, na kterou moje angličtina nestačí - resp stačí, ale výsledek překladu mi nic neříká (toto není legitimní svchost.exe proces, který se nesmí objevit Msconfig/Startup!) Nějak z týhle věty nedovedu poznat, co se vlastně kde nesmí objevit, resp. objevení se čeho kde znamená , že se jedná o vir.Note - this is not the legitimate svchost.exe process which should NOT appear in Msconfig/Startup!
Kde se nesmí objevit škodlivý proces?
- mmmartin
- Moderátor
-
Elite Level 10
- Příspěvky: 9504
- Registrován: srpen 04
- Bydliště: Praha
- Pohlaví:
- Stav:
Offline
Kde se nesmí objevit škodlivý proces?
Na stránkách http://www.lafn.org/webconnect/mentor/startup/PENINDEX.HTM se lze poučit o škodlivosti různých potvor. U řady z nich je uvedena následující poznámka:
- mijaja
- Tvůrce článků
-
Level 6.5
- Příspěvky: 4136
- Registrován: září 05
- Bydliště: Zlín
- Pohlaví:
- Stav:
Offline
- Kontakt:
Velmi zajímavá otázka, ale podle toho, co vlastně svchost.exe činí bych řekl, že by se v startovací frekvenci objevit měl. Při spouštění služeb Windows, které má svchost na starosti je například standart HID pro optické myši, síťové připojení, systémový čas, správce logických disků, systémový zvuk - veškeré dynamické knihovny, atd. Asi vše, co nabíhá se samotným startem. Anebo je to jak s Velkým třeskem a důležitá pro msconfig je jen první vteřina? Takže se možná mýlím a chtělo by to rozpitvat soubor msconfig, aby ukázal co v něm je. V každém případě legální svchost.exe soubor se nachází ve složce C:/Windows/System32. Jakékoliv jiné umístění znamená nákazu. Takže asi jsem ti přesně neodpověděl, ale zase je otázka, co je to přesně Startup - jestli kompletní start, nebo jen syntaxe nejprvnějších příkazů???
Co o tom říká velká Bill - bohužel zase v angličtině.
Tady jsem našel jeden článek:
cituji:
Po aktivaci viru se zkopíruje do adresáře Windows/StartUp/Svchost.exe (5632 bytů), tím si zajistí neustálé spouštění i po restartu. Snaží se útočníkovi poslat emailem IP adresu napadeného PDA a opakuje tak, dokud neuspěje. Otevírá TCP port 2989 a čeká na instrukce útočníka, ten může například uploadovat či stahovat libovolný soubor. To by mohlo být to zobrazení svchostu v StarUpu.
A tady se zas píše (odstavec Start systému):
Winlogon.exe (Přihlašovací proces)
Zobrazuje hlášení „Windows is starting up…“. V tuto chvíli již systém přejde do plně grafického režimu.
Spustí správce služeb services.exe (Service Control Manager - SCM), který začne spouštět jednotlivé služby. Služby jsou pak vedeny jako procesy svchost.exe a běží bez přihlášení uživatele... Zase náběh při startu .
Ale to jsem se moc rozepsal, asi to bude na mikelovi - přece jen umí na rozdíl ode mne anglicky.
Co o tom říká velká Bill - bohužel zase v angličtině.
Tady jsem našel jeden článek:
cituji:
Po aktivaci viru se zkopíruje do adresáře Windows/StartUp/Svchost.exe (5632 bytů), tím si zajistí neustálé spouštění i po restartu. Snaží se útočníkovi poslat emailem IP adresu napadeného PDA a opakuje tak, dokud neuspěje. Otevírá TCP port 2989 a čeká na instrukce útočníka, ten může například uploadovat či stahovat libovolný soubor. To by mohlo být to zobrazení svchostu v StarUpu.
A tady se zas píše (odstavec Start systému):
Winlogon.exe (Přihlašovací proces)
Zobrazuje hlášení „Windows is starting up…“. V tuto chvíli již systém přejde do plně grafického režimu.
Spustí správce služeb services.exe (Service Control Manager - SCM), který začne spouštět jednotlivé služby. Služby jsou pak vedeny jako procesy svchost.exe a běží bez přihlášení uživatele... Zase náběh při startu .
Ale to jsem se moc rozepsal, asi to bude na mikelovi - přece jen umí na rozdíl ode mne anglicky.
- mmmartin
- Moderátor
-
Elite Level 10
- Příspěvky: 9504
- Registrován: srpen 04
- Bydliště: Praha
- Pohlaví:
- Stav:
Offline
V každém případě legální svchost.exe soubor se nachází ve složce C:/Windows/System32. Jakékoliv jiné umístění znamená nákazu.
To do značné míry odpovídá na moji otázku.
A pro doplnění: ta nepříliš jasně formulovaná věta (Note - this is not the legitimate svchost.exe process which should NOT appear in Msconfig/Startup!) je uvedena asi u třetiny všech procesů, o kterých se na výše zmíněných stránkách píše, zdaleka ne jen u svchost.exe. Osobně si ji vysvětluju takhle: proces *.exe má dvě možnosti: buď se v Msconfig/Startup vyskytuje, nebo ne. Pokud se tam vyskytuje, je to dobře, pokud se vyskytuje někde jinde, je to nákaza. Druhý možný výklad lze odvodit záměnou slov dobře a nákaza. A teď jde o to, která z těch variant platí.
- mmmartin
- Moderátor
-
Elite Level 10
- Příspěvky: 9504
- Registrován: srpen 04
- Bydliště: Praha
- Pohlaví:
- Stav:
Offline
Stránky http://www.sysinfo.org/startuplist.phpjsou poněkud sdílnější a jasně fomulují:
A je jasno!
.Note - this is not the legitimate svchost.exe process which is always located in the System (9x/Me) or System32 (NT/2K/XP) folder and should not normally figure in Msconfig/Startup!
A je jasno!
- mijaja
- Tvůrce článků
-
Level 6.5
- Příspěvky: 4136
- Registrován: září 05
- Bydliště: Zlín
- Pohlaví:
- Stav:
Offline
- Kontakt:
Budeme-li to brát takhle, tak složka Windows/system32 by měla jít na řadu až po kořenové složce Windows (a všech těch *.ini souborech), takže jako druhý sled. Když jsem se díval do všech programů, které mám nainstalované a které dokážou zobrazit startovací soubory a běžící procesy (mimo jiné i Spybot, MSAntiSpyware, WinPatrol a i ten vlastní msconfig) všude svchost v startovací sekvenci neběží - objevuje se až v běžících procesech. Takže od nynějška můj názor je svchost při startu viděti - okamžitě mazati!
mijaja píše:...asi to bude na mikelovi - přece jen umí na rozdíl ode mne anglicky.
Jidhash už mi dneska říkal, že se tady na mě čeká.
Ale jak vidím, tak jste k řešení dorazili než jsem se stačil podívat.
Doslovný překlad, jak napsal mmmartin v prvním příspěvku je trochu matoucí, ale znamená to přesně to, že proces svchost.exe se nesmí objevit v msconfigu. Jestli ho tam najdete, jedná se o škodlivinu (trojana).
Obecně řečeno všechny procesy, jejichž vlastník je SYSTEM, LOCAL SERVICE nebo NETWORK SERVICE se nesmí objevit v msconfig! Zobrazí se tam jenom procesy s vlastníkem uživatel.
Můžete si to zkontrolovat porovnáním Správce úloh a msconfigu.
Znáte pravidla?
Tipy a triky ve Windows XP
Návody: HijackThis, MWAV, CCleaner (THX to mijaja)
Problémy, které chcete vyřešit pište sem do fóra. Neposílejte je emailem ani po ICQ!
Tipy a triky ve Windows XP
Návody: HijackThis, MWAV, CCleaner (THX to mijaja)
Problémy, které chcete vyřešit pište sem do fóra. Neposílejte je emailem ani po ICQ!
Zpět na “Viry, antiviry, firewally…”
Kdo je online
Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 2 hosti