Странное поведение svchost

Feb. 14th, 2017 05:58 pm
[identity profile] alfare.livejournal.com posting in [community profile] useful_faq
Система ХР. Никогда раньше подозрительных вещей за нею не замечал. Интернета на ней раньше не было.
Стояла пробная версия Есета ESS8.
Недавно решил посмотреть, что это за 10 версия ESS, про неё вроде было написано, что она ХР не поддерживает, но приятель сказал, что поддерживает пока, и он ставил. Тогда я тоже скачал ЕСС10, перед этим ещё Докторвебовской разовой утилитой прогнал, чтоб уж уверенным быть в чистоте эксперимента - чище разве разве что на нулёвую систему ставить.

Ну, в общем, всё чисто. Поставил пробную ЕСС 10, прогнал первое сканирование - тоже всё чисто.
Прекрасно... Запустил Авидемикс, смотрю - что-то медленее обработка видео идёт. Я так на процессы глядь - ан там этот svchost жрёт 150 килобайт оперативки и 50 процентов проца!
Ай-яй, я сколько с ХР разными работал, никогда такого не было. Притом, что когда-то был древний червяк, который как раз таким вот образом гадил, это лет десять назад было, тгда помню ещё всякие заплатки ставили и порты перекрывали, и типа писали, что процессы svchost не должны в норме больше 25-30 Мбайт жрать, а если они так жрут - то это кака.
Ну и проц ещё грузит до кучи...

Я опять Докторвебовским сканером... Ничего. Потом ещё от Malwarebytes проверился - опять ничего...
Тогда процесс убил, перезагрузился - пока ничего...
Но чё за фигня может быть, а? И чем её можно увидеть... Шо кроме ГМЕРа может спасти отца русской демократии?
Не, я знаю, что на некоторых машинах в более поздних системах svchost жрал памяти больше, но 50% проца...!!111
Какие вообще вещи, кроме вредоносных программ, могут такое сотворять с svchost-ом? Или всё же поселилась у меня некая незримая кака?
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2017-02-14 03:22 pm (UTC)
ext_1596743: (2jyjybvecf)
From: [identity profile] ez98.livejournal.com
Задумался почему ваш svchost жрет так мало оперативки. У меня их зачем-то аж девять, и зажрали в среднем по 9-10 Мб. Правда, поца почти не жрут

Date: 2017-02-14 03:25 pm (UTC)
From: [identity profile] alfare.livejournal.com
Да, Мб, извините, это я фигню спорол.
И их тоже несколько, просто самый большой никогда больше 26 Мб не жрал, а я за ними много лет присматриваю, после того, как когда-то у нас на работе один червь на нескольких машинах файлы покоцал.

Date: 2017-02-14 03:59 pm (UTC)
ext_1596743: (2jyjybvecf)
From: [identity profile] ez98.livejournal.com
Точно, и у меня самый толстый 26872 КБ.

Date: 2017-02-14 06:44 pm (UTC)
From: [identity profile] alfare.livejournal.com
Кое что выяснил: я перед этим ради интереса запускал "Защиту банковских платежей", чтобы посмотреть, что это такое. Есет открыла защищённый браузер. После этого svchost так стал работать и даже после закрытия этого "защищённого браузера".
После перезагрузки исчез.
Потом я снова попробовал "Защиту банковских платежей" - и снова это появилось.
Потом Есет что-то переварила, и после третьей перезагрузки svchost уже оставался в пределах нормы и дальше уже не вылетает.

Осталось понять - что творила Есет svchost-ом и зачем...

Date: 2017-02-14 07:21 pm (UTC)
ext_1596743: (2jyjybvecf)
From: [identity profile] ez98.livejournal.com
От антивирусов у меня всегда было больше вреда, чем от вирусов. Уже полтора года как последний антивирус снес нафиг.

Date: 2017-02-14 04:11 pm (UTC)
From: [identity profile] xz100500.livejournal.com
вполне вариант что это грузит виндовс-апдейт так, он тоже от этого бинарника работает. тормозните службу

Date: 2017-02-14 04:41 pm (UTC)
From: [identity profile] telepuzo2.livejournal.com
Это с семёркой бывает обычно. В XP разве так же?

Date: 2017-02-14 04:43 pm (UTC)
From: [identity profile] xz100500.livejournal.com
у всех старых вендов, включая семерку такое поведение.

Date: 2017-02-14 06:43 pm (UTC)
From: [identity profile] alfare.livejournal.com
Проверю потом, но пока подозрение другое: я ради интереса запускал "Защиту банковских платежей", чтобы посмотреть, что это такое. Есет открыла защищённый браузер. После этого svchost так стал работать и даже после закрытия этого "защищённого браузера".
После перезагрузки исчез.
Потом я снова попробовал "Защиту банковских платежей" - и снова это появилось.
Потом Есет что-то переварила, и после третьей перезагрузки svchost уже оставался в пределах нормы и дальше уже не вылетает.

Осталось понять - что творила Есет svchost-ом и зачем...

Date: 2017-02-14 06:44 pm (UTC)
From: [identity profile] xz100500.livejournal.com
не исключено, что оно ставит перехват SSL соединений с поменой сертификата и ему это не нравится, как виндовс апдейту, так и апдейту корневых сертификатов

потыкайте procmon в этот процесс, чо кажет
Edited Date: 2017-02-14 06:45 pm (UTC)

Date: 2017-02-14 06:50 pm (UTC)
From: [identity profile] alfare.livejournal.com
Потыкаю, да, спасибо. Не сейчас, правда - у меня эта фигня на другом компе, сегодня уже некогда...

Date: 2017-02-14 04:14 pm (UTC)
From: [identity profile] okunev.livejournal.com
svchost запускает все службы. То есть виновника нужно искать среди них. В 7-ке очень любит грузить проц менеджер обновлений. В ХР не сталкивался. к тому же она уже не поддерживается, но менеджер обновлений можно попробовать заглушить, все равно не нужен. Не поможет, искать среди других сервисов.

Date: 2017-02-14 05:18 pm (UTC)
From: [identity profile] i-v-bunsha.livejournal.com
Не все, а только те, которые собирались не как службы, а просто exe.

Date: 2017-02-14 05:21 pm (UTC)
From: [identity profile] okunev.livejournal.com
Да.

Date: 2017-02-14 06:44 pm (UTC)
From: [identity profile] alfare.livejournal.com
Кое что выяснил: я перед этим ради интереса запускал "Защиту банковских платежей", чтобы посмотреть, что это такое. Есет открыла защищённый браузер. После этого svchost так стал работать и даже после закрытия этого "защищённого браузера".
После перезагрузки исчез.
Потом я снова попробовал "Защиту банковских платежей" - и снова это появилось.
Потом Есет что-то переварила, и после третьей перезагрузки svchost уже оставался в пределах нормы и дальше уже не вылетает.

Осталось понять - что творила Есет svchost-ом и зачем...
Осталось понять - что творила Есет svchost-ом и зачем...

Date: 2017-02-14 05:30 pm (UTC)
From: [identity profile] i-v-bunsha.livejournal.com
1). svchost - это обертка над dll, которые само собой не могут сами выполнятся, и exe, которые не были написаны как сервисы (там есть нюансы), но хотят ими быть.

2). Запустите ProcessExplorer из Sysinternals (он сейчас Microsoft-у пренадлежит, так что там все чисто).
3). Найдите там свой жрущий svchost, и 2 раза по нему кликните.
4). Зайдите на вкладку ""Image". Там можно увидеть что это за сервис. На других вкладках можно увидеть его сетевую активность и прочее.

Date: 2017-02-14 06:47 pm (UTC)
From: [identity profile] alfare.livejournal.com
Да, была такая мысль - попытаться отследить источник, но сейчас это исчезло и не появляется.
Кое что выяснил: я перед этим ради интереса запускал "Защиту банковских платежей", чтобы посмотреть, что это такое. Есет открыла защищённый браузер. После этого svchost так стал работать и даже после закрытия этого "защищённого браузера".
После перезагрузки исчез.
Потом я снова попробовал "Защиту банковских платежей" - и снова это появилось.
Потом Есет что-то переварила, и после третьей перезагрузки svchost уже оставался в пределах нормы и дальше уже не вылетает.

Осталось понять - что творила Есет svchost-ом и зачем...

Date: 2017-02-14 08:59 pm (UTC)
From: [identity profile] i-v-bunsha.livejournal.com
Прослушивал канал - эвристику гонял. Может обучал что-то.

Date: 2017-02-14 06:27 pm (UTC)
From: [identity profile] vadiman.livejournal.com
Была пиратская ХР, там вшили трояна в раскладку клавы. Тоже этот процесс. Пришлось удалять и с одной латиницей жить.

Date: 2017-02-14 06:45 pm (UTC)
From: [identity profile] alfare.livejournal.com
Но тут три антивируса троянов пока не нашли...
Разве что особо крутой какой.
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only