Автор Тема: Разновидность червя Agobot !!!  (Прочитано 1113 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Bishop

  • Гость
#0: 24 Ноября 2004, 14:27:45
Уже несколько дней пытаюсь бороться с этим червем и его разновидностями
Как только вхожу в инет сразу начинается переполнение системного буфера на 100  
весьма сомнительным процессом svhost... как только пытаюсь его выгрузить так сразу появляется знакомое всем окошоко о неожиданном завершении процесса и выключения винды через 60 сек
стоит касперский с самыми обновлеными базами, а также стоит Outpost firewall
и нихрена не могут сделать,только правда касперский иногда находит етот червь Backdoor win32.Agobot.gen и файлики со странным название spolsv
Может кто знает как бороться с етой хренью???
Все возможные патчи и заплатки уже ставил на свою хрюшу

-

  • Гость
#1: 24 Ноября 2004, 14:31:20
а посмотреть автозагрузку, не в пуске конечно, а всякими приблудами как раз для этого дела.

Bishop

  • Гость
#2: 24 Ноября 2004, 15:07:19
В том то и прикол что в автозагрузке убрал все что можно подозрительное, остается правда реестр глянуть, мож найду чего

 fluf

  • Гость
#3: 24 Ноября 2004, 15:16:46
почитай:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.CU


В том то и прикол что в автозагрузке убрал все что можно подозрительное
=========
ну дык, надо еще чистить:
HKLM Software Microsoft Windows CurrentVersion RunServices

ZALMAN

  • Гость
#4: 24 Ноября 2004, 16:19:33
Может и не в строчку, но с каких же это пор SVHOST стал весьма сомнительным процессом,!?
И что собственно мешает отрубить в его свойства перезагрузку в случае сбоя?

Makc

  • ***
  • Сообщений: 5962
    • Просмотр профиля
#5: 24 Ноября 2004, 16:33:49
нену, вирусописатели не дремлют, я один раз видел и lsasss.exe, в смысле - с ТРЕМЯ буквами s в конце. Правда тогда он пишет шо запущен не от системы (system), а от юзера. А так - раза три глядел в процессы, вроде ничего подозрительного, а валится. потом тока увидел. Ну, и лечил как обычно - грохал процесс, поиском по слову - названию процесса и убивание всего, его содержащего.
З.Ы. Сорри за оффтоп, но мож там тоже внимательно надо посмотреть на этот свхост?

ChiefTech

  • ***
  • Сообщений: 5324
    • Просмотр профиля
#6: 24 Ноября 2004, 16:36:26
Остановить процесс перезагрузки машины можно, набрав в командной строке shutdown -a

Это - так, к слову...

Bishop

  • Гость
#7: 24 Ноября 2004, 23:53:26
2fluf: спасибо, ты всегда даешь нужные линки
2ZALMAN:а ведь на самом деле так и происходит у меня на компе с svchost
именно он жрет 100 процентов ресурсов

fluf

  • ***
  • Сообщений: 7189
    • Просмотр профиля
    • http://forum.amur.ru
#8: 25 Ноября 2004, 09:07:20
для окончательного внесения ясности:
как правильно сказал ZALMAN, svchost __стандартная__ приблуда winnt предназначенная для запуска сторонними DLLками системынх служб. и в данном случае, как у тебя, она явно используется для запуска виря. а сам вирь (исполняемый файл) скрыт за этим процесом.
если мне не изменяет память в Resource Kit есть утилита: tlist.exe, которая строит дерево выполняемых процессов, и на котором видно кто и кого породил ;)


ZALMAN

  • Гость
#9: 25 Ноября 2004, 09:16:43
cyt
==============================================================================
Description:
svchost.exe is a system process belonging to the Microsoft Windows Operating System which handles processes executed from DLLs. This program is important for the stable and secure running of your computer and should not be terminated.
For More Detailed Process Information Get WinTasks 5 Pro
==============================================================================
end

http://www.liutilities.com/products/wintaskspro/processlibrary/svchost/