вирус или хвост от вируса?

Вопросы, связанные с операционными системами от Microsoft.

Сообщение helga » Ср авг 22, 2007 8:33 am

Здравствуйте, очень нужна помощь. На рабочем компе словила вирус, кторый, как я поняла, Касперским еще не был детектирован. Файл сидел по адресу c:\windows\system32\svchost.exe:ext.exe, я пошла за помощью на форум Касперского, вот ссылка на переписку, если нужна (логин Anika): <a href="http://forum.kaspersky.com/index.php?showtopic=45378" target="_blank">http://forum.kaspersky.com/index.php?showtopic=45378</a>
C помощью тамошних спецов вроде бы от дряни избавилась, но теперь Касперский 7 (пробная бесплатная версия) периодически при включении и загрузке выдает сообщение внизу справа в трее: " Ошибка, программа svchost.exe не может связаться с сервером". Далее никаких заметных проблем не возникает, при прогонке Каспером все чисто. Может, кто подскажет, что это за файл и может ли это иметь отношение к удаленному вирусу? Последнее подобное сообщение вылезало вчера.
Представители компьютерной фирмы, обслуживающей нашу компанию (совсем недавно начали с ней сотрудничать) при вопросе о данной проблеме авторитетно заявили - систему надо сносить и заново переустанавливать! Но у меня такое решение вызывает большое сомнение и не вызывает доверия, может, так категорично не обязательно?
Можетю отзоветесь и поделитесь соображениями? Только с учетом того, что я скромный пользователь, так что по воможности, подоступнее. Очень буду Вам благодарна за отклик!
helga
Рядовой
 
Сообщений: 7
Зарегистрирован: Чт янв 25, 2007 2:21 pm
Пункты репутации: 0

Сообщение Маклаут » Ср авг 22, 2007 5:23 pm

Тяжкая ситуация...
svchost.exe - это "системный сервис" через который вызываются некоторые приложения и службы... короч необходимаю для работы системы вещь.
helga писал(а):Может, кто подскажет, что это за файл и может ли это иметь отношение к удаленному вирусу?

Прямое ;) Скорее всего вирус запускался через svchost и возможно даж в него прописаться. Ну и собственно в таком случае при лечении файл мог пострадать...
helga писал(а):Далее никаких заметных проблем не возникает, при прогонке Каспером все чисто.

Трафик интернета не ползёт?
И всеже раз сообщение появляется, то проблема всёже есть... может быть дело в самом антивирусе... Бета версия всёж.
1. Я не помню как точно обстоит дело с 6 версией, там помоему должно быть нечто вроде временной лицензии... Если нет, то можно поискать временный ключик, бывает разсылается с компьютерными журналами и тд. Это позволит провериться с помощью точно рабочей версии антивируса, хотя и на 7бета сильно грешить тож не стоит.

2. Как вариант стоит так же попробовать просканировать жесткий диск на другой машине (и лучше если там заведомо установлен нормальный антивирь, а то оба компа заболеют) или по крайней мере совершить проверку системы в защищенном режиме. (Как выяснилось бывают вирусы, которые могут успешно скрываются от антивируса, но видимо в защищенном режиме они не запускаются и собственно доступны для антивируса)

Если подобные манипуляции не помогут, то копируй файлы на DVD и пущфй мастера переустанавливают винду... И лучше если они форматнут винт ;)
The first step to eternal life is you have to die

<a href="http://www.fforum.ru/index.php?showtopic=22590" target="_blank">Benchmark your PC on FForum.ru</a>
Маклаут
Генерал-майор
 
Сообщений: 2151
Зарегистрирован: Чт авг 26, 2004 6:30 am
Откуда: Кемерово
Пункты репутации: 0

Сообщение helga » Чт авг 23, 2007 3:46 am

<!--quoteo--><div class='quotetop'>Цитата</div><div class='quotemain'><!--quotec-->Прямое Скорее всего вирус запускался через svchost и возможно даж в него прописаться. Ну и собственно в таком случае при лечении файл мог пострадать...<!--QuoteEnd--></div><!--QuoteEEnd-->
Вот именно такие сомнения у меня и есть, так как сообщение стало появляться после лечения.
<!--quoteo--><div class='quotetop'>Цитата</div><div class='quotemain'><!--quotec-->Если подобные манипуляции не помогут, то копируй файлы на DVD и пущфй мастера переустанавливают винду... И лучше если они форматнут винт <!--QuoteEnd--></div><!--QuoteEEnd-->
Блин, я надеялась, что без этого можно все же обойтись. А вот вопрос "чайника" - нельзя ли механически заменить этот файл чистым, взятым с чистой Винды? Например, у меня стоит лицензионный Windows дома, скопировать этот файл и заменить им проблемный на рабочем компе. Так нельзя?
helga
Рядовой
 
Сообщений: 7
Зарегистрирован: Чт янв 25, 2007 2:21 pm
Пункты репутации: 0

Сообщение DruG » Чт авг 23, 2007 5:24 am

helga, Не понял, так это каспер такую ошибку выдаёт или система? мож для проверки проще его и грохнуть и поставить чего нить попроще да заново проверицо?
DruG
Генерал-майор
 
Сообщений: 2383
Зарегистрирован: Ср авг 11, 2004 2:17 am
Откуда: Сибирского internet unlimited
Пункты репутации: 0

Сообщение helga » Чт авг 23, 2007 7:44 am

DruG писал(а):helga, Не понял, так это каспер такую ошибку выдаёт или система? мож для проверки проще его и грохнуть и поставить чего нить попроще да заново проверицо?

Каспер, Каспер, вот именно, в том-то и дело, попроще - что? Комп-то рабочий, особо не разгуляешься, эксперименты опасны. Может, посоветовали бы что-нибудь, можно в личку...
helga
Рядовой
 
Сообщений: 7
Зарегистрирован: Чт янв 25, 2007 2:21 pm
Пункты репутации: 0

Сообщение Magister » Чт авг 23, 2007 9:03 am

helga, <!--quoteo--><div class='quotetop'>Цитата</div><div class='quotemain'><!--quotec-->вопрос "чайника" - нельзя ли механически заменить этот файл чистым, взятым с чистой Винды?<!--QuoteEnd--></div><!--QuoteEEnd-->
попробуй, вполне возможно, что поможет, если зараза только в нем. Только:
1. старый файлик далеко не выбрасывай, чтоб вернуть, если что.
2. заменять надо, подцепив этот винт к другой системе.

Не поможет в том случае, если зараза лежит где-то в другом месте, а через svchost запускается как сервис. Поэтому в любом случае лучше просканировать весь винт - опять же, подцепив его к другому компу.
Последний раз редактировалось Magister Чт авг 23, 2007 9:11 am, всего редактировалось 1 раз.
<!--sizeo:1--><span style="font-size:8pt;line-height:100%"><!--/sizeo--><!--coloro:red--><span style="color:red"><!--/coloro-->все беды - от недостатка информации<!--sizec--></span><!--/sizec--><!--colorc--></span><!--/colorc-->
Magister
Генерал-майор
 
Сообщений: 2501
Зарегистрирован: Вт авг 06, 2002 4:22 am
Пункты репутации: 0

Сообщение NickFW » Чт авг 23, 2007 9:11 am

полностью поддерживаю предыдущего оратора...

а вот выбор антивиря тут дело каждого... ибо ктото доверяет одному ктото другому... я например Авастом пользуюсь и пока проблем небыло...
NickFW
Маршал
 
Сообщений: 6178
Зарегистрирован: Чт апр 11, 2002 11:46 am
Откуда: kemerovo / siberia
Пункты репутации: 0

Сообщение Magister » Чт авг 23, 2007 9:17 am

И вапще, интересно, чего за файлик такой
c:\windows\system32\svchost.exe:ext.exe
таких не бывает же вроде %-)
<!--sizeo:1--><span style="font-size:8pt;line-height:100%"><!--/sizeo--><!--coloro:red--><span style="color:red"><!--/coloro-->все беды - от недостатка информации<!--sizec--></span><!--/sizec--><!--colorc--></span><!--/colorc-->
Magister
Генерал-майор
 
Сообщений: 2501
Зарегистрирован: Вт авг 06, 2002 4:22 am
Пункты репутации: 0

Сообщение helga » Чт авг 23, 2007 11:19 am

Magister писал(а):И вапще, интересно, чего за файлик такой
c:\windows\system32\svchost.exe:ext.exe
таких не бывает же вроде %-)

Читай выше, в первом сообщении -
"Файл сидел по адресу c:\windows\system32\svchost.exe:ext.exe", СИДЕЛ, он удален, но сообщение связано не с ним, а с svchost.exe. Насчет "цепляния" к другой системе отпадает, тут уже винч надо вынимать, я так понимаю, или по локалке передавать, это уже не в моей компетенции. Я имела ввиду скопировать на диск и перенести, если так нельзя, отпадает. Короче, директор у меня уже махнул рукой - не мудри сама, фирме деньги платим, пусть делают, что считают нужным, а меня, често говоря, от мысли о сносе системы коробит, мороки-то сколько...
helga
Рядовой
 
Сообщений: 7
Зарегистрирован: Чт янв 25, 2007 2:21 pm
Пункты репутации: 0

Сообщение Magister » Чт авг 23, 2007 12:22 pm

helga, <!--quoteo--><div class='quotetop'>Цитата</div><div class='quotemain'><!--quotec-->Читай выше, в первом сообщении -
"Файл сидел по адресу c:\windows\system32\svchost.exe:ext.exe"<!--QuoteEnd--></div><!--QuoteEEnd--> да, эт я видел. я про символ ":" - его ж не может быть в имени. Чего это означает?
<!--quoteo--><div class='quotetop'>Цитата</div><div class='quotemain'><!--quotec-->от мысли о сносе системы коробит, мороки-то сколько...<!--QuoteEnd--></div><!--QuoteEEnd--> ничё, надо просто почаще это делать - будет нестрашно :)
Последний раз редактировалось Magister Чт авг 23, 2007 12:31 pm, всего редактировалось 1 раз.
<!--sizeo:1--><span style="font-size:8pt;line-height:100%"><!--/sizeo--><!--coloro:red--><span style="color:red"><!--/coloro-->все беды - от недостатка информации<!--sizec--></span><!--/sizec--><!--colorc--></span><!--/colorc-->
Magister
Генерал-майор
 
Сообщений: 2501
Зарегистрирован: Вт авг 06, 2002 4:22 am
Пункты репутации: 0

Сообщение Маклаут » Чт авг 23, 2007 3:12 pm

helga писал(а):А вот вопрос "чайника" - нельзя ли механически заменить этот файл чистым, взятым с чистой Винды?

эээ... вообще сразу предполагал возможность такого решени. Чёт пока пост строчил забыл )))
Ну впринципе выше уже всё объяснили.
И как получается если реально svсhost, то винда не даст его заменить. Тоесть надо снимать винт и ставить на другой комп. А если всёже "svchost.exe:ext.exe" то не мешало бы устроить поиск по диску с таким именем, ну и после искать откуда на него ссылка - но это очень геморно... Разве если ссылка в реестре, то может быть повезёт найти.
Вопрос: а насколько актуальны базы у касперского?
NickFW писал(а):я например Авастом пользуюсь и пока проблем небыло...

Ты просто не в курсе их присутсвия ))) (шутю)
helga писал(а):Короче, директор у меня уже махнул рукой - не мудри сама, фирме деньги платим, пусть делают, что считают нужным, а меня, често говоря, от мысли о сносе системы коробит, мороки-то сколько...

Ну правильно говорит... и если эта фирма хочет с вами дальше работать по хорошему они должны сделать так чтобы после установки системы всё выглядело так как и было... и не одного файлика и документика не потярялось!
А если не могут, то проще других найти... желающих хоть отбавляй!
Magister писал(а):да, эт я видел. я про символ ":" - его ж не может быть в имени. Чего это означает?

И то верно...
А если поискать "ext.exe"? helga, попробуй по ищи может чего всёже получится ;)
The first step to eternal life is you have to die

<a href="http://www.fforum.ru/index.php?showtopic=22590" target="_blank">Benchmark your PC on FForum.ru</a>
Маклаут
Генерал-майор
 
Сообщений: 2151
Зарегистрирован: Чт авг 26, 2004 6:30 am
Откуда: Кемерово
Пункты репутации: 0


Вернуться в Dos & Windows

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 5

cron