niesforny svchost

g_criss 14.07.05, 17:33

Na moim komputerze od dłuższego czasu dzieją się dość podejrzane rzeczy. Otóż
svchost.exe poza chęcią łączenia się z serwerami DNS, wyraża również chęć
połączenia się z różnymi komputerami w sieci osiedlowej, do której jestem
podłączony. Z początku myślałem, że mam jakiegoś trojana i "format C:" +
reinstalacja pomoże i rzeczywiście za pierwszym razem po przeinstalowaniu było
ok, ale później sytuacja się powtórzyła. Po ostatniej reinstalacji od początku
już svchost domagał się zezwolenia na połączenia z różnymi 10.10.*.* i nie
zmieniło się to po ServicePack'u 2 i poprawkach krytycznych. Prawdę mówiąc
denerwuję mnie to, bo muszę ręcznie ustalać zezwolenie/zabronienie połączenia
za każdym razem.

Więc chodzą mi po głowie następujące pytania:

1) O co chodzi ? Z jakich powodów tak się dzieje ? Co z tym zrobić ?
2) Jakie firewall'e pozwalają na stworzenie reguły nie tylko na program ale i
konkretne IP, tak by np. svchost łączył mi się z DNS,
a nie łączył się z niczym z sieci lokalnej (w ZoneAlarm tak nie potrafię zrobić) ?
3) Jaki jest najlepszy program do kontrolowania tego co się dzieje na kompie i
połączeń z siecią (używam na razie ActivePorts) ?

Przy okazji pytania nie do końca związane z tym problemem:

4) Jak najłatwiej zamienić IP na nazwę hosta i uzyskać ewentualnie jeszcze
jakieś informacje (takie "who is")
5) Dlaczego przy pierwszym uruchamianym programie po starcie kompa dysk jakby
trochę "rzęzi" za bardzo, tak jakby komp wykonywał coś więcej niż tylko start
programu ?

Z góry wielkie dzięki za pomoc.

Obserwuj wątek

Drzewko
Od najstarszego
Od najnowszego

Gość: Kolobos Re: niesforny svchost IP: *.warszawa.sdi.tpnet.pl 14.07.05, 17:42

Nastepny co mysli, ze format to lekarstwo na wszystko...

Skan i usuwanie wszystkiego tym:
download.microsoft.com/download/8/1/5/815d2d60-49b5-44dc-ae35-fca2f2c6f0cc/MicrosoftAntiSpywareInstall.exe

Nastepnie wklej tu log z hijackthis:
www.mgregor.republika.pl/
Firewall:
www.kerio.com/kpf_home.html
1 - to moze byc robak/trojan ale nie musi systemowy svchost tez moze sie laczyc
jak jakas usluga, ktora uruchomil tego wymaga.
2 - juz Ci podalem.
3 - Firewall?
4 - nslookup adres_ip_lub_domeny, a whois to www.ripe.net ale po co jak i tak
nic Ci to nie da.
5 - bo masz wolny dysk/malo ramu itd.
- g_criss Re: niesforny svchost 15.07.05, 21:25
  
  Ja wcalę nie twierdzę, że format to lekarstwo na wszystko. To jeszcze zależy co
  masz na myśli. Bo ja wychodziłem z założenia, że jeżeli odpalę instalację z CD
  (poprzez start z tego CD), każe mu sformatować dysk i instalować od nowa WinXP,
  to są duże szanse powodzenia. Kabel sieciowy był w ogóle odłączony, więc na moje
  pojęcie o rzeczy to musiałby ten trojan/robal być w instalce XP, albo
  oprogramowaniu które później instalowałem (chyba musiałby się zainstalować z
  antyvirem lub firewall'em, bo od nich zaczynałem instalowanie czegokolwiek).
  Może mam za małą wiedzę i są jeszcze inne możliwości, w takim razie chętnie się
  czegoś dowiem.
  
  A teraz do rzeczy: MicrosoftAntiSpyware nie znalazł nic.
  
  Używam AVPE, ale zainstalowałem na krótko dziś AVASTA i też przeskanowałem
  wszystkie partycje (z ustawieniem standart + archiwa, na gruntowny nie miałem
  czasu niestety) i też nic nie znalazł.
  
  Uruchomiłem sobie program Pest Exterminator i żaden z procesów nie był oznaczony
  jako szkodliwy.
  
  I wreszcie log z Hijack'a:
  
  Logfile of HijackThis v1.99.1
  Scan saved at 20:39:56, on 2005-07-15
  Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
  MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
  
  Running processes:
  C:\WINDOWS\System32\smss.exe
  C:\WINDOWS\system32\winlogon.exe
  C:\WINDOWS\system32\services.exe
  C:\WINDOWS\system32\lsass.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\system32\spoolsv.exe
  C:\Program Files\AVPersonal\AVGUARD.EXE
  C:\Program Files\AVPersonal\AVWUPSRV.EXE
  C:\WINDOWS\system32\ZONELABS\vsmon.exe
  C:\WINDOWS\Explorer.EXE
  C:\Program Files\AVPersonal\AVGNT.EXE
  C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
  C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
  C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
  C:\WINDOWS\system32\wuauclt.exe
  C:\Documents and Settings\Grzegorz\Pulpit\HijackThis\HijackThis.exe
  
  R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
  windowsupdate.microsoft.com/
  R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
  Settings,ProxyServer = moje_proxy:port
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
  O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
  D:\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
  O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
  O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
  O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone
  Labs\ZoneAlarm\zlclient.exe
  O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
  O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office\OSA9.EXE
  O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
  C:\Program Files\Messenger\msmsgs.exe
  O9 - Extra 'Tools' menuitem: Windows Messenger -
  {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
  O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
  v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1118685402031
  O17 - HKLM\System\CCS\Services\Tcpip\..\{F1A5F1C7-38BC-4D8B-8E37-617DBC673724}:
  NameServer = mój_DNS1,mój_DNS2
  O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH -
  C:\Program Files\AVPersonal\AVGUARD.EXE
  O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany -
  C:\Program Files\AVPersonal\AVWUPSRV.EXE
  O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC -
  C:\WINDOWS\system32\ZONELABS\vsmon.exe
  - Gość: Kolobos Re: niesforny svchost IP: *.warszawa.sdi.tpnet.pl 15.07.05, 21:51
    
    Log jest czysty, ale co to ma byc:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
    Settings,ProxyServer = moje_proxy:port
    O17 - HKLM\System\CCS\Services\Tcpip\..\{F1A5F1C7-38BC-4D8B-8E37-617DBC673724}:
    NameServer = mój_DNS1,mój_DNS2
    
    Albo wpisujesz poprawne adresy albo nie wpisujesz wcale, a nie
    jakies "mój_DNS1" i "moje_proxy:port" ;-)
    - g_criss Re: niesforny svchost 15.07.05, 21:59
      
      To taka moja przesadna dbałość o anonimowość w necie :) Mam na myśli oczywiście,
      że log był w tych miejcach edytowany przeze mnie. :)
      
      A ma może kolega jakiś pomysł albo radę ? Bo problem ciągle istnieje...
      - Gość: Kolobos Re: niesforny svchost IP: *.warszawa.sdi.tpnet.pl 15.07.05, 22:10
        
        Odinstaluj zone alaram zainstaluj Kerio zablokuj na stale te polaczenia i juz.
        
        g_criss Re: niesforny svchost 15.07.05, 23:41
        
        Wielkie dzięki Kolobos za rady i sprawdzenie log'a.
        
        Niejmniej ja będę drążył temat dalej - może ty lub ktoś inny będzie miał jeszcze
        coś do powiedzienia. Bo - po pierwsze - jakoś tak mam, że lubię wiedzieć i
        rozumieć co się dzieje, a po drugie - nie da się ukryć, że zablokowanie tych
        połączeń, to leczenie objawów a nie ich przyczyny.
        
        Wyczytałem gdzieś, że svchost.exe występuje pod wieloma postaciami naraz,
        ponieważ obsługuje cały pakiet narzędzi, których listę można odczytać w
        rejestrze, a dokładnie tu: HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows NT\
        CurrentVersion\ Svchost
        
        Więc - czy ja dobrze myślę - że taki log z Hijack'a, ActivePorts, Pest
        Exterminator pokazują ogólnie, że kilka procesów svchost jest uruchomionych,
        wszystko wygląda normalnie, natomiast nie dają one więcej informacji; a diabeł
        jak zwykle tkwi w szczegółach i wśród tych narzędzi obsługiwanych przez svchost
        jest jakiś robal/trojan czy cokolwiek innego, co próbuje uzyskać połączenie z
        kompami w LAN'ie ?
        
        Gość: Kolobos Re: niesforny svchost IP: *.warszawa.sdi.tpnet.pl 16.07.05, 00:51
        
        W logu nic nie bylo wiec na 90% nie ma trojana.
        Uruchom sobie Start->cmd i wpisz tam:
        Tasklist /SVC
        Zobaczysz co sie uruchomilo przez svchost
        
        Wiecej tutaj:
        support.microsoft.com/?kbid=314056
        
        g_criss Re: niesforny svchost 17.07.05, 01:44
        
        Problem rozwiązałem. :))
        
        O połączenie z kompami w sieci lokalnej prosiła się "Usługa odnajdowania SSDP"
        (SSDPSRV).
        
        Gość: Kolobos Re: niesforny svchost IP: *.warszawa.sdi.tpnet.pl 17.07.05, 02:26
        
        Widzisz, tak jak pisalem to nie trojan.
        
        Gość: - Re: niesforny svchost IP: *.neoplus.adsl.tpnet.pl 17.07.05, 02:53
        
        No popatrz, Kolobos...;-)
        Dzielny g_criss "problem rozwiązał:))"
        
        Twoja rola w tym procesie była doprawdy marginalna;-)
        
        Niewątpliwie z tej euforii zapomniał podziekowac. W jego imieniu dziękuję zatem
        i w imieniu następnych potrzebujących.
        
        Trzymaj się:-)
        
        g_criss Re: niesforny svchost 17.07.05, 12:37
        
        Ciężko stwierdzić z kogo kolega anonim próbuje sobie pokpiwać, więc na wszelki
        odeśle do wcześniejszych postów:
        
        "Z góry wielkie dzięki za pomoc."
        
        forum.gazeta.pl/forum/72,2.html?f=430&w=26461884&a=26461884
        "Wielkie dzięki Kolobos za rady i sprawdzenie log'a."
        
        forum.gazeta.pl/forum/72,2.html?f=430&w=26461884&a=26525919
        W procesie odnajdywania odpowiedzialnej za problem usługi rzeczywiście rola
        Kolobosa była marginalna, więc nie widzę powodu żeby dziękować.

Najnowsze z forum Wirusy, trojany, spyware

Zaloguj się