Kde se nesmí objevit škodlivý proces?

[mmmartin]

Na stránkách http://www.lafn.org/webconnect/mentor/startup/PENINDEX.HTM se lze poučit o škodlivosti různých potvor. U řady z nich je uvedena následující poznámka:

Note - this is not the legitimate svchost.exe process which should NOT appear in Msconfig/Startup!

, na kterou moje angličtina nestačí - resp stačí, ale výsledek překladu mi nic neříká (toto není legitimní svchost.exe proces, který se nesmí objevit Msconfig/Startup!) Nějak z týhle věty nedovedu poznat, co se vlastně kde nesmí objevit, resp. objevení se čeho kde znamená , že se jedná o vir.

[Reklama]

[Jidhash]

existuje pár potvor, které se právě za svchost.exe vydávají ( např.místo písmene o mají 0 apod ), takže nejspíš mají na mysli tyto nelegitimní viry

[mmmartin]

To je mi jasný, jde mi spíš o to, co se snaží sdělit jejich poznámka. Konkrétně: Když se svchost.exe objeví v Msconfig/Startup, je to špatně?
(jejich poznámka praví, že se tam nesmí objevit, ale příliš jasně nesděluje, co se tam nesmí objevit.

[mijaja]

Velmi zajímavá otázka, ale podle toho, co vlastně svchost.exe činí bych řekl, že by se v startovací frekvenci objevit měl. Při spouštění služeb Windows, které má svchost na starosti je například standart HID pro optické myši, síťové připojení, systémový čas, správce logických disků, systémový zvuk - veškeré dynamické knihovny, atd. Asi vše, co nabíhá se samotným startem. Anebo je to jak s Velkým třeskem a důležitá pro msconfig je jen první vteřina? Takže se možná mýlím a chtělo by to rozpitvat soubor msconfig, aby ukázal co v něm je. V každém případě legální svchost.exe soubor se nachází ve složce C:/Windows/System32. Jakékoliv jiné umístění znamená nákazu. Takže asi jsem ti přesně neodpověděl, ale zase je otázka, co je to přesně Startup - jestli kompletní start, nebo jen syntaxe nejprvnějších příkazů???

Co o tom říká velká Bill - bohužel zase v angličtině.

Tady jsem našel jeden článek:
cituji:
Po aktivaci viru se zkopíruje do adresáře Windows/StartUp/Svchost.exe (5632 bytů), tím si zajistí neustálé spouštění i po restartu. Snaží se útočníkovi poslat emailem IP adresu napadeného PDA a opakuje tak, dokud neuspěje. Otevírá TCP port 2989 a čeká na instrukce útočníka, ten může například uploadovat či stahovat libovolný soubor. To by mohlo být to zobrazení svchostu v StarUpu.

A tady se zas píše (odstavec Start systému):
Winlogon.exe (Přihlašovací proces)

Zobrazuje hlášení „Windows is starting up…“. V tuto chvíli již systém přejde do plně grafického režimu.
Spustí správce služeb services.exe (Service Control Manager - SCM), který začne spouštět jednotlivé služby. Služby jsou pak vedeny jako procesy svchost.exe a běží bez přihlášení uživatele... Zase náběh při startu .

Ale to jsem se moc rozepsal, asi to bude na mikelovi - přece jen umí na rozdíl ode mne anglicky.

[mmmartin]

V každém případě legální svchost.exe soubor se nachází ve složce C:/Windows/System32. Jakékoliv jiné umístění znamená nákazu.

To do značné míry odpovídá na moji otázku.
A pro doplnění: ta nepříliš jasně formulovaná věta (Note - this is not the legitimate svchost.exe process which should NOT appear in Msconfig/Startup!) je uvedena asi u třetiny všech procesů, o kterých se na výše zmíněných stránkách píše, zdaleka ne jen u svchost.exe. Osobně si ji vysvětluju takhle: proces *.exe má dvě možnosti: buď se v Msconfig/Startup vyskytuje, nebo ne. Pokud se tam vyskytuje, je to dobře, pokud se vyskytuje někde jinde, je to nákaza. Druhý možný výklad lze odvodit záměnou slov dobře a nákaza. A teď jde o to, která z těch variant platí.

[mmmartin]

Stránky http://www.sysinfo.org/startuplist.phpjsou poněkud sdílnější a jasně fomulují:

Note - this is not the legitimate svchost.exe process which is always located in the System (9x/Me) or System32 (NT/2K/XP) folder and should not normally figure in Msconfig/Startup!

.
A je jasno!

[mijaja]

Budeme-li to brát takhle, tak složka Windows/system32 by měla jít na řadu až po kořenové složce Windows (a všech těch *.ini souborech), takže jako druhý sled. Když jsem se díval do všech programů, které mám nainstalované a které dokážou zobrazit startovací soubory a běžící procesy (mimo jiné i Spybot, MSAntiSpyware, WinPatrol a i ten vlastní msconfig) všude svchost v startovací sekvenci neběží - objevuje se až v běžících procesech. Takže od nynějška můj názor je svchost při startu viděti - okamžitě mazati!

[mikel]

...asi to bude na mikelovi - přece jen umí na rozdíl ode mne anglicky.

Jidhash už mi dneska říkal, že se tady na mě čeká.
Ale jak vidím, tak jste k řešení dorazili než jsem se stačil podívat.
Doslovný překlad, jak napsal mmmartin v prvním příspěvku je trochu matoucí, ale znamená to přesně to, že proces svchost.exe se nesmí objevit v msconfigu. Jestli ho tam najdete, jedná se o škodlivinu (trojana).
Obecně řečeno všechny procesy, jejichž vlastník je SYSTEM, LOCAL SERVICE nebo NETWORK SERVICE se nesmí objevit v msconfig! Zobrazí se tam jenom procesy s vlastníkem uživatel.
Můžete si to zkontrolovat porovnáním Správce úloh a msconfigu.