Plik svchost.exe


(Nawara Grzegorz23) #1

Witam,

Przeszukiwałem forum, lecz nie znalazłem nic odpowiadającego mojemu problemowi. Mianowicie, zauważyłem w programie BitMeter, że jakiś program korzysta z internetu, mimo, że ja w internecie nie siedzę. Mam zainstalowany Antywirus AVG i metodą prób i błędów zauważyłem, że jeśli Generic Host Process (2) zmienię na "Pozwól być bezpiecznym" to problem znika. Lecz pojawia się, gdy restartuje komputer. Wtedy muszę wejść w Zaporę AVG, kliknąć Generic Host Process (2) na "pozwól", gdy już się z internetem połączy zmieniam na "Pozwól być bezpiecznym", aby nie zżerało mi transferu. Stąd moje pytanie. Jak mogę zlokalizować plik/program korzystający z internetu? A może to jakieś oprogramowanie szpiegowskie? Może zeskanować HiJackThis? Proszę o pomoc.

Pozdrawiam

OLT : http://www.wklej.org/id/813489/

Extras : http://www.wklej.org/id/813491/


(Atis) #2

Nie widać żadnej infekcji.

Generic Host Process związany jest z procesem svchost.exe, a z tego korzystają różne usługi systemowe.

Przykładowo usługa Aktualizacje automatyczne, Połączenia sieciowe, Klient DNS itp.

http://windows.microsoft.com/pl-PL/wind ... vchost-exe

http://www.howtogeek.com/howto/windows- ... t-running/

http://traxter-online.net/optymalizacja ... e-windows/

W panelu sterowania odinstaluj:

Contextual Tool Extrafind

Babylon toolbar on IE

McAfee Security Scan Plus

StartSearch Toolbar

Do okna Własne opcje skanowania / skrypt wklej:

Kliknij Wykonaj skrypt i zatwierdź restart.

Odinstaluj starą wersję programu:

Java 6 Update 31

Adobe Reader 9.4.0

Później zainstaluj:

Internet Explorer 9

Adobe Reader

Java

Uruchom OTL i kliknij Sprzątanie.

Usuń stare punkty przywracania:

Aby usunąć wszystkie punkty przywracania

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date


(Nawara Grzegorz23) #3

Zrobię jak napisałeś...

Zauważyłem w menadżerze zadań, że plik, który siedzi w necie to svchost.exe(netsvcs). Nie mogę go wstrzymywać, ani nic, bo explorer wtedy siada...

Istnieje jakiś sposób, aby go zabezpieczyć przed dostępem do internetu? Jakaś zapora? Aktualizacje mam wyłączone.


(Kaka') #4

Prezes933 ,

Rejestrując się na niniejszym forum zobowiązałeś się przestrzegać jego regulaminu. Niestety, w tym momencie łamiesz go nie tytułując poprawnie tematu. Proszę zapoznać się w pierwszej kolejności z regulaminem forum, a następnie z tym tematem. Po zapoznaniu się proszę poprawić tytuł tematu, używając przycisku zmien.gif


(adam9870) #5

Może masz włączone aktualizacje automatyczne i aktualizacje pobierają się?

pytanie-dotyczace-aktualizacji-systemie-windows-t483969.html#p3049515

nie-umiem-zainstalowac-internet-explorera-pod-windows-t476064.html#p3003364

svchost to proces systemowy od usług, to normalne, że podczas korzystania z internetu pracuje i przesyła dane.


(Nawara Grzegorz23) #6

Ja rozumiem, że to plik systemowy, ale czy powinien ściągać mi z transferu średnio 2mb na minutę? Nie sądzę. Z resztą wcześniej tak problem nie występował. W sieci, gdy nie korzystałem występował drobny, delikatny ruch, co jest normalne. Ale nie tak, żeby blokować mi praktycznie całe łącze.

PS. Moderatorze, zmieniłem nazwę na bardziej jednoznaczną, która wskazuje na mój konkretny problem. Przepraszam za "wtopę".


(adam9870) #7

Czy masz włączone aktualizacje automatyczne?

Przejrzyj svchost dokładniej:

http://www.dobreprogramy.pl/Process-Exp ... 12562.html

http://www.dobreprogramy.pl/TCPView,Pro ... 12639.html

http://blogs.technet.com/b/plitpromicro ... mbole.aspx


(Nawara Grzegorz23) #8

Aktualizacje wyłączone, kolego...

Screen z Process Explorer.:

//gallery/image_page.php?album_id=20&image_id=4961


(adam9870) #9

Karta TCP/IP- tam znajdziesz informację, z czym łączy się proces. Gdy będziesz wiedział z czym łączy się będziesz mógł to sprawdzić np. na http://whois.domaintools.com/

Albo Start - w okno wyszukiwania wpisz cmd i prawy przycisk myszy i opcja Uruchom jako administrator - użyj netstat, pomoc netstat /?, np. netstat -b -n


(Nawara Grzegorz23) #10

Witam ponownie.

Dziś ustaliłem adres IP z którym się łączy plik. Jest to 80.239.149.74 i wyświetla obok adres customer.teliacarrier.com

Można w jakiś sposób zablokować dany IP?


(adam9870) #11

To AKAMI - to związane z Microsoftem

http://www.predkosci.pl/ipinfo,80.239.149.74

Podobny problem: http://www.elektroda.pl/rtvforum/topic2091782.html

http://www.techit.pl/Demonstracje/Dodaw ... ta,69.html

Można zablokować ten adres w zaporze (firewallu), szczegóły pod linkiem.


(Nawara Grzegorz23) #12

Zauważyłem w Netstat -aon, że z tym adresem łączy się PID 5460.. w menedżerze pod tym PID mam przypisaną przeglądarkę Google Chrome. Może to ona wywoływać proces? Czytałem, że przy połączeniach ze stronami tj. Ebay, czy Google proces się wywołuje.

Z kolei teraz plik svchost.exe(netsvcs) łączy się z IP 90.84.55.58, pod PID 880


(adam9870) #13

90.84.55.58 to też Akami http://www.ip-adress.com/ip_tracer/90.84.55.58

AKAMI: http://pl.wikipedia.org/wiki/Akamai

Akami czyli bardzo upraszczając - Microsoft.


(Nawara Grzegorz23) #14

Próbowałem blokować w zaporze po portach... lecz dalej działa.


(adam9870) #15

http://www.elektroda.pl/rtvforum/topic2091782.html