Gå til innhold

Svchost.exe

DrittData

Av DrittData
i IKT-drift og sikkerhet

Anbefalte innlegg

Vanessa

Vanessa

Skrevet
Skrevet

Alt dette kommer av MSBlast viruset, og det gjør mye dritt, som blandt annet å shutte ned maskinen når det er på nett, ved at andre maskiner sender Remote Procedure Calls til den. Det du må gjøre er å få fjernet MBlast og alle de infiserte filene, innstallere en brannmur, og så å innstallere ALLE hotfixer (fra Windows Update).

 

Det MSBlast gjør er å scanne nettverk (som f.eks chello), som er sårbare og har dårlig sikkerhet, for usikrede maskiner. Deretter, når den finner en usikret maskin, forsøker den å uploade seg fra en infisert maskin til den nye maskinen. Deretter sender den RPC for shutdown, og så infiserer den kjerne-filer i Windows, som f.eks SVChost og Services.

 

Du må reinnstallere hele Windows hvis du ikke får fjernet de fra systemet.

Lenke til kommentar

Videoannonse

Videoannonse
Annonse
Zeph

Zeph

Skrevet
Skrevet (endret)

Dette blir litt masse, men men

 

Svch0st Svch0st.exe

 

(???) Note :  the letter between the "h" and the "s" in the name of the file is a zero, not the letter "o".

 

You have one of the Backdoor.Graybird viruses.

Svchost (1) Svchost.exe

 

(Microsoft) Service Host – Generic Host Process for Win32 Services. Windows 2000/XP only.  SVCHOST is a generic process which acts as a host for processes that run from DLLs rather than EXEs. At startup SVCHOST checks the Services portion of the Registry to construct a list of DLL-based services that it needs to load, and then loads them.  There can be many instances of SVCHOST running, as there will be one instance of SVCHOST for every DLL-based service or grouping of services (the grouping of services is determined by the programmers who wrote the services in question).  Under Windows XP Professional you can find out what DLL-based services SVCHOST is running by typing Tasklist /SVC at a Command Prompt (MS-DOS Prompt – this command is not available in Windows XP Home), while under Windows 2000 you need to use the TLIST –s command from a Command Prompt (MS-DOS Prompt).

 

Recommendation :

An integral part of the operating system, leave alone – multiple instances of SVCHOST is a normal occurrence.  If you experience SVCHOST errors, the problem is most likely not with SVCHOST but with the DLLs it is hosting.

Svchost (2) SVCHOST.EXE

 

(???) Many viruses masquerade themselves as SVCHOST to escape detection.  Some have names that are similar, such as SCCHOST, while others actually drop a program file called SVCHOST in the Windows or Windows System directory.

 

Recommendation :

The first recommendation is a simple one :  always have a good antivirus product which is regularly updated (automatically preferably) and always renew your updates subscription when it expires.  To detect if you have a virus that calls itself SVCHOST, first see if it shows up in Starter – if it does, then it is almost certain you have a virus.  Secondly, if you have Windows 95/98/ME rather than WinNT4/2000/XP, then it is almost certain you have a virus.  Thirdly, go to "Control Panel \ Administrative Tools \ Services" and look for any of the following services – if you find any of them, then you probably have a virus :

 

System Important Message service

Svchost32 Svchost32.exe

 

( ???) You have a virus.  It may be one of the following viruses :  Backdoor.IRC.Zcrew, W32.HLLW.Deborms.C, W32.Mimail.J@mm, or the W32.Paylap.@mm virus which mimics a PayPal account renewal screen.  Note that there are other lesser known, or newer (!!) viruses which also show as a program called SVCHOST32.EXE.

 

http://www.answersthatwork.com/Tasklist_pages/tasklist_s.htm Her fant eg den.

Endret av zeph
Lenke til kommentar
Gnom2k3k

Gnom2k3k

Skrevet
Skrevet
En windowstjeneste.

Avlutter du den, så kommer du deg ikke ut på nettet.

Msblaster overbelaster gjerne denne prosessen slik at den bruker masse CPU.

:yes: Og til deg som sier at msblaster overbelaster.. :grin:

 

Du erke serlig smart.. :mrgreen: L0nner seg ofte og si hvilket msblaster virus du refererer til.. Saa folk har noe og gaa etter , nar det da finnes flere W32 / blaster virus.

Vel, du om det.

Skulle bare fortelle at det ikke var svchost.exe som var selve viruset.

Og at hvis vedkommende avluttet den prosessen, så ville han/hun miste kontakten med nettet.

 

Og ja, jeg vet det finnes mange utgaver av Msblaster.

Trenger ikke være ufin av den grunn.

Ufin kor? Og si at du ikke er serlig smart pga det er flere msblaster virus??

 

 

 

 

Saken her er og hjelpe fyren med problemer.. ikke skaffe flere.. Hvilket msblater virus er det? hvor finner jeg fix osv osv. Vist det l0d ufint saa beklager jeg det , men det var jo bare dumt gjort.. Og vise til et virus som har flere navn uttarter seg ikke bra. lissom offtopic her men.

Lenke til kommentar
Gnom2k3k

Gnom2k3k

Skrevet
Skrevet
Alt dette kommer av MSBlast viruset, og det gjør mye dritt, som blandt annet å shutte ned maskinen når det er på nett, ved at andre maskiner sender Remote Procedure Calls til den. Det du må gjøre er å få fjernet MBlast og alle de infiserte filene, innstallere en brannmur, og så å innstallere ALLE hotfixer (fra Windows Update).

 

Det MSBlast gjør er å scanne nettverk (som f.eks chello), som er sårbare og har dårlig sikkerhet, for usikrede maskiner. Deretter, når den finner en usikret maskin, forsøker den å uploade seg fra en infisert maskin til den nye maskinen. Deretter sender den RPC for shutdown, og så infiserer den kjerne-filer i Windows, som f.eks SVChost og Services.

 

Du må reinnstallere hele Windows hvis du ikke får fjernet de fra systemet.

Maa du faa fakta paa bordet for svarte f0r du begynner og svare paa ett inlegg som du tydlig vis ikke har peiling paa.. W32.MSBLAST er virus som RESTARTER maskina .. Han er plaget med et annet .. Nemlig et virus som stjeler bandvidde.

 

MSblast legger seg ikke og kj0rer svhoste.exe , det er bull .. fixblast fjerner det enkelt og greit..

 

 

PLEASE ha fakta paa bordet f0r du sender inn vedlegg? Dette blir bare kaos av..

 

 

det er ikke W32.MSBlast du er ute etter!!

 

Det er en annen orm.. Gjerne en av de zeph refererer til eller W32.Welchia.worm :yes:

Lenke til kommentar
Vanessa

Vanessa

Skrevet
Skrevet

Litt forbanna du, eller? Pot, meet kettle. Det er du som ikke vet du snakker om. :grumpy:

 

Du tror ikke konstant pinging, opplasting og nettverkssøk har noen effekt? Neivel. Hva med hidden remote shells hvor den bedriver DoS angrep og SYN floder, og uploads til andre maskiner den finner infisert med MSblast?

 

Nei vel ;)

Lenke til kommentar
Gnom2k3k

Gnom2k3k

Skrevet
Skrevet
Litt forbanna du, eller? Pot, meet kettle. Det er du som ikke vet du snakker om. :grumpy:

 

Du tror ikke konstant pinging, opplasting og nettverkssøk har noen effekt? Neivel. Hva med hidden remote shells hvor den bedriver DoS angrep og SYN floder, og uploads til andre maskiner den finner infisert med MSblast?

 

Nei vel ;)

Jau2k.. ;) Sorry da.. :grine: har ikke peil paa det viruset .. Men vet nok til at det ikke er det han har.. Han har nok Welchia ormen.. Noe som ligner paa msblast bare ikke den ufine rebootinga.. :cool:

Uansett .. Pot, meet kettle ??

 

At han har msblast tviler jeg 101% prosent paa !!

 

Men hva annet han vet jeg ikke :shrug:

 

 

Tror faktisk zeph har et poeng der.. :yes:

 

 

Anyways. sorry ok? :love:

Lenke til kommentar
snole

snole

Skrevet
Skrevet (endret)

Det er jo ikke selve MSblaster som utfører rebootinga da.

Grunnen til at maskinen rebootes hvis man har de første versjonene av MSblaster var at det var dårlig skrevet slik at den tok for mye ressurser og førte til at svchost.exe kræsjet.

De senere versjoner er vel antakelig bedre laget slik at du ikke får reboot syndromet.

 

If you experience SVCHOST errors, the problem is most likely not with SVCHOST but with the DLLs it is hosting.

 

Han med problemet burde kjøre en online virustest, og når viruset er borte, kjøre Windows Update ASAP. (Minimum kjøre alle kritiske oppgraderinger som ligger der).

Deretter burde han skaffe seg et bra virusprogram, og en brannmur.

Zonealarm er en grei brannmur, dog ikke anbefalt å bruke sammen med DC++ eller oDC.

Personlig foretrekker jeg Sygate Personal Firewall.

Mere muligheter med den, bla kan man kjøre active mode på DC. :o)

Endret av snole
Lenke til kommentar
Vanessa

Vanessa

Skrevet
Skrevet

1) Dytt inn en god brannmur (f.eks ZoneAlarm Pro), den har også gratis 30 dagers trial forøvrig.

2) Hent blast-remover fra Symantec, eller ennå bedre, invester i et godt antivirus programmet

3) Kjapp deg til Windows update site'n! Med 30 dager skulle det gå å laste ned alle hotfixene, hehe

 

Dette er først og fremst et problem med nye maskiner... som ikke er sikret mot RPC på port 135.

Lenke til kommentar
knokle_85

knokle_85

Skrevet
Skrevet

Er det ingen som får med seg at det IKKE dreide seg om blaster viruset her?! Det viruset han har fått er mest sannsynlig Win32.Worm.Welchia.A som er veldig likt viruset MsBlast. Welchia viruset utnytter det samme sikkerhetshullet som blaster, og prøver faktisk å slette blaster viruset hvis det allerede er tilstede på maskinen. Du kan enkelt undersøke om det er dette viruset du har, ved å se i mappen C:\winnt\system32\wins Hvis du finner en ubestemt Svchost.exe.ettellerannet +en annen fil i denne mappen har du fått viruset Win32.Worm.Welchia.A og finner en guide for å fjerne det her: Bitdefender

Hvis wins mappen er tom er det ikke welchia/natchi viruset du har....

Lenke til kommentar
Tjohei

Tjohei

Skrevet
Skrevet (endret)

Det er jo litt latterlig å krangle om hva slags virus det er, når trådstarter kan kjøre Symantec's helt gratis virussjekk som funker meget bra. Den vil helt sikkert klare å idenifisere viruset (hvis ikke viruset fukker opp internettforbindelsen da).

 

Ellers kan jeg nevne at jeg selv nylig hadde blast på maskinen min, og den lå som msblast.exe i taskmanageren, og den fikk maskinen min til å shutte ned etter ett minutt når jeg gikk på nettet (ISDN), hvilket ikke trådstarter nevner noe om. Men som sagt kan jo bare en virus sjekk avgjøre det her!

Endret av Tjohei
Lenke til kommentar
NilsJohan

NilsJohan

Skrevet
Skrevet

Jeg hadde et blaster virus for en stund siden (100% sikker på at det var det, fikk kjørt housecall og den fant det men kunne ikke fjerne det, fikk norton av en venn til slutt og fikk det vekk) og det tok bare opp båndbredde. Nå rebootet jeg manuelt hver gang internetten stoppet så det kan hende jeg ville rebootet senere pga viruset, men det blokkerte i hvert fall ISDNen min helt etter en 10-15 minutter. Jeg prøvde alt før jeg tenkte på at det kunne være virus. Kjørte så som sagt housecall og fikk det vekk til slutt. Hos meg kræsjet både SVChost.exe og services.exe etter hvert, fikk sånn feilmelding som er i w2k, this program has crashed bla bla. Det jeg merket meg når viruset begynte å sende seg selv videre eller hva pokker det gjorde var at uploaden min gikk gjennom taket så jeg ikke kunne gjøre noe annet.

 

Så ja, det KAN være blaster.

Lenke til kommentar
wil

wil

Skrevet
Skrevet

selv har jeg fire av akkurat denne filen. skal ikke være noe særlig problem egentlig. den bruker ikke ressurser i det hel tatt. har antagligvis noe med nett å gjøre for norton gir beskjed om at man har tillat at svchost.exe til å gå på nett. dette er ikke noe virus nei.

 

for de som lurte på det: hvis man har msblast innabors så kommer disse filene opp i oppgavebehandlingen:

 

msblast.exe

og

penis.exe

sistnevnte er jeg ikke helt sikker på men uannsett de ligger på harddisken hvis man har viruset.

selv har jeg hatt msblast jeg også. var sånn at det kom opp en melding der det stod at maskina ville restarte om 60 sek. når jeg slo av maskina etterpå å slo på maskina igjen så gikk alt mye bedre. da var viruset borte.

Lenke til kommentar
  • 2 uker senere...

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...