не пойму , откуда он берется.
servicehost это вообще системная программа являющаяся частью Windows,
но в данном случае у меня вирус, маскирующийся под нее.

симптомы - очень медленно работает интернет. запуск любого браузера занимает минуту или больше.
запустил аваст - он обнаруживает запросы со стороны servicehost.exe на какие-то левые сайты. но он его не лечит, только обнаруживает активность и блокирует попытки залезть в сеть

запустил drweb cureit , он нашел несколько вирусов в разных местах (в основном в папках temporary internet files) , удалил их но после перезагрузки эта гадость опять появляется.
как избавиться от него раз и навсегда ?

зы. в системе может быть несколько процессов под именем servicehost,
это нормально.
тот из них, который вирусный, запущен от имени пользователя (в моем случае Viktor), системные же запущены от лица специального аккаутна NT_Authority или network service

не пойму , откуда он берется.
servicehost это вообще системная программа являющаяся частью Windows,
как избавиться от него раз и навсегда ?


servicehost это неизвестно что, частью винды является процесс svchost.exe

Единственный действенный способ избавится от вирусов, вылезающих неизвестно откуда:

1) ВСЕГДА устанавливать ВСЕ обновления на винду, даже на Internet explorer (независимо от того пользуетесь им или нет)
2) Нормальный антивирус (к слову..Avast это НЕ нормальный антивирус) который ПОСТОЯННО обновляется

И никаких проблем с вирусами НИКОГДА не будет

http://virusinfo.info/

Хороший сайт,скачайте пару утилит(AVZ и ещё одна)Там всё написано,что да как,и там вам помогут.

Впринципе можно поставить Norton, он лечит почти все. В крайнем случае удаляет. Однако он и ресурсов не слабо кушает. Как указал Garikk - это действительно маскировочный файл, скорее всего дублируется он многоразово и копии постоянно размножаются, хаотично перемещаясь по жесткому диску. Размножаться могут через порно-сайты, сомнительные сайты с файлами МР3, торрент-треккеры и т.п.

Согласен, что AVAST - довольно слабый антивирус и должной защиты не обеспечивает.

Попробуйте его удалить, а потом сразу после удаления создать папку с таким же именем. У меня такая же хрень была, только называлась netprotocol.exe

А если это банальное желание установленных программ обновиться или слить статистическую информацию, что тогда лечить, это не вирус однако.

Если есть возможность, можно прожечь LiveCD / LiveUSB винду с антивирусом и загрузится с него, и вылечить нормально

Можно воспользоваться kaspersky rescue disk (http://support.kaspersky.ru/viruses/rescuedisk)

Единственный действенный способ избавится от вирусов, вылезающих неизвестно откуда:

1) ВСЕГДА устанавливать ВСЕ обновления на винду, даже на Internet explorer (независимо от того пользуетесь им или нет)
2) Нормальный антивирус (к слову..Avast это НЕ нормальный антивирус) который ПОСТОЯННО обновляется

И никаких проблем с вирусами НИКОГДА не будетЯ бы не стал такого утверждать. :) Во-первых, что такое "нормальный антивирус"? Во-вторых, ВСЕ антивирусы хорошо распознают уже известные вредоносные программы, т.е. обновления выпускаются уже после вспышки эпидемии. Быстро, оперативно, но после. Эвристические анализаторы пока слабоваты. Так что шанс ухватить заразу всегда есть. На мой взгляд, лучше пользоваться операционками, под которые существует мало вирусов, хотя бы для серфинга.

Во-первых, что такое "нормальный антивирус"?

Ну это конечно моё imho, просто я очень часто встречал пользователей с авастом у которых при этом на компьютере настоящий зверинец был... плюс один раз боролся с эпидемией sasser в конторе где везде стоял аваст...эта дрянь верещала о вирусах ничего при этом не предпринимая, даже если компьютер от сети отключить...на кой оно надо такое? Ни с нодом, ни с симантеком (редкостая дрянь, но работает хорошо особенно в крупных организациях)

Во-вторых, ВСЕ антивирусы хорошо распознают уже известные вредоносные программы

Вероятность попасть на именно самый-самый свежий вирус довольно невелика, если конечно целенаправленно не лезть в рассадник разной дряни и не запускать всё подряд.

На мой взгляд, лучше пользоваться операционками, под которые существует мало вирусов, хотя бы для серфинга.

Различие эргономики этих ОС слишком велико чтобы переходить на них только из-за вирусов. чтобы не говорили адепты красноглазой ОС...винда дома это самый оптимальный вариант, как ни крути

P.S. Постоянно юзаю Win7 на компе и Убунту на ноуте...постоянно ловлю себя на том что через rdp подключаюсь с ноута на домашний комп чтобы в интернете посидеть...хотя FFox вроде одинаковый должен быть...ан нет...всёравно какаято неуловимая разница есть

аlexcat, ты предлагаешь всем ставить убунту?
Поддерживают второй пост в теме Garikk'а.
Сам пользуюсь то Нортоном то Доктором вэбом. ( когда надоест один убираю, ставлю другой ). Лично это мои фаворити.
Так же нужно еще провайдера об этом спрашивать. У моего стоит защита + стоит фаервол ( у меня ) COMODO ( на мой взгляд лучший). И вот 3 месяца ни одного антивира, вчера поставил нортона. Нашел 52 кряка :D, 3 трояна каких-то, одного червя. И это на 4тб информации.

P.S. Постоянно юзаю Win7 на компе и Убунту на ноуте...постоянно ловлю себя на том что через rdp подключаюсь с ноута на домашний комп чтобы в интернете посидеть...хотя FFox вроде одинаковый должен быть...ан нет...всёравно какаято неуловимая разница есть

количество вирусов под линукс ничтожно мало по сравнению с виндой,
и не только из-за "непопулярности" этой ОС
дело в том что в Винде "обычный" юзер имеет админские привилегии , а в линуксе нет

зы. процесс все же svchost, я ошибся в названии
это системный файл и удалить его нельзя как выше советовали , просто вирус к нему "прицепился" в рантайме (видимо как подгружаемая dll)

А если это банальное желание установленных программ обновиться или слить статистическую информацию, что тогда лечить, это не вирус однако.

svchost не является обновляемой программой, поэтому обновлять он ничего не должен по определению.
это служебный процесс предназначенный для запуска системных сервисов в виде DLL, не имеющих собственного запускаемого .exe файла

соответственно, вирус может "залезть" в одну из этих dll (или создать что-то новое), и запустить ее от имени этого процесса (что видимо и имеет место быть)

...везде стоял аваст...эта дрянь верещала о вирусах ничего при этом не предпринимая...Все-таки верещала! Потом, предпринимать что-то или нет - зависит от настроек.Ни с нодом, ни с симантеком ...редкостая дрянь...И то дрянь, и это... Так какой антивирус хорош? :D

Вероятность попасть на именно самый-самый свежий вирус довольно невелика, если конечно целенаправленно не лезть в рассадник разной дряни и не запускать всё подряд.Согласен. А с остальными даже avast справится.


Различие эргономики этих ОС слишком велико чтобы переходить на них только из-за вирусов. чтобы не говорили адепты красноглазой ОС...винда дома это самый оптимальный вариант, как ни крутиОтчасти согласен (я к адептам не отношусь и бОльшую часть времени сижу под ХР), но здесь стоит сопоставить усилия на борьбу с вирусами с усилиями на поиск ярлычка Огнелиса в непривычной (сначала) обстановке рабочего стола.

...постоянно ловлю себя на том что через rdp подключаюсь с ноута на домашний комп чтобы в интернете посидеть...Ой, мама! :crazy:

аlexcat, ты предлагаешь всем ставить убунту?
Почему обязательно Убунту? Выбор большой. :) А если серьезно, я ничего не предлагаю, каждый сам волен выбирать.

дело в том что в Винде "обычный" юзер имеет админские привилегии , а в линуксе нетНе совсем верно. В винде пользователь по умолчанию - админ, а "обычного" еще нужно создать. А в той же Убунту root'а изначально вообще нет, его нужно активировать, и даже после этого войти в систему как root нельзя, можно только выполнять команды от его имени (su, sudo).

Переставь винду и завязывай с сомнительными сайтами.

и даже после этого войти в систему как root нельзя, можно только выполнять команды от его имени (su, sudo).

таки можно если очень захотеть :)
sudo su
;)

количество вирусов под линукс ничтожно мало по сравнению с виндой,
и не только из-за "непопулярности" этой ОС
дело в том что в Винде "обычный" юзер имеет админские привилегии , а в линуксе нет

Это весомая причина, но не основная, основная в том что пользователь неглядя тыкнет "ok" (в виндовом UAC) или введёт пароль на повышение привелегий в линухе, если программа вдруг его попросит.

Основная причина в винде - отсутствие привычки ставить обновления на систему, линух приходится обновлять часто т.к. он устроен по другому т.к. имеет очень много зависимостей внутри себя...и живых эксплойтов поэтому меньше и срок жизни вирусов (а они вообще существуют?) минимален т.к. единовременное существование большого количества систем под Linux с одной и тойже уязвимостью маловероятно.
....А некоторые до сих пор не хотят "по принципиальным сображениям" SP3 на XP ставить...

Можно обложится антивирусами, но через незакрытую уязвимость вирь всёравно пролезет.

Как в примере с авастом, он верещал что не только вирус нашёл но и вылечил его. причём с периодичностью раз в 10 сек. (мой минус для аваста в том что он не остановился после перекрытия источника заражения->отключение компа от сети)

У меня на прошлой работе, когда проходил аудит ИТ безопасности, очень классно показали как взламывается корпоративная сеть. в линухе достаточно не поставить последнее обновление например на ssh и через 10 минут усиленной работы спец.софта (которым проводили аудит) и полный root доступ к системе.
С виндой совершенно аналогичная ситуация.

таки можно если очень захотеть :) sudo su ;)Хм, действительно...

...введёт пароль на повышение привелегий в линухе, если программа вдруг его попросит.Если он его знает.

Garikk, не поверишь, до прихода 3 года назад на новое место работы, на шлюзе стояла Suse 9, и все прекрасно работало и не обновлялось ~1,5-2 года. Пришлось прыгать сразу на 11.0.
Awaken, покажи, плиз, хоть один деструктивный вирус под никсы, жутко интересно стало.
Топикстартеру, вытащи KAV rescue disk или Нод, или DrWeb аналоги и нормально прочисть систему. Кстати, у каспера есть и восстанавливающие утилиты после деструктивных действий вирусов.

svchost не является обновляемой программой, поэтому обновлять он ничего не должен по определению.
это служебный процесс предназначенный для запуска системных сервисов в виде DLL, не имеющих собственного запускаемого .exe файл...Вот я тебе про что и говорю, любая программа, установившая службу регулярного обновления породит очередной юзерский или системный svchost.

Garikk, не поверишь, до прихода 3 года назад на новое место работы, на шлюзе стояла Suse 9, и все прекрасно работало и не обновлялось ~1,5-2 года.

это до поры до времени, пока контора по принципу индейца джо работает

Прекрасно все работать будет и на более старом софте...и на nt4 и на NetWare и os/2 опасность не в стабильности, а в устойчивости к проникновению.

Все делается просто даже админских прав не надо:

1) Сотруднику организации отправляется файлик с самописным эксплойтом (который гарантировано не поймается антивирем) с дибильнм описанием стиле: запусти и будет круто
2) сотрудник запускает - выкачиваем из интернета троянца
3) запускаем троянца - тыкаем в шлюз ИЗНУТРИ по известным дырам
4а) получаем рут на шлюзе - открываем наружу порт
4б) допустим шлюз закрыт -ищем всю сеть на наличие дырок - получаем доступ там и оттуда пытаемся найти выход в подсеть с серверами далее п.4а
5) кидаем мост наружу и вуаля...
---
и это делается автоматом, есть спец.наборы софта для проверки которым безопастники пользуются...
--
еще раз говорю, я был поражен результатами аудита ИТ при том что у нас была очень сложная и закрытая в т.ч. изнутри сеть с жестким разделением прав доступа... вскрыть могут чутьли не через NTP

по теме
процесс експлорером обнаружил что за дочерний процесс прицепился к svchost,
и нашел вот это

C:\Documents and Settings\viktor.VIKTOR-DEV\Start Menu\Programs\Startup\2mrew7j6b.exe

но при попытке удалить из консоли, винда говорит что такого файла нет
видимо это руткит какой-то, он есть но не виден.
как его прибить?

Его и в самом деле там нет. При запуске системы он распаковывается из другого места по указанному пути, загружается в ОЗУ и уничтожается. Причем имя файла при каждом запуске может быть разным. Рекомендую очистить все папки типа Temp в Documents and Settings, обычно там зараза сидит.

Модульный вирус... такое дерьмо может вшиться в тело любого файла и выскакивать как чОрт из табакерки при каждой загрузке, отыскивать такие финты чрезмерно затратно по времени и бесполезно для опыта, в следующий раз будет другая схема его работы и не факт, что удалишь за несколько часов кропотливой работы всю гадость.

Наиболее быстрое и эффективное решение - выстрел бронебойным из танка, т.е. перезапись раздела C из эталонного образа уже настроенной ОС, но обычно этот образ не делают и главное - привычка никогда не сохранять настройки программ и любые важные данные на Це вырабатывается годами...

Модульный вирус... такое дерьмо может вшиться в тело любого файла...Какие мне попадались, прятались в "левых" файлах даже порой без расширения.
...но обычно этот образ не делают и главное - привычка никогда не сохранять настройки программ и любые важные данные на Це вырабатывается годами...Я делаю... И данные храню на D:... Или на внешних дисках... :o

Мне больше везло на системные, естественно включая файлы в дллкаше (dllcache), когда практически все перезатер под PE оригиналами и думал, что победил - оно опять вылезло, полдня в .... с тех пор я сразу танк выкатываю, получается быстро (10 минут вместе с перекуром) и нервы при этом ровные и шелковистые =)).

Кстати про дллкашу, она у меня уже давно пустая, иногда попадались экземпляры, которые создавали в пустой папке копию зараженного файла, видимо предполагая перезапись резервного, чем себя палили, но не все вири этого класса такие "глупые".

.....привычка никогда не сохранять настройки программ и любые важные данные на Це вырабатывается годами...
Золотые слова. Я своих 170 юзеров за 3 года уже к этому приучил.

Скачай Kaspersky Internet Security 2012 (http://www.kaspersky.ru/kis-trial) и проверь комп. Также можно подозрительные файлы проверять через KSN (Kaspersky Security Network (http://support.kaspersky.ru/kav2012/tech?qid=208640883))

Авакян.
Вот решение, так как в своё время с таким го*ном сталкивался не раз. И доходило до того что переустанавливал ОС 2х в день.

Поставь себе АВАСТ. И запланируй сканирование до загрузки винды.

Дрянь найдёт и угробит на 99%. А может и ещё какой хрени найдётся, которая скрывается в системном трее и при рабочей ОС её не видит некто (даже "самй круто из крутых антивирусов") Потому что не у одного я не видел функции сканировать до загрузки системы...

Должен предупредить, что есть возможность что эта процедура тебе грохнет ОС, так как Аваст не побоится грохнуть системные файлы, и винда сопротивляться не будет, она ещё не загружена будет в тот момент.

Действуй))

я уже все антивирусы испробовал. Аваст оказался бесполезен, DrWeb cureIt тоже.
вылечил установив триальную версию NOD32, и то не до конца - строка запуска вирусного процесса осталась в реестре, мне пришлось ее вручную удалять

Есть довольно крутая утилита UVS 371 например. Чем новее версия тем лучше, понятное дело. А на ютубе куча видосов о том как с ней работать, да и так инструкций полно

сканировать до загрузки системы...
Не верю. Для запуска аваст, нужен запуск системы.
Всё равно что локомотив придумали раньше чем рельсы.

Сканировать винду только в безопасном режиме, без подключения к интернету, если не хотите, чтобы твари было еще больше.

Сканировать винду только в безопасном режиме, без подключения к интернету, если не хотите, чтобы твари было еще больше.
Толку от этого безопасного никакого почти, ибо он убирает автозагрузку, и службы. А вирусы которые так открыто сидят видно и просто глазами. Самое идеальное это чистить запустившись с лайв сиди какого нить.

Не верю. Для запуска аваст, нужен запуск системы.
Всё равно что локомотив придумали раньше чем рельсы...Подожди, скоро дойдет до того, что в рекламе антивирусов будут писать - Сканирует до включения компьютера, из батарейки BIOS! :D

Только каким наивным лохом нужно быть, чтобы в эту рекламу поверить...
Вобщем вывод один, юзать Acronis True Image, бэкапы и ещё раз бэкапы :).

А что такого?

Специальная антивирусная батарейка для вашего компьютера!

- защищает BIOS в режиме реального времени.
- сканирует и удаляет вирусы со всех подключенных устройств, включая жесткие диски и съемные накопители.
- не требует настроек.
- не занимает системные ресурсы.
- ежеминутное обновление вирусной базы через электросеть (включать компьютер не требуется, достаточно только подключить вилку к сети).
- устанавливается взамен обычной батарейки.
- срок эксплуатации 4-5 лет.

Особенности: сканирование и удаление вирусов производится при установленной батарейке, при отключенном компьютере, поэтому не требуется какая-либо настройка и какой-либо интерфейс.

100% гарантия защищенности вашего компьютера!

Цена со скидкой всего 1500 руб, что значительно дешевле лицензий на антивирусные программы за период эксплуатации, при заказе двух штук - третья бесплатно!!!

:D :D :D

при заказе двух штук - третья бесплатно!!!
Не, не, не!! Видел такой прикол:

При заказе 2-х штук, третью вы получаете за 50% от суммы покупки!

нашел че за гавно у меня сидит
под видом сервиса живет какой-то троян, пытающийся что-то куда-то писать (предположительно логгер ворующий пароли)
при раскрытии в процесс эксплорере сидит ссылка на igfxtray.exe
вообще-то это имя программы управления драйвером графики интел, но у меня в машине нет графики интел, у меня нвидия, значит это вирус!
такого файла по означенному пути также не существует.
при убивании процесса svchost.exe с вирусом он самозапускается снова... не могу найти токуда он изначально берется, hijackthis нчиего не нашла

NOD32 опознает его как Carberp/AD/Trojan но удалить не может

Самое идеальное это чистить запустившись с лайв сиди какого нить.
Вот! Вот!!!

удалил с помощью DrWeb CureIt, причем помогла только перезагрузка в Safe mode иначе этот вирус не удалить

Не верю. Для запуска аваст, нужен запуск системы.
Не всей. Примерно также происходит проверка системного раздела утилитой проверки диска.

Не всей
Но нужен же. А вдруг эта зараза сидит именно в том что запускается?

А вдруг эта зараза сидит именно в том что запускается?Тогда, конечно, нужна проверка с livecd или liveusb.

Не верю. Для запуска аваст, нужен запуск системы.
Всё равно что локомотив придумали раньше чем рельсы.


Ну Локомотив дэ трэвика катался по тому что мы сейчас с трудом можем назвать рельсом...

А что до Аваста. Запусти и посмотри... Есть настройка "сканирование до загрузки системы". Он реально не даёт прогрузится винде полностью и рыскает по ней до загрузки. И при этом если он что найдёт, можно это вручную удалить. При системных файлах он будет пугать что система может сдохнуть, но никто ему не помешает удалить системные файлы. Несколько раз уже так систему убивал, когда вирусы нападали...

Кстати по поводу последнего сообщение. Есть допуск ко всей системе)))

...никто ему не помешает удалить системные файлы.Никто, кроме пользователя.

я уже все антивирусы испробовал. Аваст оказался бесполезен, DrWeb cureIt тоже.
вылечил установив триальную версию NOD32, и то не до конца - строка запуска вирусного процесса осталась в реестре, мне пришлось ее вручную удалять

Для проверки отдельных файлов очень удобно пользоваться он-лайн сканером http://virusscan.jotti.org/ru
он проверяет всеми антивирусами сразу.

Мда....

http://i068.radikal.ru/1110/90/bee33af79235t.jpg (http://radikal.ru/F/i068.radikal.ru/1110/90/bee33af79235.jpg)

P.S. улыбнул антивир икарус))))