Недавно через аутпост заметил что процес svchost.exe ломится на левые сайты, естественно все исходящие блокируются, но все равно неприятно, такое ощущение что какойто спайваре сидит или вирусяка, проверял нодом,аутпостом, нашлось пару спайваре, удалил, но процес svchost все еще продолжается долбиться на сайты
вот их краткий список (на самом деле их около 40 штук)

www.carolina-clicks.com
www.carolina-clicks.com
www.surfing4cash.info
www.leopardsclicks.com
www.paid2link.com

подскажите что делать ? может чемнить другим проверить, что может быть за зараза такая ??? операционка xp sp2 Заранее благодарен!

Нода когда обновлял последний раз?

Попробуй Microsoft® Windows® Malicious Software Removal Tool, но вообще 100% способ переустановка...

ну как видно по названия сайтов.. это кликеры, сёрфиеры и прочая лабуда собственно я даж незнаю как его ловить... если за трафф не платиш то проще отключить антивир... ну у меня таких проблем нету... как и антивируса :)

Нода когда обновлял последний раз?
Попробуй Microsoft® Windows® Malicious Software Removal Tool, но вообще 100% способ переустановка...
нод регулярно обновляется в день раза по два, ладно спасибо за советы, попробую эту утилиту :)

ну как видно по названия сайтов.. это кликеры, сёрфиеры и прочая лабуда собственно я даж незнаю как его ловить... если за трафф не платиш то проще отключить антивир... ну у меня таких проблем нету... как и антивируса :)
а может какойнить монитор есть, чтобы отследить ? :) в любом случаи спасибо за ответы!

попробуй еще прогу Spybot - Search & Destroy.... она ловит этих шершней :)

переустанови фаирвол, он обновит svchost.exe, просто словил где то на просторах нета кликатель замаскированый под svchost

Инжект в svchost.:) Проверь чё у тя в автозагрузке лежит.

может уже и не лежать, тк "склеяный" svchost и так в автозагрузке

Мне всегда помогало сканирование на spyware, встроенное в Outpost, плюс повторное сканирование с помощью Ad-Aware SE. Если точно известно, что файл поражён, мы иногда использовали метод "трансплантации" здорового файла с аналогичной версии Windows. Ну или команду sfc /scannow, правда последствия бывают.

Поставь AntiVir PersonalEdition Classic сразу вычеслишь заразу.

Вряд ли возможно изменить как-нибудь svchost.exe
Посмотри полный путь до него или поищи где-нибудь в папочке WINDOWS его или файл с похожим названием, например, cvchost.exe, один раз, когда я был заражён я нашёл в парочке windows\system32 файл cvchost.exe (он и был вирусом)
Так же вирус может маскироваться под svchost, можешь поискать где-нибудь в Documents and Settings подозрительные файлы.

Была тоже проблемка с svhost. Ничего не помоголо, моя ситуация была хуже чем твоя. Так вот. его вылечить почти не реал и не удалить. Либо востанавливай систему либо сноси винду.И кстате. Скорее всего он вклеился в Svhost и ты ничего не зделаешь. Хотя ты можешь посмотреть в процессах сколько у тя svhost(по дефолту их вроде 4). И потыкай там. лично мне помогало. Но каждый раз так делать оч надоедает

Попробуй просканировать в безопасном режиме без загрузки сетевіх драйверов...

Переставляй винду. Старая все равно покоцанная будет. Оно нам надо?

мб глупость, а что, если его заменить чистым свхостом?

не глупость, а так и надо делать

Именно глупость. Объясняю: Инжект - это не внедрение в файл, как таковой. Это внедрение в адресное пространство ПАМЯТИ, которая выделяеться процессу SVCHOST.exe. Так что я тебе не просто так дал такой радиКАЛьный совет.
Тут надо отлавливать файл, который осуществляет внедрение. Способы уже 300 раз описаны. Это РУЧКИ. Авер может и не палить криптованную прогу. Что делать? Starter+Regmon+Filemon+Portmon=)
Ссылки надеюсь давать не надо?=)

пуск->выполнить->sfc /scannow
(учти, что при крякнутой винде возможна замена активации - надо бдет заново крякать в безопасном режиме)

пуск->выполнить->sfc /scannow
(учти, что при крякнутой винде возможна замена активации - надо бдет заново крякать в безопасном режиме)
Пилить. ДА НЕ ПОВРЕЖДЕНЫ ФАЙЛЫ ВИНДЫ, ЭТО НИЧЕГО НЕ ДАСТ!!!

Читай через один пост вверх.

Пуск -> Выполнить -> msconfig -> Автозагрузка -> Если что-то есть подозрительное, то сними галку, сохрани и перезаруги комп.

Подозрительными процессами могут быть например svchost.exe, lsaas.exe и другие системные, потому что по дефолту они в msconfig'е отключены.
Так же если ты обнаружишь там что-нибудь подозрительное, то удали его (там же написан путь до файла)
Даже если ты там всё отключешь, то не волнуйся, ничего плохого не станет, но антивири вырубать не следует :)

А вообще, мне следовало просто написать: "проверь автозагрузку", но я подумал, мало ли не знаешь.. :)

Пуск -> Выполнить -> msconfig -> Автозагрузка -> Если что-то есть подозрительное, то сними галку, сохрани и перезаруги комп.

Подозрительными процессами могут быть например svchost.exe, lsaas.exe и другие системные, потому что по дефолту они в msconfig'е отключены.
Так же если ты обнаружишь там что-нибудь подозрительное, то удали его (там же написан путь до файла)
Даже если ты там всё отключешь, то не волнуйся, ничего плохого не станет, но антивири вырубать не следует :)

А вообще, мне следовало просто написать: "проверь автозагрузку", но я подумал, мало ли не знаешь.. :)

Есть ключи реестра, которые этим способом не видны. Чтобы просечь всю автозагрузку (да, и сервисы не забудь просмотреть..), заюзай прогу Starter. Помогает в 90% случаев.

Есть ключи реестра, которые этим способом не видны. Чтобы просечь всю автозагрузку (да, и сервисы не забудь просмотреть..), заюзай прогу Starter. Помогает в 90% случаев.
у меня в автозагрузке идут компоненты веб-сервера + VM. хз где отключить, стартер не рулит (в моем случае, а вообще доооо) =)

Starter уже неактуален. Лучше AutoRuns использовать, там всё по вкладкам разложено.