Hardware y software

Cosa RARA con svchost (NO es Blaster)

LOc0
LOc0 #1 Jun '04

Holas. Pues nada, que acabo de encender mi equipo, y a los 30 seg miro dumeter y tengo alguna mierda cargada en memoria y chupándose la mitad de mi ancho de banda. HAgo un netstat y me encuentro que

svchost.exe:860 ha establecido una conexión con 213.199.155.65:80 Me quedo con cara de :O y la finalizo. A los 30 segundos vuelta otra vez. He pasado el Adware 6.0 [previa actualización) y me ha sacado 11 spywares (rarisimo porque no abro nada sospechoso) EL caso es que las he borrado, he reiniciado y los 30 seg me vuelvo a encontrar lo mismo. Cabreado, lo he cerrado y se ha vuelto a abrir otra vez en seguida, pero lo curiso es que lo he dejao y él solito ha terminado "lo que estuviera haciendo" y se ha cerrado. FLIPANTE.

Decir que cada vez se conectaba por un puerto distinto pero SIEMPRE a la misma IP(213.199.155.65) y que esto no es ninguna variante de Blaster o derivados... Es algo rarro, rarro rarro, me huele a espionaje de Mocosoft, porque que se cargue algo mágicamente de la nada, y pasados unos minutos cuando ya está "actualizado" desconecte...

Perdonad por el rollo, pero si le ha pasado a alguien algo similar, pos me gustaría escuchar su versión.

Salu2 ;)

PD: tengo win2k, y el servicio de actualizaciones automáticas está DESHABILITADO desde el primer dia. Esto no me habia pasado en la vida ¬ ¬...

PiTaGoRaS
PiTaGoRaS #2 Jun '04 Spoon Bender

Seguramente Microsoft no tenga nada mejor que hacer que preocuparse de por donde navegas y cuanto porno bajas.

Esas conexiones pueden ser muchas cosas, dado que svchost.exe representa a varios servicios del sistema. Si tienes curiosidad por saber qué hace exactamente, instálate un sniffer y comprueba que se envía y se recibe.

PD: Deberías habilitar las Actualizaciones Automáticas desde el primer día.

Z3RaTuL
Z3RaTuL #4 Jun '04

Ësperate que a mí me ocurría lo mismo, el svchost a veces enviaba cosas a dónde le apetecía, a distintas ip's pero siempre por el puerto 135 y eso que tengo al día el sistema. Al final, por seguridad, lo que hice fue pillarme un firewall y añadir una regla para chapar el puerto 135, no sabía que más hacer.

Salu2.

Z3R0KULL
Z3R0KULL #5 Jun '04 Inesperado suceso

hombre... ahi virus y troyanos que tambien tienen ese nombre.. pasate un buen antivirus

www.zonavirus.com en el apartado de antivirus online tienes unos cuantos

LOc0
LOc0 #6 Jun '04

#2:
a) Seguramente.

b) svchost básicamente es el encargado en windows de ejecutar los servicios que corren desde una DLL (por decirlo de alguna manera clara).

c) Cuando necesito instalar alguna actualización (rarísima vez) lo activo. (Para parches serios, los bajo directamente cuando me entero).

#3: Tu testimonio es el que más se acreca a mi caso.

#4 y #5: gracias por colaborar, pero NO es el caso :(

Salu2 a todos ;)

Z3R0KULL
Z3R0KULL #8 Jun '04 Inesperado suceso

A esto me referia

http://www.vsantivirus.com/morb-a.htm
(c:\winnt\svchost.exe (55,808 bytes, copia del gusano))

Y de este tipo miles. Por eso te recomiendo que le pases un antivirus online (recomendado panda active scan)

LOc0
LOc0 #9 Jun '04

He pasado el ActiveScan y me ha encontrado 4 archivos infectados. 3 de emails recibidos (PERO que ya suponia que estarian infectados y que eliminé en u dia sin ni siquiera leerlos) y 1 de un crack que me mandó un colega por msn. Dice que los ha desinfectado y bla bla... No sé si será esto, o que el svchost ya me "pillÓ" la info que necesitaba y por eso no se carga más :(...

Salu2 ;)

SMF_
SMF_ #10 Jun '04

http://www.media-vida.net/vertema.php?fid=17&tid=1828819994
bajate este antivirus, impressive chupa pocos recursos es gratutito y encuentra todo, te lo aconsejo.
seguramente tengas un troyano o algo q te quita banda, prueba en:
inicio, ejecutar, pones msconfig y le das, te saldra la configuracion del sistema, vas a pestaña inicio, y tienes todos los archivos q se ejecutan al inciar windows, y miras si tienes algun archivo "raro" si es asi lo quitas y listo.
suerte!

Carcass
Carcass #11 Jun '04

He hecho un traceroute a la IP que dijiste y el último hop lo da en... gig1-1.lon-6nf-bss-1b.ntwk.msn.net.

Así que va a ser que sí envía algo a Microsoft...

LOc0
LOc0 #12 Jun '04

¿A nadie l ha pasado algo similar? :O

Salu2

Usuarios habituales

  • LOc0
  • Carcass
  • SMF_
  • Z3R0KULL
  • Z3RaTuL
  • PiTaGoRaS