Подозрительный svchost
 

Приветствую всех!

Люди подскажите, пожалуйста, по следующему вопросу: Пришел я вчера домой, навстречу выбежал довольный брат и говорит - "Ты знаешь, я здесь сидел в Интернете и вдруг начали всплывать какие-то странные картинки, и твой антивирус начал орать как резаная свинья? Но я, честно, никуда не лазил!!!" Я тяжело вздохнул и поплелся к компьютеру. Итак, что удалось выяснить: Когда антивирь заорал, брат с перепугу запустил проверку всей системы. Судя по журналу, Каспер нашел около 60 вредоносных объектов, после чего удалили их всех. Но интуиция говорила мне, что просто так все не закончится. Т она меня не подвела! Когда я открыл файервол Outpost, то увидел что количество открытых портов составляет около 2000! И причем с каждой секундой открывается новый порт. Я заметил особенность, что порты открываются с шагом 4. Т.е. открывается 1924 далее 1928, 1932..... Процесс, открывающий эти порты носит название svchost. Я открыл таск менеджер, нашел svchost который жрал 17% процессорного времени, и убил его. Все открытые порты моментально закрылись, за исключением 10 (они все время открыты). Но буквально через минуту, svchost снова появился в таск менеджере и порты снова стали открываться с невероятной скоростью. Если я убиваю svchost, то через минуту все начинается с начала!
Что предпринимал: загрузился в безопасном режиме, просканировал систему программами SpyBot S&D, Ad-Aware. Просмотрел автозагрузку (msconfig), ничего подозрительного не нашел. Запустил sfc/scannow. В итоге ничего не помогло. ОС Windows XP SP2

Кто посоветует, что можно сделать с этой проблемой?

Загрузчик загрузил трояна, а он хорошенько закрепился в системе - проинжектился в доверенный процесс или установив руткит, вообщем грузись в сайф моде (через f8) и скань антивирем на предмет подозрительных файлов, если это svchost.exe (норм. должен лежать в sysmem32) а ты нашёл ещё такой же либо в этой папке, либо в другой - то это и есть вирь.. (хотя скорее у тебя всё же идёт инжектирование в норм. svchost) кстате проактивка Каспера это должна запалить (если включена конечно...)
ЗЫ KIS 7 рулит! Я Поставил и никаких проблем пока нету (1-2 года)

Я нашел один файл svchost в папке C:\Windows. На ПК стоит Каспер 6, по идее у него проактивка включена, но он сцуко все равно "коня" пропустил :( Я так понимаю инжектирование в норм. svchost значит что трой дописал себя в конец этого самого файла. Так? Если так, то может попробовать удалить этот файл (который нормальный), а потом командой sfc/scannow восстановить с диска?

Брат у тебя хацкер!)))
Лучше винду переустанови! мой тебе совет! :)

А что толку переустанавливать винду, ставить всевозможную защиту, если за компом "троянский конь" сидит! :)

грузись в safe modе, ищи все svchost.exe, если они лежат не в папке /диск/windows/system32/ то удаляй, затем проскань комп на предмет копий, удали их, почисти реестр, в принцыпе должно помочь,но если вирь внедрился в оригинальный файл /диск/windows/system32/svchost.exe то тут уже ничё не поделаешь придется еще и винду переустанавливать

4itat y4is
ищи все svchost.exe, если они лежат не в папке /диск/windows/system32/ то удаляй

+1

svchost.exe может и ещё 3 шт. быть в одной папке, если буковки с o кириллица
ЗЫ Инжектирование - внедрение чужого кода в адресное пространство процесса-жертвы, т.е. это происходит в памяти. Если ориг. файл был изменён, то качни его на вирустотал и сравни хэш с оригинальным, если разница есть значит изменён (даже если там ничего не найдено) хотя его не так просто изменить, он имеет цифровую подпись вроде и сам себя должен контролировать (целостность) так что это врядли (что он модифицирован). Просто к нему может подгружаться вредоноснаяя dll
Ищи оригинальный svchost.exe, остальные в топку (если в других папках или в этой же но с русскими буквами в названии)

попробуй с другого компа взять svhost.
кстати это нормально что у меня их штук 9 в процессах?