svchost.exe + net send, Что за глюки? Опции

[Moonwalker]

Итак... Проблема эта мучает уже очень давно...
Насколько я понял, это новый вариант спама, который шлет рекламные сообщения через обыкновенный net send...
Периодически появляется окно системного сообщения, говорящее всякую лабуду, типа комп заражен до не могу, зайдите на сайт "ввв.щамытебяхакнем.ком", откуда можно скачать н и т.д. и т.п.
Текст сообщения периодически меняется, как и адреса, которые советуют посетить...

Вопросы:

1. За что вообще отвечает svchost.exe, если учесть, что все через него лезет?
2. Почему в диспетчере задач у меня висит аж четыре svchost.exe?
3. Почему Outpost в списке приложений показывает два svchost.exe? Причем, адреса у них различаются всего одним лишним слешем:
c:/windows/system32/svchost.exe
c:/windows/system32//svchost.exe - это что за адрес такой???
4. Как от всего этого избавиться? Файрвол не справляется, потому как сообщения долбятся в порт 1026 (UDP) с разных айпи. Приходится каждое отключать вручную!!! Если полностью заблокировать svchost.exe, то инет перестает работать окончательно!!!

Могу выложить список айпи, откуда ломятся, если кому интересно )))

Помогите чайнику

ЗЫ. Кстати, в списке приложений Аутпоста "двойных" программ с разницей в адресе в один слеш несколько... Что это, вирусы? Антивирус их не видит!!! Но остальные никакой активности не проявляют!!!

[Brutall]

Я в этом не специалист, но вот что могу сказать. ИМХО скорее всего у тебя какой-нибудь червь засел, или типа того. Рекомендую переставить Винду (почитай на моём сайте статейку про настройку Windows XP http://www.brutall.chernyahovsk.com/winxp.html , может там что полезное вычитаешь.
После переустановки вешай в автозагрузку антивирус, которому регулярно обновляй базы, и фаервол. Поставь XP AntiSpy, тоже много чего полезного там увидишь.
Полагаю, лечит твою Винду если и плучится, то будет крайне напряжно.

1. За что вообще отвечает svchost.exe, если учесть, что все через него лезет?

Сам не понимаю. Это процесс держит кучу служб, от Интернетных до Windows Audio, поэтому их так много в панели задач. Посмотрел в одной смотрелке - это svchost.exe подгружает кучу DLL-ок. У меня их четыре - и каждый разного размера, то есть каждый отвечает за что-то своё, поэтому очень сложно сказать, что это вообще такое.

В общем, ИМХО бороться с этим бесполезно, переставь маздай и просто настроой его сразу по-человечески. Кстати, у меня фаер Касперского стоит, пока же жалуюсь, не то что на Zone Alarm, который пропускал всё что только можно. Насчёт Аутпоста не знаю, если он у тебя новый, то может достаточно надёжный, а если старый, типа версии 2.0, то можешь его выкинуть.

[Moonwalker]

Борьк, ну я же не совсем чайник )))
Ладно, я справился. Тупо в файрволе закрыл доступ по этому протоколу во все замеченные порты...
Благодать!!! )))

[fantom]

Порт 1026 не является привелегированным. Как верно советовал Бруталл - это червь!!!! Закрывай его нафиг!!! Вообще, обращай внимание на то, что большинству служб в инете делать нечего, а также на сообщения файрволла, ою обновившихся компонентах. В таких ситуациях он работает как антивирус-ревизор.

[Гость_Гость_*]

У меня в точности такая же проблемма, расскажи по подробнее как ты от неё избавился. Чё нужно сделать с аутпостом ? =)

[Balamut]

да ничо не надо делать. службу сообщений отключите нафиг и все. а еще лучше - сервис-пак второй поставить, он и эту дыру закроет и массу других, не таких явных..

[Гость_Гость_*]

Меседжер убил - ожна малина, мне интресен список ай пишников которые ломятся и на какой порт.
Ну в общем как прекратить это безобразие? =)
А ещё лучше как и на что создать правило в Аутпосте.

[Balamut]

Меседжер убил - ожна малина, мне интресен список ай пишников которые ломятся и на какой порт.
Ну в общем как прекратить это безобразие? =)
А ещё лучше как и на что создать правило в Аутпосте.

аутпост по дефолту вроде все порты завинчивает.

а тупой билл гейтс назвал мессенджером и свой клиент мгновенных сообщений и сервис. надо остановить именно сервис: на "моем компьютере" правой кнопкой - выбрать "Управление" - "Службы и приложения" - "службы". потом найти "Службу сообщений" (в англ версии "Messenger"), остановить и настроить чтоб была всегда отключена.

[Iceman]

Brutall,
А тебе бы всё систему попереустанавливать... извращенец.
svchost.exe отвечает за кучу служб, в том числе и сетевых. В процессах их несколько потому что он запускается несколько раз с разными ключами.
То, что к тебе приходит сообщение по net send не говорит о том, что комп заражен. И уж тем более svchost тут не при чем.
Когда у мя Каспер стоял он периодически глушил атаки червя Helkern с удаленного Интернет-адреса.
Забавно, что вирус сам по себе не проникает на машину жертвы, а просто стучит на определенный порт. Хотя, быть может, таким образом он ищет уязвимость в версиях протокола... не знаю.
любом случае искать причину у себя на локальном компьютере дело не плохое, но скорее всего бесполезное. Глуши атаки аутпостом и поставь нормальный антивирус...

[Vol.shebnik]

Принципиально не пользуюсь всякими антивирями итд...
под svchost сейчас модно маскировать своих коней))) я тоже так делал)))
совет(из личного опыта):
как только я вижу чтото левое(комп стежит) я смотрю в диспетчер задач... там мне все видно...
я знаю сколько и каких процессов у меня должно быть... допустим если все норм то svchosto'в у меня 5, если так не видно можно еще одним способом посмотреть... не мудреная прогрмака(сам писал) помогает увидеть более изощреный список активной хрени))
какроче как заметил чтото не то... копаюсь в реестре, ищу файлы аля autorun.inf на харде... вобщем просматриваю все варианты загрузки чего либо... нахожу левое... запоминаю где лежит... дальше дело техники... надо не дать поцессу подгрузиться и убить его и запись откуда он грузится... все оч просто!
я тоже раньше винду переставлял постоянно... сейчас у меня успешно стоят Win98, WinXP и Linux уже больше года... и все нормально рабАтАет)))
дерзай!