Процессы Windows: описание и определение безопасности

AveLarDo

Ословед
может быть не по теме, но можете сказать что это такое? как она вылазит сразу пуск, панель задач и трэй перестают работать.
 

Ксардас

Ословед
может быть не по теме, но можете сказать что это такое? как она вылазит сразу пуск, панель задач и трэй перестают работать.
Врятли это вирус, хотя и его исключать не стоит, просканьте систему специальными средствами типа cureit. Если не чего не найдете, то вам в соседний форем про програмнное обеспечение.
 

AveLarDo

Ословед
Врятли это вирус, хотя и его исключать не стоит, просканьте систему специальными средствами типа cureit. Если не чего не найдете, то вам в соседний форем про програмнное обеспечение.
короче у меня вылазит эта ошибка, потом через некоторое время вылазиит ошибка в которой типа сбой чотатам я не помню точно, но там пишут ошибка svchost и опять же накрывается, пуск трэй и тд..
причем вылетает когда иннет включен, не сразу но бывает...
 

Ксардас

Ословед
короче у меня вылазит эта ошибка, потом через некоторое время вылазиит ошибка в которой типа сбой чотатам я не помню точно, но там пишут ошибка svchost и опять же накрывается, пуск трэй и тд..
причем вылетает когда иннет включен, не сразу но бывает...
А что дало сканирование системы на вирусы?
 

Ежжичка

Ословед
При копировании любого файла на флэху возникает сообщение от винды. что у файла есть доп. информация, которая потеряется при копировании ":KAVIСHS.$data"
ни касперский. ни доктор вэб не запускаются, вернее запускаются и сразу закрываются. и диспетчер задач не работает. винду переустанавливали - продолжается.
 

GEk

Ословед
При копировании любого файла на флэху возникает сообщение от винды. что у файла есть доп. информация, которая потеряется при копировании ":KAVIСHS.$data"
ни касперский. ни доктор вэб не запускаются, вернее запускаются и сразу закрываются. и диспетчер задач не работает. винду переустанавливали - продолжается.
Сканируйте, загрузившись с этого диска http://city.is74.ru/forum/index.php?
 

PheleX

Ословед
КИС8 спрашивает разрешить процесс, а я честно не знаю что это:

Описание:
Generic Host Process for Win32 Services
Соединение:
Направление: Входящее
Протокол: UDP
Удаленный IP-адрес: pool-77-222-119-231.is74.ru (77.222.119.231)
Удаленный порт: 1120
Локальный порт: 1900
Информация о процессе:
Имя процесса: svchost.exe
ID процесса: 1728
Файл приложения: C:\WINDOWS\system32\svchost.exe
Командная строка: -K LOCALSERVICE
Информация о производителе:
Производитель: Microsoft Corporation
Версия приложения: 5.1.2600.5512
Версия файла: 5.1.2600.5512 (xpsp.080413-2111)

Что делать? Чтобы это написать разрешил однократно 4 раза, иначе страница не загружается.
 

ogl

Ословед
КИС8 спрашивает разрешить процесс, а я честно не знаю что это:

Описание:
Generic Host Process for Win32 Services
Соединение:
Направление: Входящее
Протокол: UDP
Удаленный IP-адрес: pool-77-222-119-231.is74.ru (77.222.119.231)
Удаленный порт: 1120
Локальный порт: 1900
Информация о процессе:
Имя процесса: svchost.exe
ID процесса: 1728
Файл приложения: C:\WINDOWS\system32\svchost.exe
Командная строка: -K LOCALSERVICE
Информация о производителе:
Производитель: Microsoft Corporation
Версия приложения: 5.1.2600.5512
Версия файла: 5.1.2600.5512 (xpsp.080413-2111)

Что делать? Чтобы это написать разрешил однократно 4 раза, иначе страница не загружается.

Ну вобще svchost.exe надо разрешать иначе не будет сети.
У себя я в фаерволе прописал следующие правила для него проблем не испытываю
 

GEk

Ословед

    Andrey155

    очки: 5
    Нет комментариев
уважаемые знатоки будьте любезны подскажите=) проблема заключается в следующем при установке некоторых программ вылазит ошибка:
недопустимое перемещение системной DLL
Системная библиотека user32.dll перемещена в памяти. Работа приложения бдует нарушена. Перемещение произошло из-за того, что библиотека С:\windows\system32\shell32.dll заняла область адресов, зарезервированную для системных DLL Windows.
что эт такое? и как это возможно вылечить...
заранее спасибо;)
 

GEk

Ословед
уважаемые знатоки будьте любезны подскажите=) проблема заключается в следующем при установке некоторых программ вылазит ошибка:
недопустимое перемещение системной DLL
Системная библиотека user32.dll перемещена в памяти. Работа приложения бдует нарушена. Перемещение произошло из-за того, что библиотека С:\windows\system32\shell32.dll заняла область адресов, зарезервированную для системных DLL Windows.
что эт такое? и как это возможно вылечить...
заранее спасибо;)
если использовал Трансформашн пак под Висту или нечто подобное, то это из-за него, если нет, то попробуй утановить обновления KB935448. Либо если есть обновление KB925902 то его попробуй удалить (бывает что из за него глючит).

как избавиться от трансформашн пак Виста ну и другие:
Просто берёшь, заходишь в папку С:\Windows\system32\
переименовываешь этот файл (shell32.dll) например в shell321.dll , затем заходишь в С:\Windows\system32\VITrans берёшь оттуда файл shell32.dll (он весит примерно 8 с копейками мегов) и копируешь в С:\Windows\system32\! Всё просто! Перезагружаешь комп и вуаля,ошибки и украшательств нетУ!

И вообще не советую пользоваться трансформашн паками типа "Linux Transformation Pack" и т.п. хреновиной.

Еще цитаты:
"В общем так... То что описано выше, решает проблему, но не всегда, удалять обновы не советую, достаточно просто посмотрите в вашей операционной системе версию файла user32.dll (в %Windir%\System32). Точно известно, что версия 5.1.2600.3099 может вызывать данную проблему. Для сравнения версия библиотеки в SP2 - 5.1.2600.2180, с ней ошибка не проявляется.
Заменяем файл с версией 5.1.2600.3099 на файл с версией 5.1.2600.2180 и ошибка исчезает."

" в безопасном режиме переименовать файл и скопировать на его место нужный. В папках \WINDOWS\system32 и \WINDOWS\system32\dllcache.

Или (если есть возможность) удалите обновление KB925902 в Установке и удалении программ (так будет проще).

P. S. Если установлен SP3, не вздумайте менять User32.dll на старый."
 

    Hate all

    очки: 9
    спасибо

Chilly Willy

Ословед
у меня svchost при копировании, или тп начинаем много грузить проц, и подкачка у него до 1.5Гб. После чего он вылетает и я жду таймер 1 мин и комп перегружается
 

    GEk

    очки: 20
    я как то ставил керио, но сказать что я в нем разбираюсь немогу, т.к. давно это было, уж непомню чего там и куда, но все правила по идее такие же, как и в других фаерволах

Chilly Willy

Ословед
он как будто выполняет операции и память не выгружает.. ну что то на вроде того, щас вот опять уже 500мб жрёт
 

GEk

Ословед
у меня svchost при копировании, или тп начинаем много грузить проц, и подкачка у него до 1.5Гб. После чего он вылетает и я жду таймер 1 мин и комп перегружается

Вступление:
Svchost.exe (Generic Host Process for Win32 Services) – системный процесс операционной системы Microsoft Windows, который обрабатывает 32-битные DLL и другие службы.

В процессе загрузки на основании записей в реестре Svchost.exe составляет список служб, которые необходимо запустить. Одновременно могут быть запущены несколько экземпляров процесса Svchost.exe. Каждый сеанс Svchost.exe содержит группировку служб, следовательно, отдельные службы могут выполняться в зависимости от того, как и когда был запущен Svchost.exe. Таким образом улучшается контроль и упрощается отладка.

Файл Svchost.exe расположен в папке %SystemRoot%\System32. В других каталогах под именем Svchost.exe может скрываться Троян, вирус или сетевой червь. Наиболее известные злонамеренные программы, скрываются под именем системного процесса Svchost.exe – W32.Welchia.Worm, W32/Jeefo и W32.Assarm@mm. В этом случае злонамеренный процесс должен быть немедленно завершен.

Варианты:
1. Панель управления -> Автоматическое обновление -> Отключить автоматическое обновление.

2. Если это вирус Virus.Win32.Hidrag.d
Технические детали

Компьютерный вирус. Инфицирует PE EXE файлы с сохранением их работоспособности. Имеет размер 36352 байта. Написан на языке C++.

Относится к классу HLLP-вирусов (High Level Language Parasitic Virus).

Инсталляция

При запуске зараженного файла вирус копирует себя в корневой каталог Windows с именем svchost.exe:
%WinDir%\svchost.exe

При этом тело вируса модифицируется так, что в конец файла добавляется ресурс VERSIONINFO, частично совпадающий с аналогичным ресурсом в оригинальном системном файле svchost.exe Windows XP, который расположен в %WinDir%\system32 (различие только в номерах версий — созданный файл имеет номер версии 5.1.0.0).

После этого вирус запускает созданный файл, передавая ему в качестве параметров командной строки имя запущенного инфицированного Exe-файла и его параметры командной строки.

Затем выполнение программы завершается. Это делается для лечения запустившегося инфицированного Exe-файла.

Запущенный вирусом файл svchost.exe проверяет тип операционной системы. Если это Windows NT, 2000 или XP, то он регистрирует себя в виде службы с именем «PowerManager» и описанием «Manages the power save features of the computer». Если тип операционной системы другой (Windows 95, 98), то запущенный процесс (svchost.exe) прячется из списка задач с помощью функции RegisterServiceProcess и регистрируется в системном реестре:
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"PowerManager"="%WinDir%\svchost.exe"


Запущенный файл svchost.exe анализирует параметры командной строки; если они есть, то вирус лечит указанный в них файл и запускает его с оригинальными параметрами командной строки. Затем, если одна копия вируса уже выполняется, процесс завершает свою работу.

Деструктивная активность

В ходе фонового выполнения файла svchost.exe производится поиск и инфицирование других Exe-файлов. При поиске файлов просматриваются все несъёмные диски, начиная с диска C: до диска Z:. Для каждого диска просматривается дерево подкаталогов и производится поиск файлов с расширением Exe. Найденные файлы инфицируются.

При этом заражение файлов не происходит, если выполняется одно из следующих условий:
- файл импортирует одну из функций: PackDDElParam или StartServiceCtrlDispatcher;
размер файла меньше 100 КБ;
- тип пользовательского интерфейса — не GUI;
- файл является защищённым (определяется посредством SfcIsFileProtected);
- файл уже инфицирован этим вирусом (определяется путём нахождения строки; «Ijeefo!Esbhpo!wjsvt/!Cpso!jo!b!uspqjdbm!txbnq/» по смещению 610h от начала файла (данная строка является зашифрованной строкой «Hidden Dragon virus. Born in a tropical swamp.»).

Все строковые константы в теле вируса зашифрованы.

При заражении файлов у них на время инфицирования снимается атрибут «Только для чтения». Также не изменяются время создания, записи и последнего доступа к файлу. В ходе инфицирования файлов вирус шифрует и меняет местами некоторые данные файла.

Рекомендации по удалению

- Удалить ключ реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"PowerManager"="%WinDir%\svchost.exe"
- Остановить службу с именем PowerManager.
- Удалить файл svchost.exe в каталоге %WinDir% (но не в %WinDir%\system32!).
- Произвести полную проверку компьютера Антивирусом Касперского для удаления всех копий вирусов в Exe-файлах, которые невозможно обнаружить и вылечить вручную
 

    Chilly Willy

    очки: 29
    спс, но я не дождался ответа... а очень нужно было срочно исправить... сделала восстановление системы... пока вроде всё работает ( а вы разбираетесь в фаерволах керио?)
Сверху