Хммм... Хочу вас немного обрадовать - появилась какая-то новая дрянь маскирующаяся под svchost.exe.
Имеющиеся у меня антивири - Панда и АВГ со всеми последними базами ничего подозрительного не видят.
Скачал еще пару - один прогнал в пустую, второй - еще не закончил...
Проявления:
- система работает заметно медленнее
- появляются сбои в сетевом соединении
Обнаружение:
- АВГ - закладка Анализ, страница Соединения, визуально svchost.exe с соединениями на 25 порт.
Функционирование:
- изначально запускается три инстанса svchost.exe - с какими ключами Я пока не выяснил.
- два из запущенных контролируют функционирование сисемы - наличие соединения, трассировки и т.п.
- третий - коннектится на какой-то хост в инете.
- далее запускается 10-30 инстансов svchost.exe, коннектящихся на различные SMTP-сервера и отсылающих почту.
Лечение:
- возможности полностью удалить эту радость пока не нашел.
- частичное решение - сразу после запуска отключить сетевое соединение, убить процесс svchost.exe использующий порт >2000.

Вообще-то я этот свхост считал майкрософтовской заразой! И давно заметил у себя, что их в таскменеджере два всегда отражается.
Один только с "домом" (майкрософт)связывается, а вот другой во многих соединениях замечен.
Когда я прекращаю этот процесс через таскменеджер, то не могу в некоторые программы зайти, в основном связанные с инетом. А останавливал я его несколько раз, потому-что слышу процессы какие-то идут, когда я ничего не делаю в компе.
Мне теперь тоже жуть как интересно стало, что за зверюга? И, главное он на всех виндах у меня открыт, поэтому я спокоен!

Не пугай....

svchost.exe если конечно это не троян-подмена запускает службы
посмотри какие службы лезут на 25 порт и убей. svchost.exe то тут причём?

Так какой порт? 25 или 2000?
и как узнать каким портом эта зараза пользуется?
заметил у себя уже несколько недель замедление системы и частые сбои WLAN, буду дома остальное

Ты лаптоп почистил от пыли?

я cports пользую.
<<<<

25 port -стандартный почтовый порт, который (кроме обычных почтовых серверов) используется троянами для рассылки спама
2000 порт - в стандартах не закреплён. в принципе программам незачем куда-то лезть по этому порту

почистил, кусок пыли из радиатора вытащил, пришлось весь лаптоп на кусочки разобрать
теперь перестал грется и шуметь

короче правильному svchost.exe на 25-ом порту делать нечего? я правильно понимаю

svchost.exe всего лишь подставка для других программ. искать надо того, кто сидит у него в параметрах, как у меня на скрине.
25 порт нужен только емайл-клиенту ,для отправки почты , может быть ещё антивирусу для её проверки .

Хммм... За зря Я вроде бы молотить по кнопарикам не стал...
Проблема - есть, проблема реальная - какая-то гадость на компе.
Перегружусь - пришлю скрин с трекированием соединений.

svchost.exe если конечно это не троян-подмена запускает службы
-----
Вроде нет. По крайней мере размер svchost.exe совпадает с файликом из севриспака. Лежит - тоже правильно, лишних дублей нет. Один довольно глупый моментик - имеется пре-лаунч файлик несколько большего размера... ну да его Я потер.
посмотри какие службы лезут на 25 порт и убей. svchost.exe то тут причём?
-----
Картинку ты повесил красивую. У меня на ХР такая не получается. Где ее взять?
Думаю, что этим обойтись не удастся - отлавливать надо первичное соединение - оно не на 25-м. Но в принципе где-то рядом...

стандартный таскменеджер висты.
можно посмотреть - идаже больше программкой TaskInfo

ищи кого запускает svchost.exe и убей.
кстати в журнале событий виндовса можно настроить лог запусков всех процессов, включая pid родителя. а потом посмотреть, кто балует

Вот картинка от COMODO. Это - начало, непосредственно после загрузки. Через пару тройку минут будет штук 30 соединенй и трафик в на пределе пропускной способности канала...

ищи кого запускает svchost.exe и убей.
-----
Если бы нашел - описал бы как прибил. Посмотрел CSpots'ом рекомендованным Kastrator - svchost.exe процессы - видны, но вот какие сервисы запускаются - не показывается. Реестр Я проверял вчера - вроде лишних (не описанных) сервисов не зарегистрировано. Так что, похоже, что-то стороннее пользует svchost.exe
кстати в журнале событий виндовса можно настроить лог запусков всех процессов, включая pid родителя. а потом посмотреть, кто балует
-----
Видимо это и придется делать. Правда не приходилось делать это средствами виндов. Обычно SysUtils&Co...
Как это делается в ХР?

для начала поставь TaskInfo она правда не фриварная , но может найдё┬шь аналог, а не найдёшь уложишься в тестовый период
она тебе скажет, кого запускает svchost.exe
контроль включается в
Lokale Sicherheitsrichtlinie -> Locale Richtlinien -> Uberwachungsrichtlinien-> Processverfolgung uberwachen
как надругих языках - не знаю, думаю разберёшься

Посмотри плиз утилитки на www.nirsoft.neт, вдруг помогут.
...
я не РЕКОМЕНДОВАЛ, я просто сказал чем я смотрел, но там не все видно

Отсюда http://technet.microsoft.com/en-us/sysinternals/cb56073f-62a3-4ed8-9dd6-40c84cb9... тяни Process Explorer, и будет тебе счастье.

Включил аудит событий. Имею кучу... порядка 1500 сообщений за пяток минут... вида:
The Windows Firewall has detected an application listening for incoming traffic.

Name: -
Path: E:\WINXP\system32\svchost.exe
Process identifier: 1864
User account: SYSTEM
User domain: NT AUTHORITY
Service: Yes
RPC server: No
IP version: IPv4
IP protocol: UDP
Port number: 3406
Allowed: No
User notified: No
Правда это не Виндовый файрволл, но винде об этом знать и не надо-ть...
Процесс коннекчения к удаленному хосту по прежнему запускается регулярно. Подключения к этому хосту Я зарезал на файрволе - дополнительных выходных (на 25 порт) соединений не появляется.
Отфильтровал активность svchost.exe (см. ниже) Запуск этого процесса Process Monitor не отлавливает. Те треды, что ловятся выглядят вполне легальными. Тем не мение - АВГ по прежнему регистрирует попытки svchost.exe законектится на удаленный хост.
379598 14:53:03,6643437 svchost.exe 1000 Thread Create SUCCESS Thread ID: 1424
383178 14:53:06,6284033 svchost.exe 2304 Thread Exit SUCCESS User Time: 0.0312500, Kernel Time: 0.0468750
431319 14:53:36,5968804 svchost.exe 932 Thread Exit SUCCESS User Time: 0.0000000, Kernel Time: 0.0000000
474023 14:54:02,6125362 svchost.exe 1236 Thread Exit SUCCESS User Time: 0.0000000, Kernel Time: 0.0156250
474024 14:54:02,6126662 svchost.exe 1236 Thread Exit SUCCESS User Time: 0.0000000, Kernel Time: 0.0156250
504372 14:54:23,0654633 svchost.exe 1236 Thread Exit SUCCESS User Time: 0.0156250, Kernel Time: 0.0000000
531278 14:54:39,0811635 svchost.exe 1000 Thread Exit SUCCESS User Time: 0.0000000, Kernel Time: 0.0000000
593824 14:55:19,5655318 svchost.exe 1736 Thread Create SUCCESS Thread ID: 488
656163 14:55:59,5808845 svchost.exe 1736 Thread Exit SUCCESS User Time: 0.0000000, Kernel Time: 0.0000000
984772 14:59:03,6268692 svchost.exe 1000 Thread Exit SUCCESS User Time: 0.0625000, Kernel Time: 0.0781250
984773 14:59:03,6269944 svchost.exe 2304 Thread Exit SUCCESS User Time: 0.0000000, Kernel Time: 0.0000000
985345 14:59:03,8299973 svchost.exe 1000 Thread Exit SUCCESS User Time: 0.0000000, Kernel Time: 0.0000000