Интересно, а с dll этот svchost общается как сервер? У меня ZoneAlarm сообщает, что он хочет быть сервером. Не позволяешь - и вроде бы ничего.

WinXP Pro свежеустановленная, все патчи установлены, DrWeb, Outpost 2.1 Pro, всё лицензионное. Есть локальная сеть, установлен ADSL модем. Диски дефрагментированы.

Проблема - всё время работает винт. Поставил I/O колонки в таскменеджере:
- процесс svchost читает и пишет сотни мегабайт! По tasklist посмотрел - это именно тот, в котором куча всего связанного с сетью
- процесс outpost то же самое - читает/пишет/other сотни мегабайт
- процесс explorer  всё время читает/пишет понемногу, а I/O other у него также сотни мегабайт в час.
- miranda считывает при загрузке до 500 мегабайт, но потом ничего больше не делает, не знаю, влияет ли это.

Вирусов, троянов, spyware нет.
Никакого паразитного траффика в инет не идёт, проверено по логам модема.

Отключение локальной сети ни к чему не приводит. Убить этот svchost можно, помрёт всё сетевое и system tray, но explorer всё ранво продолжает что-то читать. Отключение outpost также не решает ситуацию. Можно убить все 4 процесса, тогда наступает блаженная тишина. Работать правда невозможно  

Поиск по инету ничего не дал, трудно фильтровать миллионы тем по msblast/lovesan .

WildMaN6
Что значит всё время работает винт? Лампочка постоянно горит, что ли? Машина тормозит? Что до конкретных данных, можете поставить себе FileMon от www.sysinternals.com и посмотреть, кто, когда и что пишет.

У меня система на столе лежит. Системный винт хрустит постоянно где-то раз в секунду. Нет, загрузка компа нулевая, просто раздражает. За ссылку спасибо.

ZoneAlarm ничего не даст, надо отключить в панели упр - админ - службы, сервис удаленный реестр, через него возможны атаки по сети, но возможно Ваше беспокойство вызвано стандартной работой ХРуши, на винте 80\7200 невидно и не слышно такого
:)
008

По поводу svchost.
Пользуйтесь встроенными средствами WXP.

Пуск - выполнить cmd
tasklist /svc

вот что Вы примерно увидите:
-----------------------------------------------------------------------------------

Имя образа                   PID Службы
========================= ====== =========================================
System Idle Process            0 Н/Д
System                         4 Н/Д
smss.exe                     352 Н/Д
csrss.exe                    400 Н/Д
winlogon.exe                 424 Н/Д
services.exe                 468 Eventlog, PlugPlay
lsass.exe                    480 PolicyAgent, ProtectedStorage, SamSs
svchost.exe                  636 RpcSs
svchost.exe                  680 AudioSrv, Browser, CryptSvc, Dhcp, ERSvc,
                                EventSystem, lanmanserver,
                                lanmanworkstation, Netman, Nla, RasAuto,
                                RasMan, Schedule, SENS, SharedAccess,
                                ShellHWDetection, srservice, TapiSrv,
                                TermService, Themes, TrkWks, winmgmt
svchost.exe                  744 Dnscache
svchost.exe                  800 LmHosts, WebClient
alg.exe                      912 ALG
explorer.exe                1428 Н/Д
ctfmon.exe                  1556 Н/Д
IEXPLORE.EXE                1620 Н/Д
taskmgr.exe                 2004 Н/Д
mmc.exe                     2032 Н/Д
IEXPLORE.EXE                 120 Н/Д
cmd.exe                     1312 Н/Д
tasklist.exe                 580 Н/Д
wmiprvse.exe                 516 Н/Д
---------------------------------------------------------------------------------
По моему очень наглядно видно какой файл работает с какой службой.
Итак видно, что в данном случае svchost загружен в 4 копиях, из них:
svchost.exe                  636 RpcSs - Самая важная, это RPC.

Остальные менее важны, хотя:AudioSrv - звук, Themes - темы ( в том числе Классическая),winmgmt - WMI , ну еще пару-тройку - отключать не советую, так как будут некоторые проблемы:)

Если залезет червь svchost.exe (он прописывается в другом каталоге - не C:\windows\system32 где живет родной svchost , то он просто не будет привязан ни каким службам и Вы его быстро вычислите.

-walker-

http://www.xptweaks.org/services_2.html

Посмотрите сюда-))

Добавлено:

http://www.xptweaks.org/services_2.html

Посмотрите сюда-))

Привет всем!
Проблема с svchost.exe! Сразу скажу - тема с вирусами исключается!!!
Сделал дистрибутив ХР под себя. Стандартная установка с cd. Вроде нормаль.
СтОит только добавить в дистрибутив winnt.sif (unattend-установка), так сразу после установки, при первой загрузке ХР svchost грузит проц на 100%.
При этом tasklist /SVC показывает, что это некий(-ая, -ое) Dnscache!
Что это за хрень?
Присутствуют также подозрения на ADSL-модем (D-Link 500T).... ибо при отключении оного проблема пропадает...
Может у кого есть мыслишки по поводу? Поделитесь, плиз!

gadfly1 Dnscache!
Что это за хрень?HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\ В services.msc - DNS Client
Описание blackviper.com DNS Client Resolves and caches DNS names and Active Directory domain controller functions. This service is not required for DNS lookups, but if it makes you happy to have it running, you may. However, DNS Client is required if using IPSEC. If you attempt to "repair" your network connection and a dialog box complains that the "DNS resolver failed to flush the cache," this service is the reason.
Default XP Home: Automatic
Default XP Pro: Automatic
Safe Setting: Automatic
Service name (registry): Dnscache
Dependencies:
What service DNS Client needs to function properly:
TCP/IP Protocol Driver
IPSEC driver
What other service require DNS Client to function properly:
None

Пробовал убить его ,тот из четырёх ,который в диспетчере задач жрёт больше памяти,система ответила что принудительно завершен системный прцес,посоветовала сохранить данные и перезагрузилась через 30 сек.!
(Штатными средсвами убить его нельзя, а Procexp от <www.sysinternals.com > может) Так что трогать его не нужно,
вообще он (svchost.exe) включен на любых (по конфигурации)машинах с ХР и 2000 с отключенными службами и нет
причем у меня, так даже служба восстановления системы оключена
(Это к вопросу о постоянном "хрусте винчестера"-кому не нравиться ==выполнить==mscohfig=службы---снять птичку ) А вот под этим названием но с цифрами прячется вирус,но тут Касперский нормально справляется,надо только обновлять его регулярно.

у меня тоже проблема с svchost.exe.
он постоянно обращается к какому-то адресу.
при этом порт по которому он обращается постоянно увеличивается на единицу!
касперский, ad aware не помогает.
может кто-нибудь знает как тут быть?

Сразу поясню: мне понятны процессы описанные в моей проблеме, мне непонятно другое - нафиг они вообще происходят? За все время пользования компа такого небыло. А происходит вот что:

При запуске экзешника (exe) сначала, автоматом запускается svchost.exe (экзешник пока незапускается), а мой файрвол пишет "Application is launcher other application" - я пытаюсь запретить запуск "other application" т.е. svchost.exe, но тогда незапускается экзешник.
А если разрешить запуск svchost.exe, то файрвол выдает предупреждение "Replacing application" с текстом
'экзешник.exe' application has been modified since it was last run. Permit
running the modified application or deny it if you no longer trust the
application. An application is usually modified when infected by a virus but
also after an upgrade to a newer version, for example.
-----------------Details-------------------------------
Application path: g:\Super Programma\экзешник.exe
Description: экзешник.exe
File version:
Product name:
Product version:
Created: 2005/3/17, 18:34:53
Modified: 2005/3/24, 06:22:30
Accessed: 2005/4/1, 20:00:00

Process started by:
Description:
File version:
Product name:
Product version:
Created: 1601/1/1, 00:00:00
Modified: 1601/1/1, 00:00:00
Accessed: 1601/1/1, 00:00:00

если запретить реплесинг, то прога незапускается, а при разрешении так же незапускается
и при последующем запуске тоже незапускается, но фарвол уже молчит.

Понятно что svchost.exe подменил мой экзешник сделав его нерабочим, но нафига он это делает??? Насколько я знаю svchost.exe это стандартная служба Windows.

траблы начались после появления в системе вируса Win32.Parite.b
Заразился путем подсоединения чужого винта: после загрузки системы появилась окошко с текстом, дословный текст не помню что-то вроде "сервер запущен" и левый номер IP, и понеслось...
Вирь вылечил Касперским,
в DOS'e снес на всех дисках папки Restore (включая System Volume Information), формотнул системный диск, переустановил WinXP, проверил еще раз все диски Касперским - чисто.
А эта трабла с svchost.exe меня уже достала

Как ибавится от этой шняги???
plz HELP!


ps
OS Windows XP без сервис-паков

Понятно что svchost.exe подменил мой экзешник сделав его нерабочим, но нафига он это делает???Первое, что приходит в голову: этот svchost.exe не является оригинальным процессом видновс, а является вирусом. Оригинальный процесс такого не делает, а вирус с таким же именем процесса существует. Если бы вы потратили 30 секунд на поиск (http://forum.oszone.net/search.php?f=6) по svchost* в названиях тем, то нашли бы большую тему про svchost, где и о вирусе упоминается и ссылка на статью М$ КВ с детальным описанием процесса есть. Мне пришлось это сделать за вас и прикрепить вашу тему к существующей.

OS Windows XP без сервис-паков
Вот вы их поставьте, и тогда можно будет серьезно разговаривать.

В общем, у меня, уже набившая вам осокмину, проблема с svchost.
В совершенно рандомный момент(даже при загрузке самой "выни") может выскочить ошибка о том, что "память не может быть read" по такому-то адресу. После чего становится проблематичным сохранение файлов и закрытие/перезапуск приложений и т.д. и т.п.
Казалось бы, запретил этой гадине выход в открытое море и живи счастливо, но не тут то было... Дело в том, что три при работе фаера, начинала лагать локальная сеть(пробовал разные настройки). Пробовал четыре фаера. Не влиял на работу сети только нортоновский. Но после перезапуска винды он мне радостно сообщил, что никаких прав изменять его настройки у меня нет, и, вообще, я ему не хозяин.

Это может быть и троян с таким же именем, но вполне вероятно, что это просто родной процесс винды. Надо сделать три вещи:
1. Установить антивирус с последними обновлениями и просканировать систему.
2. Установи Ad-Aware и Spy Bot Search and Destroy и просканируй систему.
Если все чисто, то тогда самое сложное:
3. http://support.microsoft.com/defaul...p;Product=winxp
что впрочем уже не раз советовалось при 100% загрузке процессора этим процессом. Статья описывает как узнать какие службы стоят за каждым из svchost.

Разным софтом с последними обновлениями были выполнены пункты 1 и 2. Всё в полной норме. Пункт 3 выполнить не представляется возможным, т.к. тасклист на команду /svc отвечает невозможностью запустить дочерний процесс.

Таки вопрос:
"а чо делать та?"

На машине стоит ХРя и заплатки:
KB835732
KB833330
KB823980
KB828741

З.Ы.
К поиску не отсылать, т.к. бОльшее количество тем мною прочтены.

XelloS
Я конечно извиняюсь, но не совсем понял, по моему грабли с svchost и "память не может быть..." это разные вещи :idontnow: память на ошибки memtest86 проверялась?

Уважаемый, а вам не кажется, что окошко вида

ошибка svchost.exe
инструкция по адресу <бла-бла-бла> обратилась к памяти по адресу <бла-бла-бла>. Память не может быть
"read"
Для завершения приложения нажмите "ОК", для отладки - "ОТМЕНА"
|OK| |ОТМЕНА|

а так же ряд других симптомов(неоднократно указанных именно в этой теме) являются явным намёком на то, что что-то не так именно с svchost'ом? Я, конечно, могу ошибаться, но...


память на ошибки memtest86 проверялась?

Ещё нет. Сегодня займусь. Терять всё равно уже нечего...

Кстати, не подскажете как я могу просмотреть что творится в памяти по указанному адресу(он всегда один. Никак не запишу)? Я так полагаю, нужен HEX-редактор(или что-то вроде) с возможностью "читать" память и вести в ней поиск... У меня есть подобная прога, но она искать не умеет... А вручную всё перебирать - это мазохизм. Я буду крайне признателен если поможете =)

XelloS
Ладно, хоть лично Вами и не была указана конкретная формулировка причины ошибки, а мне нет возможности помнить все предыдущие сообщения и перечитывать их по-новой и при этом догадываться, что у Вас имеет место именно такая ситуация, примим Ваши возражения.
Кстати, не подскажете как я могу просмотреть что творится в памяти по указанному адресу
Позвольте спросить, Вы являетесь программистом достаточно высокого уровня, что бы прочитать содержимое дампа памяти и при этом еще понять, что там происходит и все это без наличия исходного кода приложения? Я думаю что это не так, иначе вопрос бы и не возник. Если нет, то все таки воспользуйтесь советом по проверке памяти, к тому же раз ошибка всегда происходит по одному и тому же адресу, я полагаю что он актуален.
Или на худой конец, попытайтесь сделать восстановление системных файлов:
Пуск --> Выполнить --> sfc /scannow

2all,
вот такая ситуция:
стоит ХР2 SP2, Agnitum Outpost 2.5.370.4626 (370)
последний настроен и работает в режиме блокировки,
есть в системе файл которого зовут alg.exe, так этот
файл постоянно прописывается в агнитуме в разрешенные
программы, хотя я его ставил в запрещенные, что бы это
значило, и как это побороть? вырубить его не нашел способа :(

alg это Служба шлюза уровня приложения (Application Layer Gateway Service)
Оказывает поддержку протоколов третьей стороны протоколов PnP для общего доступа к подключению к Интернету и подключений к Интернету с использованием брандмауэра. Эта служба нужна при использовании Брандмауэра Интернета / Общего доступа к Интернету для подключения к интернету. Служба занимает около 1.5 Mb в оперативной памяти.

Значение по умолчанию в Windows XP Home: Вручную
Значение по умолчанию в Windows XP Pro: Вручную
Рекомендуемое значение: Вручную

Вход от имени: Локальная служба

Зависимость:

Какие службы нужны для нормального функционирования Службы шлюза уровня приложения (Application Layer Gateway Service):
Никакие

Какие службы требуют Службу шлюза уровня приложения (Application Layer Gateway Service) для нормального функционирования:
Брандмауэр Интернета (ICF) /Общий доступ к Интернету (ICS) (Internet Connection Firewall/Internet Connection Sharing)

Прочитал почти всю тему НО так и не нашел четкого ответа.
У меня от этих svchost'ов осталось всего 30-40 мб свободной памяти и проц загружен от 30-100%
Вчера еще такого не было! ДВА раза переустанавливал винду с полным форматированием харда! ТАК ЧТО нужно СДЕЛАТЬ, чтобы они не жрали так много ресурсов!???