Проблема с Windows

[zetrix]

Фаерволл поставьте любой. (куча их: outpost, zone Alarm...)

[werat]

Попробовал два фаервола, на все запросы отвечал запретом. Все равно тормозит!
Я даже трафик сети отключил совсем, все равно фигня.

[dr.Chas]

в диспетчере, посмотрите на процес svhost, ни есть ли он ресурсы процессора.

У самого было так, не понятно почему грузил процессор и хавал трафик, хотя антивир стоял с обновлёными базами, не чего не помогало. Снёс винду и всё стало нормально.

[Alter]

поставьте себе это: http://anvir11.narod.ru/anvirrus.exe
Коротко:

Цитата:

Бесплатный менеджер процессов и програм автозагрузки с функциями анти-трояна и анти-Spyware... Freeware.
Совместим со всеми антивирями и прочими защитными средствами.

Она полную информацию по процессам даст, ну и другие функции есть.

[crazy horse]

навскидку outpost firewall, mcaffee firewall... то же самое.
Зы. svchost жрет ресурсы - скорее всего это v32 jefoo. Можно глянуть, если в каталоге windows
есть файл svchost.exe - поздравляю. Лечится очень натужно, 80% экзешников будут нерабочими.
Профилактика проста как хозяйственное мыло. Ложим в корень винды файл с названием svchost.exe, делаем его ro, радуемся.

[werat]

Цитата:

Сообщение от crazy horse

навскидку outpost firewall, mcaffee firewall... то же самое.
Зы. svchost жрет ресурсы - скорее всего это v32 jefoo. Можно глянуть, если в каталоге windows
есть файл svchost.exe - поздравляю. Лечится очень натужно, 80% экзешников будут нерабочими.
Профилактика проста как хозяйственное мыло. Ложим в корень винды файл с названием svchost.exe, делаем его ro, радуемся.

А можно немного поподробне с этим svchost? как и что там лечить?

[mihali4]

Цитата:

Сообщение от werat

А можно немного поподробне с этим svchost?

Файл Svchost.exe расположен в папке %SystemRoot%\System32. В процессе загрузки Svchost.exe составляет на основании записей в реестре список служб, которые необходимо запустить. Одновременно может быть запущено несколько экземпляров процесса Svchost.exe. Каждый сеанс Svchost.exe может содержать несколько служб. Таким образом, в зависимости от того, как и где запущен процесс Svchost.exe, могут выполняться несколько отдельных служб. Такая группировка служб обеспечивает более высокий уровень контроля над ними и облегчает отладку.

Группы Svchost.exe определяются в следующем разделе реестра:
HKEY_LOCAL_MACHINE\Software\Microso ft\WindowsNT\CurrentVersion\Svchost
Каждое значение в этом разделе представляет отдельную группу Svchost и отображается при просмотре активных процессов как отдельный экземпляр. Каждое из этих значений имеет тип REG_MULTI_SZ и содержит службы, выполняемые в этой группе Svchost. Каждая группа Svchost может содержать одно или несколько имен служб, извлекаемых из следующего раздела реестра, в котором подраздел Parameters содержит значение ServiceDLL:
HKEY_LOCAL_MACHINE\System\CurrentCo ntrolSet\Services\Служба
Чтобы просмотреть список служб, работающих в процессе Svchost, выполните описанные ниже действия.
Нажмите на панели задач Windows кнопку Пуск и выберите пункт Выполнить.
В поле Открыть введите команду CMD и нажмите клавишу ВВОД.
Введите команду Tasklist /SVC и нажмите клавишу ВВОД.
Команда Tasklist выводит список активных процессов. Параметр /SVC используется для вывода списка активных служб в каждом процессе. Для получения дополнительных сведений о процессе введите следующую команду и нажмите клавишу ВВОД:
Tasklist /FI "PID eq идентификатор_процесса" (кавычки обязательны)
В приведенном ниже примере показан вывод команды Tasklist для двух экземпляров процесса Svchost.exe. Image Name PID Services
=================================== =================================== ==
System Process 0 N/A
System 8 N/A
Smss.exe 132 N/A
Csrss.exe 160 N/A
Winlogon.exe 180 N/A
Services.exe 208 AppMgmt,Browser,Dhcp,Dmserver,Dnsca che,
Eventlog,LanmanServer,LanmanWorksta tion,
LmHosts,Messenger,PlugPlay,Protecte dStorage,
Seclogon,TrkWks,W32Time,Wmi
Lsass.exe 220 Netlogon,PolicyAgent,SamSs
Svchost.exe 404 RpcSs
Spoolsv.exe 452 Spooler
Cisvc.exe 544 Cisvc
Svchost.exe 556 EventSystem,Netman,NtmsSvc,RasMan,
SENS,TapiSrv
Regsvc.exe 580 RemoteRegistry
Mstask.exe 596 Schedule
Snmp.exe 660 SNMP
Winmgmt.exe 728 WinMgmt
Explorer.exe 812 N/A
Cmd.exe 1300 N/A
Tasklist.exe 1144 N/A

Image Name PID Services
=================================== =================================== ==
System Process 0 N/A
System 8 N/A
Smss.exe 132 N/A
Csrss.exe 160 N/A
Winlogon.exe 180 N/A
Services.exe 208 AppMgmt,Browser,Dhcp,Dmserver,Dnsca che,
Eventlog,LanmanServer,LanmanWorksta tion,
LmHosts,Messenger,PlugPlay,Protecte dStorage,
Seclogon,TrkWks,W32Time,Wmi
Lsass.exe 220 Netlogon,PolicyAgent,SamSs
Svchost.exe 404 RpcSs
Spoolsv.exe 452 Spooler
Cisvc.exe 544 Cisvc
Svchost.exe 556 EventSystem,Netman,NtmsSvc,RasMan,
SENS,TapiSrv
Regsvc.exe 580 RemoteRegistry
Mstask.exe 596 Schedule
Snmp.exe 660 SNMP
Winmgmt.exe 728 WinMgmt
Explorer.exe 812 N/A
Cmd.exe 1300 N/A
Tasklist.exe 1144 N/A

Двум группам из этого примера соответствует следующий параметр реестра:
HKEY_LOCAL_MACHINE\Software\Microso ft\Windows NT\CurrentVersion\Svchost:
Netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
RApcss :Reg_Multi_SZ: RpcSs

НО!!!

Цитата:

Virus.Win32.Hidrag Компьютерный вирус. Инфицирует PE EXE файлы с сохранением их работоспособности. Имеет размер 36352 байта. Написан на языке C++.

См. далее

[mihali4]

Продолжение

Цитата:

Относится к классу HLLP-вирусов (High Level Language Parasitic Virus).
Инсталляция

При запуске зараженного файла вирус копирует себя в корневой каталог Windows с именем svchost.exe:
%WinDir%\svchost.exe

При этом тело вируса модифицируется так, что в конец файла добавляется ресурс VERSIONINFO, частично совпадающий с аналогичным ресурсом в оригинальном системном файле svchost.exe Windows XP, который расположен в %WinDir%\system32 (различие только в номерах версий — созданный файл имеет номер версии 5.1.0.0).

После этого вирус запускает созданный файл, передавая ему в качестве параметров командной строки имя запущенного инфицированного Exe-файла и его параметры командной строки.

Затем выполнение программы завершается. Это делается для лечения запустившегося инфицированного Exe-файла.

Запущенный вирусом файл svchost.exe проверяет тип операционной системы. Если это Windows NT, 2000 или XP, то он регистрирует себя в виде службы с именем «PowerManager» и описанием «Manages the power save features of the computer». Если тип операционной системы другой (Windows 95, 98), то запущенный процесс (svchost.exe) прячется из списка задач с помощью функции RegisterServiceProcess и регистрируется в системном реестре:
[HKLM\Software\Microsoft\Windows\Cur rentVersion\RunServices]
"PowerManager"="%WinDir%\svchost.ex e"

Запущенный файл svchost.exe анализирует параметры командной строки; если они есть, то вирус лечит указанный в них файл и запускает его с оригинальными параметрами командной строки. Затем, если одна копия вируса уже выполняется, процесс завершает свою работу.Деструктивная активность

В ходе фонового выполнения файла svchost.exe производится поиск и инфицирование других Exe-файлов. При поиске файлов просматриваются все несъёмные диски, начиная с диска C: до диска Z:. Для каждого диска просматривается дерево подкаталогов и производится поиск файлов с расширением Exe. Найденные файлы инфицируются.

При этом заражение файлов не происходит, если выполняется одно из следующих условий:
файл импортирует одну из функций: PackDDElParam или StartServiceCtrlDispatcher;
размер файла меньше 100 КБ;
тип пользовательского интерфейса — не GUI;
файл является защищённым (определяется посредством SfcIsFileProtected);
файл уже инфицирован этим вирусом (определяется путём нахождения строки; «Ijeefo!Esbhpo!wjsvt/!Cpso!jo!b!uspqjdbm!txbnq/» по смещению 610h от начала файла (данная строка является зашифрованной строкой «Hidden Dragon virus. Born in a tropical swamp.»).

Все строковые константы в теле вируса зашифрованы.

При заражении файлов у них на время инфицирования снимается атрибут «Только для чтения». Также не изменяются время создания, записи и последнего доступа к файлу. В ходе инфицирования файлов вирус шифрует и меняет местами некоторые данные файла.

Рекомендации по удалению

Удалить ключ реестра:
[HKLM\Software\Microsoft\Windows\Cur rentVersion\RunServices]
"PowerManager"="%WinDir%\svchost.ex e"
Остановить службу с именем PowerManager.
Удалить файл svchost.exe в каталоге %WinDir% (но не в %WinDir%\system32!).
Произвести полную проверку компьютера Антивирусом Касперского для удаления всех копий вирусов в Exe-файлах, которые невозможно обнаружить и вылечить

[werat]

У меня касперский 7, проверял не раз, ничего не находит. В реестре такаго параметра у меня нету(в конце, каталога Run Services у меня нет, есть только Run, Run-, RunOnce, RunOnceEx, RunServicesOnce).

[Zloy_Doomer]

Поставь аваст ИМХО самый адекватный антивирь...и проскань систему в ДОСЕ!!! там есть такая опция...