|
Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Процесс svchost.exe запущен от имени пользователя |
|
Процесс svchost.exe запущен от имени пользователя
|
Старожил Сообщения: 393 |
Профиль | Отправить PM | Цитировать
Доброго времени суток у меня такая проблема процесс svchost.exe запущен от имени пользователя, а как я понял из всего Рунета это Троян. Но проблема в том, что, ни один антивирус не определяет его, комп сканировался каспером 6, нодом и набором бесплатных утилит(procexp, AnVir Task Manager, FixWelch, Dr.Web CureIt). Файл svchost.exe лежит в двух местах (см прил). помогите пожалуйста определить что за зверь. Выкладываю логи по правилам.
|
|
Отправлено: 09:06, 09-10-2008 |
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже в окно выполнения скрипта AVZ и нажать кнопку «Запустить».
begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\system32\svchost.exe:debug.exe:$DATA',''); QuarantineFile('C:\temp\HWiNFO32.SYS',''); QuarantineFile('C:\Program Files\Total Sorofix 888\Programm\VolumeControl\volume.exe',''); QuarantineFile('C:\Program Files\CLCL\CLCL.exe',''); QuarantineFile('C:\Program Files\RimArts\B2\B2.exe',''); DeleteFile('c:\windows\system32\svchost.exe:debug.exe:$DATA'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Файл quarantine.zip отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked". Цитата:
Удалите Bonjour Service см. здесь или здесь Повторите логи. Если лог от Kaspersky Online Scanner сохранился, можете его запаковать и приложить. |
|
------- Отправлено: 09:58, 09-10-2008 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Старожил Сообщения: 393
|
Профиль | Отправить PM | Цитировать Спасибо большое! На почту файлик отправил. А не могли бы вы подробнее объяснить что это за хрень, откуда она берется и что мы с вами сделали этими скриптами. И такой вопрос теперь не доверяю ни касперу ни доктору вебу ни ноду, хочу поставить zone allarm, не посоветуете какую версию лучше? Логи вылаживаю в AVZ были еще красные надписи это ничего?
|
Последний раз редактировалось tarakan1983, 24-10-2008 в 00:13. Отправлено: 21:48, 09-10-2008 | #3 |
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать Цитата tarakan1983:
Цитата tarakan1983:
Цитата:
Файла HWiNFO32.SYS физически нет, поэтому можно почистить реестр, выполните скрипт begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('HWiNFO32'); DeleteFile('C:\temp\HWiNFO32.SYS'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Некоторые файлы из карантина ушли на анализ вирлаб, подождем ответа. |
|||
------- Отправлено: 09:02, 10-10-2008 | #4 |
Старожил Сообщения: 393
|
Профиль | Отправить PM | Цитировать Примного благодарен за полный ответ
|
|
Отправлено: 09:06, 10-10-2008 | #5 |
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать tarakan1983, пришел ответ из вирлаба по файлам CLCL.exe и svchost.exe:debug.exe:$DATA
Цитата:
|
|
------- Отправлено: 16:25, 11-10-2008 | #6 |
Старожил Сообщения: 393
|
Профиль | Отправить PM | Цитировать По поводу CLCL.exe, это дополнительная примочка к буферу обмена, я все логи смотрел сам, все что там могу объяснить кроме svchost.exe:debug.exe:$DATA. Извените за тупость, что означает
No malicious software was found in the attached file. Нет вирусов? |
Отправлено: 17:05, 11-10-2008 | #7 |
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать tarakan1983, это значит, что аналитики вирлаба не нашли в файлах ничего вредоносного, рез-ты virustotal здесь
|
------- Последний раз редактировалось Pili, 13-10-2008 в 18:01. Отправлено: 07:57, 13-10-2008 | #8 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Через процесс svchost.exe уходит трафик, приём и отправка | Белтон | Лечение систем от вредоносных программ | 4 | 25-11-2009 10:19 | |
[решено] Узнать имя пользователя, от которого запущен процесс | vitalisvv | AutoIt | 4 | 16-09-2009 01:16 | |
висит процесс ЎЎЎЎЎЎ.lnk, запущен XP-2E59DEA7.EXE | peugep | Лечение систем от вредоносных программ | 34 | 20-06-2009 18:12 | |
Процесс запущен от имени *** | antOOn | Microsoft Windows 2000/XP | 6 | 01-08-2005 15:21 | |
Теория - Как определить запущен ли процесс? | Gmix | Программирование и базы данных | 3 | 30-06-2004 15:14 |
|