Plik svchost.exe

Prezes933 · 18 Sierpień 2012 11:37

Witam,

Przeszukiwałem forum, lecz nie znalazłem nic odpowiadającego mojemu problemowi. Mianowicie, zauważyłem w programie BitMeter, że jakiś program korzysta z internetu, mimo, że ja w internecie nie siedzę. Mam zainstalowany Antywirus AVG i metodą prób i błędów zauważyłem, że jeśli Generic Host Process (2) zmienię na “Pozwól być bezpiecznym” to problem znika. Lecz pojawia się, gdy restartuje komputer. Wtedy muszę wejść w Zaporę AVG, kliknąć Generic Host Process (2) na “pozwól”, gdy już się z internetem połączy zmieniam na “Pozwól być bezpiecznym”, aby nie zżerało mi transferu. Stąd moje pytanie. Jak mogę zlokalizować plik/program korzystający z internetu? A może to jakieś oprogramowanie szpiegowskie? Może zeskanować HiJackThis? Proszę o pomoc.

Pozdrawiam

OLT : http://www.wklej.org/id/813489/

Extras : http://www.wklej.org/id/813491/

Atis · 18 Sierpień 2012 13:10

Nie widać żadnej infekcji.

Generic Host Process związany jest z procesem svchost.exe, a z tego korzystają różne usługi systemowe.

Przykładowo usługa Aktualizacje automatyczne, Połączenia sieciowe, Klient DNS itp.

http://windows.microsoft.com/pl-PL/wind … vchost-exe

http://www.howtogeek.com/howto/windows- … t-running/

http://traxter-online.net/optymalizacja … e-windows/

W panelu sterowania odinstaluj:

Contextual Tool Extrafind

Babylon toolbar on IE

McAfee Security Scan Plus

StartSearch Toolbar

Do okna Własne opcje skanowania / skrypt wklej:

:OTL IE - HKLM…\SearchScopes{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: “URL” = http://search.my-tools-app.com/?babsrc= … id=9853&q={searchTerms} IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1&cf=0a05f28a- … 6d04ae331d IE - HKLM…\SearchScopes{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: “URL” = http://search.my-tools-app.com/?babsrc= … id=9853&q={searchTerms} IE - HKU\S-1-5-21-1306307598-4042689315-3386618813-1000…\SearchScopes{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: “URL” = http://startsear.ch/?aff=1&src=sp&cf=0a … 4ae331d&q={searchTerms} IE - HKU\S-1-5-21-1306307598-4042689315-3386618813-1000…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://search.babylon.com/?q={searchTerms}&affID=110819&tt=2912_8&babsrc=SP_ss&mntrId=5a6084cd00000000000000aaab01ad7f IE - HKU\S-1-5-21-1306307598-4042689315-3386618813-1000…\SearchScopes{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: “URL” = http://search.my-tools-app.com/?babsrc= … id=9853&q={searchTerms} FF - prefs.js…browser.search.defaultengine: “Web Search” FF - prefs.js…browser.search.defaultenginename: “Web Search” FF - prefs.js…browser.search.order.1: “MyTools” FF - prefs.js…keyword.URL: “http://search.zonealarm.com/search?Source=Browser&oemCode=ZLN114303549541659-1001&toolbarId=base&affiliateId=1001&Lan=en&utid=5a6084cd00000000000000aaab01ad7f&q={searchTerms}” [2012-02-22 18:54:09 | 000,000,000 | —D | M] (Bflix extension) – C:\Users\Speed\AppData\Roaming\mozilla\Firefox\Profiles\jlwdqvei.default\extensions\info@thebflix.com [2012-01-08 12:24:12 | 000,000,544 | ---- | M] () – C:\Users\Speed\AppData\Roaming\Mozilla\Firefox\Profiles\jlwdqvei.default\searchplugins\MyTools.xml [2012-05-26 21:22:49 | 000,000,792 | ---- | M] () – C:\Users\Speed\AppData\Roaming\Mozilla\Firefox\Profiles\jlwdqvei.default\searchplugins\startsear.xml [2012-01-02 11:48:42 | 000,083,456 | ---- | M] (StartSearch ) – C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll [2012-08-01 17:17:22 | 000,002,349 | ---- | M] () – C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.29.1\bh\BabylonToolbar.dll (Babylon BHO) O3 - HKLM…\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.29.1\BabylonToolbarTlbr.dll (Babylon Ltd.) O4 - HKLM…\Run: [KMCONFIG] C:\Program Files (x86)\Keyboard & Mouse Driver\StartAutorun.exe KMConfig.exe File not found O4 - HKU\S-1-5-19…\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun File not found O4 - HKU\S-1-5-20…\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun File not found O4 - HKU\S-1-5-21-1306307598-4042689315-3386618813-1000…\Run: [] File not found O4 - HKU\S-1-5-19…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-20…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found [2012-08-16 13:36:37 | 000,000,677 | ---- | M] () – C:\user.js [2012-07-21 22:27:31 | 000,000,110 | ---- | C] () – C:\Windows\SysWow64\winsdengzsf.dll [2012-08-01 17:16:57 | 000,000,000 | —D | M] – C:\Users\Krzysiek\AppData\Roaming\Babylon [2012-08-01 17:18:12 | 000,000,000 | —D | M] – C:\Users\Krzysiek\AppData\Roaming\BabylonToolbar [2012-07-18 18:36:10 | 000,000,000 | —D | M] – C:\Users\Speed\AppData\Roaming\Babylon :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Odinstaluj starą wersję programu:

Java 6 Update 31

Adobe Reader 9.4.0

Później zainstaluj:

Internet Explorer 9

Adobe Reader

Java

Uruchom OTL i kliknij Sprzątanie.

Usuń stare punkty przywracania:

Aby usunąć wszystkie punkty przywracania

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Prezes933 · 18 Sierpień 2012 13:40

Zrobię jak napisałeś…

Zauważyłem w menadżerze zadań, że plik, który siedzi w necie to svchost.exe(netsvcs). Nie mogę go wstrzymywać, ani nic, bo explorer wtedy siada…

Istnieje jakiś sposób, aby go zabezpieczyć przed dostępem do internetu? Jakaś zapora? Aktualizacje mam wyłączone.

Kaka2 · 18 Sierpień 2012 19:29

Prezes933 ,

Rejestrując się na niniejszym forum zobowiązałeś się przestrzegać jego regulaminu. Niestety, w tym momencie łamiesz go nie tytułując poprawnie tematu. Proszę zapoznać się w pierwszej kolejności z regulaminem forum, a następnie z tym tematem. Po zapoznaniu się proszę poprawić tytuł tematu, używając przycisku

adam9870 · 18 Sierpień 2012 20:03

Może masz włączone aktualizacje automatyczne i aktualizacje pobierają się?

pytanie-dotyczace-aktualizacji-systemie-windows-t483969.html#p3049515

nie-umiem-zainstalowac-internet-explorera-pod-windows-t476064.html#p3003364

svchost to proces systemowy od usług, to normalne, że podczas korzystania z internetu pracuje i przesyła dane.

Prezes933 · 18 Sierpień 2012 21:10

Ja rozumiem, że to plik systemowy, ale czy powinien ściągać mi z transferu średnio 2mb na minutę? Nie sądzę. Z resztą wcześniej tak problem nie występował. W sieci, gdy nie korzystałem występował drobny, delikatny ruch, co jest normalne. Ale nie tak, żeby blokować mi praktycznie całe łącze.

PS. Moderatorze, zmieniłem nazwę na bardziej jednoznaczną, która wskazuje na mój konkretny problem. Przepraszam za “wtopę”.

adam9870 · 18 Sierpień 2012 21:15

Czy masz włączone aktualizacje automatyczne?

Przejrzyj svchost dokładniej:

http://www.dobreprogramy.pl/Process-Exp … 12562.html

http://www.dobreprogramy.pl/TCPView,Pro … 12639.html

http://blogs.technet.com/b/plitpromicro … mbole.aspx

Prezes933 · 18 Sierpień 2012 21:30

Aktualizacje wyłączone, kolego…

Screen z Process Explorer.:

//gallery/image_page.php?album_id=20&image_id=4961

adam9870 · 18 Sierpień 2012 22:33

Karta TCP/IP- tam znajdziesz informację, z czym łączy się proces. Gdy będziesz wiedział z czym łączy się będziesz mógł to sprawdzić np. na http://whois.domaintools.com/

Albo Start - w okno wyszukiwania wpisz cmd i prawy przycisk myszy i opcja Uruchom jako administrator - użyj netstat, pomoc netstat /?, np. netstat -b -n

Prezes933 · 19 Sierpień 2012 12:30

Witam ponownie.

Dziś ustaliłem adres IP z którym się łączy plik. Jest to 80.239.149.74 i wyświetla obok adres customer.teliacarrier.com

Można w jakiś sposób zablokować dany IP?

adam9870 · 19 Sierpień 2012 12:36

To AKAMI - to związane z Microsoftem

http://www.predkosci.pl/ipinfo,80.239.149.74

Podobny problem: http://www.elektroda.pl/rtvforum/topic2091782.html

http://www.techit.pl/Demonstracje/Dodaw … ta,69.html

Można zablokować ten adres w zaporze (firewallu), szczegóły pod linkiem.

Prezes933 · 19 Sierpień 2012 13:01

Zauważyłem w Netstat -aon, że z tym adresem łączy się PID 5460… w menedżerze pod tym PID mam przypisaną przeglądarkę Google Chrome. Może to ona wywoływać proces? Czytałem, że przy połączeniach ze stronami tj. Ebay, czy Google proces się wywołuje.

Z kolei teraz plik svchost.exe(netsvcs) łączy się z IP 90.84.55.58, pod PID 880

adam9870 · 19 Sierpień 2012 13:15

90.84.55.58 to też Akami http://www.ip-adress.com/ip_tracer/90.84.55.58

AKAMI: http://pl.wikipedia.org/wiki/Akamai

Akami czyli bardzo upraszczając - Microsoft.

Prezes933 · 19 Sierpień 2012 13:25

Próbowałem blokować w zaporze po portach… lecz dalej działa.

adam9870 · 19 Sierpień 2012 13:27

http://www.elektroda.pl/rtvforum/topic2091782.html