Показано с 1 по 12 из 12.

system заменил svchost

  1. #1
    Junior Member Репутация
    Регистрация
    10.05.2008
    Сообщений
    10
    Вес репутации
    59

    system заменил svchost

    Проверял сетевые соединения при помощи програмки cports.
    До настроек выходил в интернет и там появлялся процесс svchost (процесса system не было). Что-то настроил и появился процесс system (svchostа - нет).

    Хорошо это или плохо?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    959
    http://virusinfo.info/showthread.php?t=1235 - это для начала, а потом, если захотите продолжим общение
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  4. #3
    Junior Member Репутация
    Регистрация
    10.05.2008
    Сообщений
    10
    Вес репутации
    59

    Это слишком профессионально

    Посто интересует - должны присутствовать указанные процессы или нет . Оба или достаточно одного?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    959
    - на самом деле, из того что мы видим в Диспетчере задач, svchost, это хост-процесс обеспечивающий запуск и функционирование уймы системных служб, как собственно самой Windows, так и стороннего софта, и зачастую не знаешь наверняка какой именно сервис стоит за каждым таким процессом... ну, а System, так и вовсе понятие абстрактное, и подразумевает некую совокупность процессов...
    - посему, рекомендации остаются прежними, вдумчиво прочитать и в точности исполнить всё написанное на http://virusinfo.info/showthread.php?t=1235
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  6. #5
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.06.2008
    Сообщений
    482
    Вес репутации
    134
    "svchost.exe" - процесс служб Windows. Возможно, некоторые службы Вы отключили и теперь количество этих процессов уменьшилось. Их может быть несколько. Не должно быть "svchost.exe", у которых "имя пользователя" в диспетчере задач указано как Ваше имя - только "SYSTEM", "LOCAL SERVICE" или "NETWORK SERVICE" являются допустимыми значениями - "svchost.exe" с именем Вашего пользователя может быть вирусом.
    "System" должен быть по-любому. Это как бы виртуальный процесс, обозначающий системные задачи.

  7. #6
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.09.2007
    Сообщений
    584
    Вес репутации
    657
    есть подозрение что все малость не поняли топикстартера .
    Проверял сетевые соединения при помощи програмки cports.
    До настроек выходил в интернет и там появлялся процесс
    тоесть сетевая активность в сторонней утилите и taskmgr сдесь непричем.


    versed, коротко... ответ да
    как система так и svchost имеют сетевую активность.
    а вот какую?, добрую или еще и злую, нужно смотреть
    ЗЫ в коммандной строке набрать (пуск выполнить.....)
    netstat -an -b >c:\log_raz.txt
    на диске с: появится файл с перечислением открытых портов и именами процессов (а так-же их PID)

    ЗЫ в коммандной строке набрать (пуск выполнить.....)
    tasklist /SVC >c:\log_dva.txt
    на диске с: появится файл с перечислением просессов, а так же названием служб (прячущихся за конкретным svchost) .
    и самое вкусное, для гуру
    утилита от
    Copyright (C) 1997-2004 Mark Russinovich
    Sysinternals - www.sysinternals.com
    ListDLLs //в отличии от вышеизложенного не входит в состав ХР про.

    ЗЫ в коммандной строке набрать (пуск выполнить.....)
    LISTDLLS.exe >c:\log_try.txt
    на диске с: появится файл с перечислением просессов, а так же всеми модулями подгруженными к ним .
    хотя многое из этого можно и с помощью авз сделать.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    959
    Цитата Сообщение от Virtual Посмотреть сообщение
    ...хотя многое из этого можно и с помощью авз сделать.
    - ясное дело, можно... но в чёрном то окне консоли, куда, как круче смотрится
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  9. #8
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.09.2007
    Сообщений
    584
    Вес репутации
    657
    Alex Plutoff,
    вопрос не в крутости а в информативности, так что со своей линейкой давай...... как нибудь потом.

    вот авз
    Порт Статус Remote Host Remote Port
    135 LISTENING 0.0.0.0 59474 [1016] c:\windows\system32\svchost.exe
    а вот netstat
    Имя Локальный адрес Внешний адрес Состояние PID
    TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 1016
    c:\windows\system32\WS2_32.dll
    C:\WINDOWS\system32\RPCRT4.dll
    c:\windows\system32\rpcss.dll
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\ADVAPI32.dll
    [svchost.exe]
    . так что кому как удобней, мышкотыкать или в консоли набрать несколько комманд, да потом читать текстовые файлы.
    ЗЫЗЫ а вот попробуй то-же самое с авз проделать в консоли удаленного сервера .

  10. #9
    Junior Member Репутация
    Регистрация
    10.05.2008
    Сообщений
    10
    Вес репутации
    59

    Вопрос был именно в этом.

    1. Нет ли какой-либо пользы в том, чтобы вот эти dll и sys файлы записать в стандартный виндоус фаервол с пометкой disable? Есть от этого какая-либо польза?
    2. Вообще есть ли какие-либо общераспространенные программы, которые следовало бы туда записать? (Ваш АВЗ то не надо ли случайно?)
    3. Вообще вопрос был задан не столько с целью защиты от троянов (в коих я не верю), сколько от несанкционированного удаленного доступа. Вот на этом бы упор сделать.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    959
    - о, значит, как дело то оборачивается... ну, тут я Вам не помощник, раз даже выполнение несложных правил для Вас - "слишком профессионально"Virtual пытался предложить Вам ещё более информативные методы)... да и с вопросами веры, Вы, явно не на тот ресурс обратились
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  12. #11
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.09.2007
    Сообщений
    584
    Вес репутации
    657
    versed,
    1. нет! только вред, ибо напр как раз порт 135 это DCOM! и его точно нужно прикрыть файрволом.
    2. в исключения, по возможности, не нужно вообще ничего писать. ибо правильно открывать доступ не программе как таковой, а программе по опр протоколам и направлениям.
    3.
    не столько с целью защиты от троянов (в коих я не верю)
    нюню .
    следует понимать терминологию...
    несанкционированного удаленного доступа
    это следствие, а причина может быть как в троянской программе, вирусе, или прямой атаке "влоб" на уязвимую службу.
    так вот использование уязвимостей сетевых служб, все меньше. ибо очень легко прикрыть файрволом, да и нат проблем добавит. а вот использование дыр в обработке документов сколько угодно....
    __пример из последних.
    посещаешь зараженную страницу
    1. в скрытом фрейме, подгружается зловредная pdf
    2. не задавая вопросов!, автоматически открывается акробатом, срабатывает код...
    3. от имени акробата или браузера, подгружает качалку (..Downloader...) ///кстати класифицируется как Trojan.DownLoad.
    4. и ту начинается самое интересное... этот Trojan.DownLoad выкачивает и устанавливает из инета, все что угодно!!! обычно разных удаленных администраторов (твой пресловутый "несанкционированный удаленный доступ"), скрытых прокси, "тырилки" паролей и другой конфиденциальной информации.....

    простейшие методы защиты:
    п.1 умные фильтры контента (часто просто отсеят скрытые запросы), хоть какая-то защиты, но не панацея.
    п 2. правильная настройка плагинов браузера и своевременное обновление софта (как системного так и внешнего)
    п 3. ну контроль компонентов в файрволе иногда помогает, но далеко невсегда ибо внешних модулей не подгружалось.
    п 4. а вот тут контроль компонентов файрвола развернется на полную, если конечно файрвол не будет заранее обезврежен Trojan.DownLoadером . отсюда
    п.4.1 ограниченные права пользователя (даже если и сможет скачать зловредов, то в 90% случаев не установит их)+ ограниченные права не дадут возможности нейтрализации файрволов и антивирусов!.
    п.4.2 правильно настроенные файрволы и антивирусы. напр контроль сетевой активности приложений сразу заорет что какойто там троян.ехе из папки темп ломится в инет. .

    ЗЫ надеюсь доходчиво обьяснил...

  13. #12
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для NRA
    Регистрация
    17.03.2008
    Сообщений
    375
    Вес репутации
    206
    versed, Вам люди всё уже по сути пояснили, чего ждём, Рождества? Одно уже было, другое скоро будет.

    -- почему матчасть прогуливаем, карантин?
    Для кого готовая шпаргалка на http://security-advisory.virusinfo.info ?

    -- почему у Вас штатный брендмауэр (фаервол)?
    У него очень слаба защита на исходящие и довольно много "недомолвок и умолчаний".

    -- вопрос был только теоретический? Ведь на практике это легко проверяется, главное - уметь "читать".

    Удачи.
    Нас объединяет то, что разъединяет

Похожие темы

  1. svchost.exe 99% CPU от SYSTEM
    От Djos в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 13.12.2009, 16:22
  2. Ответов: 1
    Последнее сообщение: 28.07.2009, 04:58
  3. svchost.exe прописался в system 32
    От maxi s в разделе Помогите!
    Ответов: 9
    Последнее сообщение: 28.03.2009, 21:05
  4. System.exe и svchost.exe
    От Sovetcki в разделе Помогите!
    Ответов: 8
    Последнее сообщение: 21.03.2009, 00:03
  5. Суперкомьютер из 8 GPU заменил кластер из трехсот ПК
    От ALEX(XX) в разделе Высокие технологии
    Ответов: 5
    Последнее сообщение: 17.06.2008, 11:21

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01110 seconds with 19 queries