Я очень долго думал, что вирусы это скорее раздутый миф. Пока я не купил себе ноутбук и не начал вставлять в него всякие “неопознанные” флешки. Теперь свое мнение поменял – если у вам давно не попадаются вирусы, значит у вас устарел антивирус.
Хорошо когда вам попадется вирус с фатальными последствиями, тогда вы хотя бы чему-нибудь научитесь. Как у меня было, только я вставляю в свой новенький Asus EEE Pc 901 чужую флешку, происходит автозагрузка, как с изумлением вижу, следующие события:
1. Появляется сообщение винды, что файервол (сетевой экран) отключен.
2. Антивирус отключается тоже сам собой.
3. Пытаюсь войти в диспечер задач, получаю сообщение – запрещено администратором (аж обидно, а я кто?)
Все компьютер заражен и в дальнейшем я ничего не нашел, кроме как отформатировать диски и поставить винду заново.
Ну и ничего, зато я поимел опыт о коварстве вирусов, отключил автозагрузку флешек, стал следить за обновлениями антивирусов и пока все нормально.
А в основном заражение вирусами до поры до времени не несет фатальных последствий и пользователь его просто не замечает. Просто постепенно компьютер теряет производительность, а также, могут пропасть ценные данные и пароли, и конечно же самое главное то, что компьютер становится переносчиком инфекции. Вы сами того не желая можете подставить своих товарищей и знакомых.
Поэтому думаю неплохо, если вы будете знать признаки работы вирусов. Вот признаки вирусов, с которыми приходилось встречаться мне:
1. При просмотре процессов через диспетчер задач, процесс SVCHOST.EXE должно быть указано, что он запущен от SYSTEM, LOCAL SERVICE или NETWORK SERVICE. Если SVCHOST.EXE запущен от имени пользователя, это 100% работа вируса.
2. При просмотре процессов через диспетчер задач, появился процесс runbll32.exe, маскировался под rundll32.exe, при быстром просмотре можно и не обратить внимание. Аналогично вирусы могут маскироваться и под другие популярные имена файлов, например svhost.exe или swchost.exe и т.д.
3. SVCHOST.EXE должен находиться в папке system32, если в другом месте то это вирус.
4. Не возможность включить диспетчер задач.
5. Самостоятельное отключение сетевого экрана.
6. Самостоятельное отключение антивируса.
7. Невозможность сканирования компьютера антивирусом.
8. 8. Невозможность обновления или установки антивируса.
9. На флешке появляется скрытая папка RECYCLER, то есть корзина. На флешке ее не должно быть. У меня в этой корзине содержался исполняемый файл SVCHOST.EXE. Не сразу и понял, что это вирус маскируется.
10. На флешке в папках появляются файлы с такими же именами как и у содержащих их папок но с расширением exe. Например, у меня в папке avast появился файл avast.exe, и так же в других папках. Кончилось тем, что я все таки случайно запустил такой неопознанный файл. Последствия были печальны.
11. На флешке в корневой директории появились странные файлы, при просмотре через total commander они выглядели как папки, то есть имели значок в виде папки, но они так же имели расширение исполняемого файла. Внимательно смотрите, что открываете именно папку. В тот раз обновленный avast мне не помог.
Конечно, такой список должен быть гораздо длиннее, но это пока все, что я смог вспомнить, напишите с какими признаками работы вирусов встречались вы.
Нужно поподробнее остановиться на SVCHOST.EXE. Когда у людей начинаются странности с компьютером, при просмотре через диспетчер задач обращают внимание на ту странность что программ SVCHOST.EXE запущенно несколько экземпляров. Многие ошибочно принимают это за работу вирусов, начинают пытаться отключать этот процесс.
Если посмотреть повнимательнее, то становиться видно, что SVCHOST.EXE запущен с разными идентификаторами процесса и с разными выделенными объемами памяти. Так что фактически мы видим работу совершенно различных процессов, а именно работу различных сервисов виндоус, запущенных посредством служебной программы SVCHOST.EXE. Его оригинальное имя Generic Host Process for Win32 Services. Так что наличие нескольких экземпляров SVCHOST.EXE совершенно нормально. Могу добавить, что у меня сейчас через диспетчер задач видно пять экземпляров SVCHOST.EXE.
На сайте Майкрософт пишут, что запуск разных сервисов с помощью SVCHOST.EXE, это очень элегантное решение, уменьшающее загрузку оперативное памяти, упрощающее отладку и слежение за процессами и т.п. Но что Биллу Гейтсу хорошо, то для нас может быть не очень. Когда начинаются косяки с SVCHOST.EXE, разобраться действительно не легко, могу посоветовать зайти в Панель управления – Производительность и обслуживание – Администрирование – Службы, посмотреть запущенные сервисы, поэкспериментировать с их отключением. Отключать сам процесс SVCHOST.EXE через диспетчер задач обычно бесполезно и ведет к нарушению работы операционки.
Так же для подробного изучения SVCHOST.EXE могу посоветовать программу Svchost Process Analyser или аналагичную программу которая расширяет возможности диспетчера задач. Сам я пользуюсь программой What’s Running версии 2.2. Такая софтина поможет узнать в подробностях всю информацию о том, что делает каждый из процессов.
С этим SVCHOST.EXE часто возникают всякие курьезы. Особенно мне понравилась ситуация, которая как-то возникла у моего знакомого. Он никак не мог поставить себе винду. А именно после установки чистой системы, установки всех драйверов и установки антивируса появлялось сообщение о том, что заражен файл SVCHOST.EXE, лечение не возможно, удалить его? Мой знакомый конечно же отвечал утвердительно. После этого компьютер уже не перезагружался. После этого он опять форматировал диски, ставил винду и опять все повторялось у него несколько раз. Оказалось что у него был заражен диск с драйверами сканера. Причем диск был не какой-то левый, а шел в магазине с самим сканером и вроде бы заслуживал доверия. Проблема решилась скачиванием новых дров из Интернета.
Так что не спешите и будьте внимательны. Защита от вирусов только на 40% зависит от антивируса и другого программного обеспечения, остальные 40% зависят от нашей внимательности, знаний, разборчивости. Ну остальные 20% это наше с вами везение, ну или невезение
До встречи.
не много про вирусы
Сообщений 1 страница 4 из 4
Поделиться1Пн, 5 Июл 2010 14:37:16
- Наблюдатель
- Зарегистрирован: Ср, 30 Июн 2010
- Приглашений: 0
- Сообщений: 75
- Уважение: [+23/-0]
- Позитив: [+0/-0]
- Пол: Мужской
- Возраст: 37 [1988-09-07]
- Провел на форуме:
1 день 11 часов - Последний визит:
Ср, 13 Июн 2012 03:41:17
Поделиться2Пн, 5 Июл 2010 15:09:06
- Специалист
- Зарегистрирован: Пн, 31 Май 2010
- Приглашений: 0
- Сообщений: 1111
- Уважение: [+260/-0]
- Позитив: [+346/-2]
- Пол: Мужской
- Провел на форуме:
18 дней 21 час - Последний визит:
Чт, 11 Авг 2011 02:26:42
SVCHOST.EXE- это главный системный процесс для тех служб, которые запускаются из динамически загружаемых библиотек (DLL-файлов).
И действительно несколько экземпляров процесса svchost.exe могут быть запущены одновременно (но с разными PID*). Так как каждый из таких экземпляров представляет собой определенную преимущественно системную службу или же группу служб. Эти группы определены в следующем разделе реестра:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurren tVersionSvcHost
Каждый параметр этого раздела представляет собой отдельную Svchost-группу и отображается при просмотре активных процессов, как отдельный экземпляр svchost.exe.
Также, чтобы просмотреть список служб, выполняющихся в каком-либо процессе svchost.exe, можно сделать следующее:
Start > Run (Пуск > Выполнить)
Вписываем: CMD
Нажимаем ОК или клавишу ENTER.
В появившемся приложении вводим команду: tasklist /SVC
И нажимаем на клавишу ENTER.
Список служб Windows XP, запускаемых с помощью svchost.exe:
(т.е. эти службы не являются вирусами!)
Английское названиеРусское название
Alerter Оповещатель
Application Management Управление приложениями
Automatic Updates Автоматическое обновление
Background Intelligent Transfer Service Фоновая интеллектуальная служба передачи
Bluetooth Support Service
COM+ Event System Система событий COM+
Computer Browser Обозреватель компьютеров
Cryptographic Services Службы криптографии
DCOM Server Process Launcher
DHCP Client DHCP-клиент
Distributed Link Tracking Client Клиент отслеживания изменившихся связей
DNS Client DNS-клиент
Error Reporting Service Служба регистрации ошибок
Fast User Switching Compatibility Совместимость быстрого переключения пользователей
Help and Support Справка и поддержка
HTTP SSL
Human Interface Device Access Доступ к HID-устройствам
Logical Disk Manager Диспетчер логических дисков
Messenger Служба сообщений
Network Connections Сетевые подключения
Network Location Awareness (NLA) Служба сетевого расположения (NLA)
Network Provisioning Service
Portable Media Serial Number Service Серийный номер переносного медиа-устройства
Remote Access Auto Connection Manager Диспетчер авто-подключений удаленного доступа
Remote Access Connection Manager Диспетчер подключений удаленного доступа
Remote Procedure Call (RPC) Удаленный вызов процедур (RPC)
Remote Registry Удаленный реестр
Removable Storage Съемные ЗУ
Routing and Remote Access Маршрутизация и удаленный доступ
Secondary Logon Вторичный вход в систему
Security Center Центр обеспечения безопасности
Server Сервер
Shell Hardware Detection Определение оборудования оболочки
SSDP Discovery Service Служба обнаружения SSDP
System Event Notification Уведомление о системных событиях
System Restore Service Служба восстановления системы
Task Scheduler Планировщик заданий
TCP/IP NetBIOS Helper Модуль поддержки NetBIOS через TCP/IP
Telephony Телефония
Terminal Services Службы терминалов
Themes Темы
Universal Plug and Play Device Host Узел универсальных PnP-устройств
Upload Manager Диспетчер отгрузки
WebClient Веб-клиент
Windows Audio Windows Audio
Windows Firewall/Internet Connection Sharing (ICS) Брандмауэр Интернета (ICF)/Общий доступ к Интернету (ICS)
Windows Image Acquisition (WIA) Служба загрузки изображений (WIA)
Windows Management Instrumentation Инструментарий управления Windows
Windows Management Instrumentation Driver Extensions Расширения драйверов WMI
Windows Time Служба времени Windows
Wireless Zero Configuration Беспроводная настройка
Workstation Рабочая станция
Список "левых" служб, ссылающихся на svchost.exe:
(т.е. эти службы были созданы вирусами!)
Название службыКомандная строка
AppMgmt svchost.exe -k AppMgmt
Browser svchost.exe -k Browser
COM Message Transfer (mscommt) svchost.exe -k mscommt
Disk Monitor Services (DiskMon32) svchost.exe -k dmon
dmserver svchost.exe -k
DNS Server (DNS Server) svchost.exe
FastUserSwitchingCompatibil (Fast User Switching Compatibil) svchost.exe
Generic Host Process For Win32 Services (Generic Host Process) svchost.exe
generic host process (svchost) svchost.exe
Hardware Detection (Serv-U) svchost.exe
Host Services (Host Services) svhosts.exe
IPRIP (IPRIP) svchost.exe -k netsvcs
kdc svchost.exe -k kdc
LmHosts svchost.exe -k LmHosts
Messenger svchost.exe -k Messenger
MS Internet Countermeasures Framework (ICF) System32:svchost.exe
NetLogon svchost.exe -k
Network Connections Sharing (RpcTftpd) svchost.exe
Network DDE DSMA (NetDDEdsma) svchost.exe
ntmssvc svchost.exe -k ntmssvc
NVIDIA Driver ServiceЎЎ (NVSv) svchost.exe
RasAt (Remote Connection) svchost.exe
Policy Agent svchost.exe -k Policy Agent
Power Manager (PowerManager) svchost.exe
ProtectedStorage svchost.exe -k ProtectedStorage
Server Management Service svchost.exe
SVC Module (SVC Module) svchost.exe
svchost SVCHOST.EXE
svchost.exe (moto) svchost.exe
svchost.exe (moto) любое название из 18-ти знаков
svchost.exe (svchost.exe) svchost.exe
System Event Messaging svchost.exe
taskmng (svchost) svchost.exe
TrkSvr svchost.exe -k TrkSvr
TrkWks svchost.exe -k TrkWks
W32Time svchost.exe -k W32Time
Windows Configuration Backup Service (CfgBackupSvc) svchost.exe
Windows Configuration Loader (Windows Configuration Loader) SVCHOST.EXE
Windows Configuration Manager (ConfigMgr) svchost.exe
Windows Kernel (Windows Kernel) svchost.exe
Windows Management (Windows Management) svchost.exe
Windows Network Mapping Service (NetMap) svchost.exe
Windows Security Drivers (csrs) svchost.exe
Windows Smrss Service svchost.exe
.NET Framework Service svchost.exe
.NET Framework Service (.NET Connection Service) svchost.exe
__________________
Обязательно нужно иметь в виду, что системный файл svchost.exe должен находиться в папке:
C:WINDOWSsystem32 (касается только Windows XP/NT/2000)
Если он находится в папке WINDOWS и/или файлов с таким названием в вашей системе несколько, то, скорее всего, у вас живет вирус.
Я сказала именно "скорее всего", так как несколько копий файла svchost.exe - это всё-таки еще не гарантия заражения.
Например, вас ни в коем случае не должны пугать копии файла svchost.exe в таких папках, как:
C:WINDOWSServicePackFilesi386
C:WINDOWSPrefetch
а также некоторых других.
Или, к примеру, файл с названием svchost.exe создается при установке антивируса BullGuard:
C:Program FilesBullGuard Softwaresvchost.exe
который также к вирусам никакого отношения не имеет.
Поэтому еще раз замечу, что впервую очередь, обращать внимание нужно именно на папку WINDOWS, т.к. она наиболее часто используется в целях маскировки под настоящий файл svchost.exe.
Наиболее распространенные местоположения вирусов, маскирующихся под svchost.exe:
(т.е. эти файлы на 99% были созданы вирусами)
C:WINDOWSsvchost.exe
C:WINDOWSsystemsvchost.exe (касается только Windows XP/NT/2000)
C:WINDOWSconfigsvchost.exe
C:WINDOWSinet20000svchost.exe
C:WINDOWSinetsponsorsvchost.exe
Помимо этого очень многие вирусы пытаются себя замаскировать, используя имена и названия, которые очень похожи на название "svchost" (в этом случае местоположение файлов уже может быть абсолютно любое, в том числе достаточно часто используется и папка WINDOWSsystem32).
Наиболее распространенные названия файлов, маскирующихся под svchost.exe:
(т.е. эти файлы на 99% были созданы вирусами)
svсhost.exe (вместо английской "c" используется русская "с")
svcchost.exe (2 "c")
svhost.exe (пропущено "c")
svch0st.exe (вместо "o" используется ноль)
svchos1.exe (вместо "t" используется единица)
svchosl.exe (вместо "t" используется "l")
svchosts.exe (в конец добавлено "s")
svchoste.exe (в конец добавлено "e")
svchostt.exe (2 "t" на конце)
svchost32.exe (в конец добавлено "32")
svchosts32.exe (в конец добавлено "s32")
svchosthlp.exe (в конец добавлено "hlp")
svdhost32.exe (вместо "c" используется "d" + в конец добавлено "32")
svshost.exe (вместо "c" используется "s")
svehost.exe (вместо "c" используется "e")
svrhost.exe (вместо "c" используется "r")
svchest.exe (вместо "o" используется "e")
svschost.exe (после "v" добавлено лишнее "s")
svcshost.exe (после "c" добавлено лишнее "s")
svxhost.exe (вместо "c" используется "x")
syshost.exe (вместо "vc" используется "ys")
svchoes.exe (вместо "st" используется "es")
svhostes.exe (пропущено "c" + в конец добавлено "es")
svho0st98.exe
ssvvcchhoosst.exe
Также обязательно должно насторожить, если svchost.exe (или что-либо похожее) каким-либо образом пытается записать себя в обычную автозагрузку (т.е. помимо запуска в качестве системной службы, использует Windows StartUp или ini-файлы). Реальные примеры подобных вирусов из логов HijackThis:
F2 - REG:system.ini: UserInit=C:WINDOWSSystem32userinit.exe,C:WINDOWSco nfigsvchost.exe
F2 - REG:system.ini: Shell=Explorer.exe C:WINDOWSconfigsvchost.exe
F2 - REG:system.ini: Shell=Explorer.exe scvhost.exe
F3 - REG:win.ini: run=C:WINDOWSscvhost.exe
O4 - HKLM..Run: [Win32 Update] svchosts.exe
O4 - HKLM..RunOnce: [Win32 Update] svchosts.exe
O4 - HKLM..RunServices: [Win32 Update] svchosts.exe
O4 - HKCU..Run: [Win32 Update] svchosts.exe
O4 - HKCU..RunOnce: [Win32 Update] svchosts.exe
O4 - HKLM..Run: [GNP Generic Host Process] C:WINDOWSsystemsvchost.exe
O4 - HKLM..Run: [WinService32] C:Program FilesSystem32svchost.exe
O4 - HKLM..Run: [svc] C:WINDOWSsvchost.exe
O4 - HKLM..Run: [Microsoft ® Windows Configuration Backup Service] C:WINDOWSconfigsvchost.exe
O4 - HKLM..Run: [Microsoft ® Windows Configuration Manager] C:WINDOWSsystemsvchost.exe
O4 - Startup: svchost.exe
O4 - Global Startup: svchost.exe
Отредактировано Garis (Пн, 5 Июл 2010 15:12:03)
Поделиться3Ср, 6 Окт 2010 00:45:17
- Продвинутый
- Зарегистрирован: Ср, 6 Окт 2010
- Приглашений: 0
- Сообщений: 14
- Уважение: [+3/-0]
- Позитив: [+0/-0]
- Провел на форуме:
3 часа 37 минут - Последний визит:
Пт, 15 Окт 2010 10:14:39
Данный материал не является официальной точкой зрения "Лаборатории Касперского". Это мой личный взляд, основанный на многолетнем наблюдении за всем, что происходит в развитии различных атак (пусть это будут вирусы, троянские программы или хакеры). Атакуются именно настройки ОС Microsoft Windows по умолчанию, всегда!
Для тех, которые желает однозначное решение проблемы: вы должны отключить ненужные и/или потенциально опасные службы.
Данные рекомендации применимы прежде всего к Windows XP.
Самый лучший способ: отказаться от всех возможностей по обмену файлами (и в Интернет, и в локальной сети).
Сначала отключим Интернет. Потом делаем вот так:
Удалить в свойствах подключения (или подключений, если их несколько) всё, чтобы остался только Протокол TCP/IP.
Потом в свойствах этого Протокола в раздел WINS отключить NetBIOS и снять галочку, где стоит Включить просмотр LMHosts.
Потом в Панель управления => Администрирование => Службы. Где ничего не указано - отключить (готовьтесь, это не мало):
* .NET Runtime Optimization Service (если такое имеется)
* ASP.NET State Service (если такое имеется)
* DHCP-клиент (только если у вас нет модема или СТРИМа)
* DNS-клиент (все программы могут делать этот самый запрос)
* iPodService (если имеется, ставить вручную и остановить)
* Machine Debug Manager
* NetMeeting Remote Desktop Sharing
* NVIDIA Display Driver Service (тоже не нужна. Всё будет нормально работать. Она периодически в Интернете что-то ищет)
* Office Source Engine (если имеется, ставить "вручную" и остановить)
* QoS RSVP
* Windows Media Player Network Sharing Service (если такое имеется)
* Автоматическое обновление (вручную, один раз в месяц на Авто для обновления)
* Брандмауэр Windows/Общий доступ к Интернету (ICS)
* Веб-клиент
* Вторичный вход в систему (если вы единственный пользователь на компьютере)
* Диспетчер сетевого DDE
* Доступ к HID-устройствам
* Координатор распределенных транзакций
* Маршрутизация и удаленный доступ
* Модуль поддержки NetBIOS через TCP/IP
* Планировщик заданий (если ни одна из ваших программ защиты его не использует! По-моему, у продуктов ЛК есть свой)
* Сервер папки обмена
* Служба COM записи компакт-дисков IMAPI (только если вы не пользуетесь встроенными возможностями Windows для записи)
* Служба Windows Media Connect (если такое имеется, то тогда на «вручную»)
* Служба восстановления системы (лучше пользоваться другими средствами для восстановления)
* Служба времени Windows (вручную)
* Служба загрузки изображений (WIA)
* Служба индексирования (сначала нужно на всех дисках снять галочку, где стоит «Разрешить индексирования для быстрого поиска». Будет на С ошибка - отвечать для всех Да. От этих действий поиск никак не замедляется!)
* Служба обнаружения SSDP
* Служба регистрации ошибок
* Служба сетевого DDE
* Служба шлюза уровня приложения (Application Layer Service) (отключить только на SP2!)
* Служба IPSEC
* Служба терминалов
* Совместимость быстрого переключения пользователей (если вы единственный пользователь на компьютере)
* Справка и поддержка (вручную)
* Темы (это уже дело вкуса. С Интернетом не связано)
* Узел универсальных PnP-устройств
* Фоновая интеллектуальная служба передачи (BITS) (вручную. Если работает - остановить)
* Центр обеспечения безопасности
* И Last but not Least: Remote Registry - Удалённый реестр (если вы на Pro). Просто стыд-позор, что корпорация Microsoft поставила эту службу на Авто! Любой человек может управлять вашим компьютером на расстоянии!..
Теперь перезагрузка компьютера.
Любые плееры, ICQ, и т.д. НЕ стартовать вместе с Windows! Есть хороший Startup Manager (Startup Control Panel). Выберите Standalone EXE version (34КБ). http://www.mlin.net/StartupCPL.shtml
Установка не требуется. Там можно снять галочки и при следующем запуске Windows программы уже не будет.
Любые автоматические обновления отключить (это дружеский совет).
Любые Mail-Protection и всё подобное отключить и принимать ТОЛЬКО простой текстовый формат в почтовом клиенте. HTML-сообщения и Java-скрипты в электронной почте противопоказаны! Отключить предварительный просмотр сообщений.
В браузерах ЗАПРЕТИТЬ выполнение скрипов. Разумно управлять cookies (куками).
С уважением и с искреннем желанием на улучшение ситуации,
Paul Wynant
Moscow, Russia
P.S. Для тех, кто не знает, как отключить службы:
Пуск => Панель управления (классический вид) => Администрирование => Службы.
Откройте.
Ищите название службы.
Щелкайте дважды.
Поставьте параметр Тип запуска на: "Отключить" или на "Вручную" (как указано выше).
Остановите службу (ссылка слева стоит).
Перезагрузите компьютер.
Поделиться4Ср, 10 Ноя 2010 01:03:12
- Специалист
- Зарегистрирован: Пн, 31 Май 2010
- Приглашений: 0
- Сообщений: 1111
- Уважение: [+260/-0]
- Позитив: [+346/-2]
- Пол: Мужской
- Провел на форуме:
18 дней 21 час - Последний визит:
Чт, 11 Авг 2011 02:26:42
* И Last but not Least: Remote Registry - Удалённый реестр (если вы на Pro). Просто стыд-позор, что корпорация Microsoft поставила эту службу на Авто! Любой человек может управлять вашим компьютером на расстоянии!..
Наивный.Спецом и оставили.А вдруг им самим понадобится? 
