Список форумов MorePC MorePC

 
 FAQFAQ   ПоискПоиск   ПользователиПользователи   ГруппыГруппы   РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 

Показывает ли WinTasks трояны?

 
Начать новую тему   Ответить на тему    Список форумов MorePC -> Выбор ПО
Предыдущая тема :: Следующая тема  
Автор Сообщение
Серебан



Зарегистрирован: 08.01.2006
Сообщения: 31

СообщениеДобавлено: Сб Мар 18, 2006 12:06 am    Заголовок сообщения: Показывает ли WinTasks трояны? Ответить с цитатой

Поставил я себе программу WinTasks Pro 5.04. И начал в ней работать. Когда нажал на кнопку “Process Lib”, то открылось окошко, в котором описывается процесс. Когда выбрал процесс “Microsoft Service Host Process (svchost.exe)”, то в окошке появилась следующая информация:

svchost.exe - Microsoft Service Host Process
Description
svchost.exe is a system process belonging to the Microsoft Windows Operating System which handles processes executed from DLLs. This program is important for the stable and secure running of your computer and should not be terminated.
Note: svchost.exe is a process which is registered as the W32.Welchia.Worm. It takes advantage of the Windows LSASS vulnerability, which creates a buffer overflow and instigates your computer to shut down. To see more information about this vulnerability please look at the following Microsoft bulletin:
http: //www.microsoft.com/technet/security/bulletin/ms04-011.mspx
This is a registered security risk and should be removed immediately. Please see additional details regarding this process
Author: Microsoft Corp.
Part Of: Microsoft Windows Operating System
Security Risk: 0
Keywords: System,Background,Duplicate,Internet,Network

Больше всего меня заинтересовал абзац “Note”. Насколько я понял, это означает, что файл svchost.exe заражен червем W32.Welchia.Worm. И примерно такое же было в 5 процессах, только разные заразы. Означает ли это, что файл действительно заражен?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Samsonov



Зарегистрирован: 13.03.2003
Сообщения: 812

СообщениеДобавлено: Сб Мар 18, 2006 11:56 am    Заголовок сообщения: Re: Показывает ли WinTasks трояны? Ответить с цитатой

Серебан писал(а):
Note: svchost.exe is a process which is registered as the W32.Welchia.Worm.
Насколько я понял, это означает, что файл svchost.exe заражен червём W32.Welchia.Worm. И примерно такое же было в 5 процессах.
Примечание составлено не совсем корректно. Думаю, на самом деле имелось в виду, что данный червь может маскироваться под вполне нормальный системный процесс — именно потому, что процессов с именем svchost может быть очень много (в зависимости от числа активных сетевых служб, реализуемых этим универсальным модулем), и среди них легко затеряться. Например, под Windows XP таких процессов может быть 5, под Windows Server 2003 — целых 10. Чтобы посчитать, сколько их должно быть, надо зайти в Диспетчер служб и вручную просмотреть свойства всех запускаемых, у которых имя модуля svchost.exe. Очень хорошо в этом плане иметь русскоязычную версию операционной системы (не русифицированную англоязычную), потому что там почти все названия и пояснения должны быть на русском — следовательно, среднестатистическому червю очень сложно притвориться системной службой.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
Серебан



Зарегистрирован: 08.01.2006
Сообщения: 31

СообщениеДобавлено: Сб Мар 18, 2006 11:23 pm    Заголовок сообщения: Re: Показывает ли WinTasks трояны? Ответить с цитатой

Samsonov писал(а):
Думаю, на самом деле имелось в виду, что данный червь может маскироваться под вполне нормальный системный процесс

Тоесть, в каком-то из процессов svchost может быть червь?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Samsonov



Зарегистрирован: 13.03.2003
Сообщения: 812

СообщениеДобавлено: Вс Мар 19, 2006 11:04 am    Заголовок сообщения: Re: Показывает ли WinTasks трояны? Ответить с цитатой

Серебан писал(а):
То есть в каком-то из процессов svchost может быть червь?
Если данный червь есть в системе, то он будет маскироваться под этим именем. Возьмите какую-нибудь антивирусную утилиту и проверьтесь; сейчас даже Microsoft такие утилиты ежемесячно распространяет через Windows Update / Automatic Update.

Можно попробовать ещё один способ: посмотреть полный путь к модулю svchost.exe. Если WinTasks этого не показывает, можно взять FAR Manager — у него вместо файловой панели можно выбирать список процессов, где по нажатию F3 (просмотр) показывается подробная информация о выделенном процессе. Так вот, у нормального svchost.exe полный путь C:\WINDOWS\system32\svchost.exe (ну, или где там Windows установлена). Правда, я не уверен, что червь запускается как самостоятельный процесс из другого каталога — нельзя исключать, что он запускается как вспомогательный модуль обычного svchost. Тут надо бы почитать описание данного вируса.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
Гость






СообщениеДобавлено: Ср Май 24, 2006 4:30 pm    Заголовок сообщения: Ответить с цитатой

файл svchost так же еще может находиться просто в папке виндовс...он вроде отвечает за power manager....
Вернуться к началу
Гость
Гость





СообщениеДобавлено: Пт Сен 15, 2006 1:17 pm    Заголовок сообщения: Ответить с цитатой

Незнаю, переименовал его. Этот файл который в windows, svchost.exe !
Ошибок пока не возникает.
Вернуться к началу
cro
Гость





СообщениеДобавлено: Вт Ноя 07, 2006 1:04 am    Заголовок сообщения: Ответить с цитатой

Тема старая, а я не местный, случайно из поисковика пришел. Но думаю вам будет полезно знать, что svchost в папке %windir% aka \windows однозначно является трояном.

Единственный svchost.exe лежит в папке \windows\system32. В других папках системных файлов с таким названием НЕТ!

В диспетчере задач максимум может быть запущены 5 процессов с названием svchost, если видите больше - значит скорее всего ваша машина заражена какой-нибудь дрянью.

Le.
Вернуться к началу
Показать сообщения:   
Начать новую тему   Ответить на тему    Список форумов MorePC -> Выбор ПО Часовой пояс: GMT + 3
Страница 1 из 1

 
Перейти:  
Вы можете начинать темы
Вы можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах


Powered by phpBB © 2001, 2005 phpBB Group
Rambler's Top100Rambler's Top100