:

Проблема, как наконец-то мне удалось установить, связана с недавно выявленной уязвимостью в системной службе 'Server' Windows XP. Поэтому необходимо проделать следующее: - нажмите комбинацию Microsoft+R (примечание: Microsoft - клавиша с изображением фирменного флажка Микрософта); - в командной строке наберите msconfig; - заходите в закладку 'Службы' и снимаете 'птички' со следующих служб: 'Сервер' и 'Рабочая станция' - перезагрузите компьютер; в появившем ся сообщении отметьте "птичкой" предложенную там опцию и нажмите ОК. Данное изменение в листинге служб никак не скажется на работоспособности Интернет-коннекта. Важно! Если Ваша машина с Windows XP SP1/SP2 работает в связке с др. машинами и несет роль сервера, то необходимо не отключать указанные службы, а скачать с сайта Микрософт и установить патч KB921883.

Все равно у меня svchost лезет в нет. Outpost выдает адрес куда - au.download.windowsupdate.com это я понял обновление системы, хотя автообновление выключено
И еще
"SVCHOST.EXE     UDP    localhost:loopback    1076    localhost:loopback    1076    Allow local UDP connection    ИСХ     29 байт    29 байт    13 байт/с    ---    1:43:03    04 сек."
это я не понял. Пытался блокировать все равно лезет через другие порты, Антивирусом все проверил ничего не нашел?????????
При полной блокировке svchost инет вобще мертвым становиться.
Уже достало, трафик жрет немерено. Люди плизззз подскажите че с ним делать

Цитата:

Outpost выдает адрес куда - au.download.windowsupdate.com это я понял обновление системы, хотя автообновление выключено

честно говоря, не уверен, что это автоапдейт, а не нечто левое. Глянь, [more=чего об нем пишут]
Цитата:

2 февраля 2007 г., 1:19:43

Looking up 87.248.217.118...
Using whois server whois.ripe.net.
%
% Note: the default output of the RIPE Whois server
% is changed. Your tools may need to be adjusted. See
% http://www.ripe.net/db/news/abuse-proposal-20050331.html
% for more details.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html


% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.


% Information related to '87.248.192.0 - 87.248.223.255'

inetnum: 87.248.192.0 - 87.248.223.255
netname: EU-LLNW-20050822
descr: Limelight Networks Inc.
country: GB
country: NL
org: ORG-LNI1-RIPE
admin-c: BP889-RIPE
tech-c: BP889-RIPE
status: ALLOCATED PA
remarks: ****************** ABUSE COMPLAINTS TO: abuse@limelightnetworks.com
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: LLNW-MNT
mnt-domains: LLNW-MNT
mnt-routes: LLNW-MNT
source: RIPE # Filtered

organisation: ORG-LNI1-RIPE
org-name: Limelight Networks, INC.
org-type: LIR
address: 2220 W 14th ST
address: 85281
address: TEMPE AZ
address: United States
phone: +1 602 850 5095
fax-no: +1 602 000 0000
e-mail: ripe-admin@llnw.com
admin-c: DM1582-RIPE
admin-c: BP889-RIPE
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
source: RIPE # Filtered

person: Bill Petrisko
address: 2220 W 14th St
address: Tempe, AZ 85281
phone: +1 602 850 5011
fax-no: +1 602 850 5211
e-mail: bill@limelightnetworks.com
nic-hdl: BP889-RIPE
source: RIPE # Filtered

[/more]. Для сравнения,

[more=микрософт.ком]
Цитата:

2 февраля 2007 г., 1:25:30

Looking up 207.46.225.221...
Using whois server whois.arin.net.

OrgName: Microsoft Corp
OrgID: MSFT
Address: One Microsoft Way
City: Redmond
StateProv: WA
PostalCode: 98052
Country: US

NetRange: 207.46.0.0 - 207.46.255.255
CIDR: 207.46.0.0/16
NetName: MICROSOFT-GLOBAL-NET
NetHandle: NET-207-46-0-0-1
Parent: NET-207-0-0-0-0
NetType: Direct Assignment
NameServer: NS1.MSFT.NET
NameServer: NS5.MSFT.NET
NameServer: NS2.MSFT.NET
NameServer: NS3.MSFT.NET
NameServer: NS4.MSFT.NET
Comment:
RegDate: 1997-03-31
Updated: 2004-12-09


RTechHandle: ZM39-ARIN
RTechName: Microsoft
RTechPhone: +1-425-882-8080
RTechEmail: noc@microsoft.com

OrgAbuseHandle: ABUSE231-ARIN
OrgAbuseName: Abuse
OrgAbusePhone: +1-425-882-8080
OrgAbuseEmail: abuse@microsoft.com

OrgAbuseHandle: HOTMA-ARIN
OrgAbuseName: Hotmail Abuse
OrgAbusePhone: +1-425-882-8080
OrgAbuseEmail: abuse@hotmail.com

OrgAbuseHandle: MSNAB-ARIN
OrgAbuseName: MSN ABUSE
OrgAbusePhone: +1-425-882-8080
OrgAbuseEmail: abuse@msn.com

OrgNOCHandle: ZM23-ARIN
OrgNOCName: Microsoft Corporation
OrgNOCPhone: +1-425-882-8080
OrgNOCEmail: noc@microsoft.com

OrgTechHandle: MSFTP-ARIN
OrgTechName: MSFT-POC
OrgTechPhone: +1-425-882-8080
OrgTechEmail: iprrms@microsoft.com

[/more]

Звиняйте за ламерский вопрос, а если я выпишу запрет svchost.exe вообще на все попытки соединения с инетом, это не повредит? А то можно же в файерволе такое выбрать
И еще, у меня туда же (то есть в инет0 все время лезет какой-то Application Layer Gateway Service. Оно должно туда лазить, или тоже троянский конь какой?

bredonosec

Цитата:

Глянь, чего об нем пишут .

[more=куда ты смотришь?] Registrant:

Microsoft Corporation
Domain Administrator
One Microsoft Way .
Redmond, WA 98052
US
Email: domains@microsoft.com

Registrar Name....: REGISTER.COM, INC.
Registrar Whois...: whois.register.com
Registrar Homepage: www.register.com

Domain Name: windowsupdate.com

Created on..............: Tue, Jul 22, 1997
Expires on..............: Mon, Jul 21, 2008
Record last updated on..: Wed, Jul 19, 2006

Administrative Contact:
Microsoft Corporation
Domain Administrator
One Microsoft Way .
Redmond, WA 98052
US
Phone: 001-425-8828080
Email: domains@microsoft.com

Technical Contact:
Microsoft Corporation
MSN Hostmaster
One Microsoft Way .
Redmond, WA 98052
US
Phone: 001-425-8828080
Email: msnhst@microsoft.com

DNS Servers:

ns3.msft.net
ns4.msft.net
ns1.msft.net
ns2.msft.net
ns5.msft.net[/more]
не нужно хуизить по ip адресу - ессно выдаст информацию о том, кто предоставляет хостинг, а не о доменном имени.

polonium210

Цитата:

а если я выпишу запрет svchost.exe вообще на все попытки соединения с инетом, это не повредит?

ты читаешь сообщения?

Цитата:

Отключил ненужные службы, запускаемые от svhost.exe и ...все! Больше ничего не ломится. Правда и подключения к и-нету нет

Цитата:

куда ты смотришь?
не нужно хуизить по ip адресу - ессно выдаст информацию о том, кто предоставляет хостинг, а не о доменном имени.

whois.arin.net (-/-ripe.net), встроенная в стенку фича.
//почему-то казалось, что уж микрософту-то хостинг кто-то навряд ли будет давать, скорее сами себя обслуживать будут...

а по доменному имени какой ресурс дает?

bredonosec

Цитата:

whois.arin.net (-/-ripe.net), встроенная в стенку фича.

которая смотрит по ip.


Цитата:

а по доменному имени какой ресурс дает?

в зависимости от географ. положения.
для данного имени whois.register.com

Вобщем поймал я ентот svchost. В outpost блокировал содержимое сайта
Это конечно хорошо, но проблему надо все равно решать.
Вопрос к продвинутым Юзерам.

alexruvol

Цитата:

Это конечно хорошо, но проблему надо все равно решать.

какую проблему?? выключи сервис автообновления и все.

Цитата:

для данного имени whois.register.com

благодарю. А для остальных? Принцип общий есть? Или с данного средиректит само?

bredonosec

Цитата:

Или с данного средиректит само?

нет

Цитата:

Принцип общий есть?

я же сказал - географическое положение..
http://www.iana.org/ipaddress/ip-addresses.htm

хм, что-то странное, отказывается соединять. С 216.21.229.106 соединяет, а далее фиг.

bredonosec

Цитата:

С 216.21.229.106 соединяет, а далее фиг.

ты браузером лезешь?

Cheery

Естественно выключил, даже сервис автообновления в svchost останавливал Process explorerом.

Цитата:

ты браузером лезешь?

разумеется. больше нечем.

alexruvol

Цитата:

Естественно выключил, даже сервис автообновления в svchost останавливал Process explorerом.

значит не винда лезет, а какое нить иное мелкомягкое приложение.. тот же плейер может.


bredonosec

Цитата:

разумеется. больше нечем.

мдя.. whois это отдельный сервис, который имеет и свой протокол.
http://www.faqs.org/rfcs/rfc1834.html

Цитата:

мдя.. whois это отдельный сервис, который имеет и свой протокол.

пролистал. Какой клиент должен быть? (под 98, если есть различие 9х/НТ)