Старый 10.03.2015, 00:57   #1
Eternity
Администратор
 
Аватар для Eternity
 
Регистрация: 21.11.2014
Сообщений: 2,874
Сказал(а) спасибо: 10
Поблагодарили 76 раз(а) в 70 сообщениях
Настроение: Daring
Репутация: 97
По умолчанию определяем маскировку вируса под процесс svchost.exe

Начнем с того, что Generic Host Process for Win32 Services (а именно и есть тот самый svchost) представляет из себя системный процесс, вселенски важный в существовании Windows, а именно тех служб, программ и сервисов системы, которые используют, так называемые, DLL-библиотеки.




Этих самых svchost.exe и впрямь может быть в системе решительно много, ведь службам и программам довольно затруднительно дружно использовать и возюкаться с одним процессом (их то, служб, много, а бедный беззащитный svchost совсем один), а посему обычно системой запускаются несколько экземпляров сего счастья, но с разными номерами (идентификаторами процесса, если быть точным). Соответственно, каждый svchost.exe обслуживает свой набор служб и программ, а посему, в зависимости от количества их в Windows, число этих самых процессов svchost может варьироваться от штуки до нескольких десятков. Еще раз для тех кто не понял: это процессы системы и трогать их не надо.
Но действительно, бывают ситуации, когда под этот процесс маскируются вирусы (еще раз хочу заострить внимание: именно маскируются, именно вирусы, а не сам процесс является вредоносным). Давайте разбираться как их вычислить и что с ними делать.

распознаем вирус svchost, а точнее гадости под него маскирующиеся
Начнем с того, что системный svchost.exe обитает исключительно в папке:
C:\WINDOWS\system32
C:\WINDOWS\ServicePackFiles\i386
C:\WINDOWS\Prefetch
С:\WINDOWS\winsxs\*



Где C:\ – диск куда установлена система, а * – длинное название папки вроде amd64_microsoft-windows-s..s-svchost.resources_31bf3856ad364e35_6.1.7600.16385_ ru-ru_f65efa35122fa5be
Если он находится в любом другом месте, а особенно каким-то чудом поселился в самой папке WINDOWS, то наиболее вероятно (почти 95,5%), что это вирус (за редким исключением).
Привожу несколько самых путей маскировки вирусами под этот процесс:

C:\WINDOWS\svchost.exe
C:\WINDOWS\system\svchost.exe
C:\WINDOWS\config\svchost.exe
C:\WINDOWS\inet20000\svchost.exe
C:\WINDOWS\inetsponsor\svchost.exe
C:\WINDOWS\sistem\svchost.exe
C:\WINDOWS\windows\svchost.exe
C:\WINDOWS\drivers\svchost.exe



И несколько самых часто используемых названий файлов, вирусами маскирующимися под svchost.exe:

svсhost.exe (вместо английской “c” используется русская “с”)
svch0st.exe (вместо “o” используется ноль)
svchos1.exe (вместо “t” используется единица)
svcchost.exe (2 “c”)
svhost.exe (пропущено “c”)
svchosl.exe (вместо “t” используется “l”)
svchost32.exe (в конец добавлено “32″)
svchosts32.exe (в конец добавлено “s32″)
svchosts.exe (в конец добавлено “s”)
svchoste.exe (в конец добавлено “e”)
svchostt.exe (2 “t” на конце)
svchosthlp.exe (в конец добавлено “hlp”)
svehost.exe (вместо “c” используется “e”)
svrhost.exe (вместо “c” используется “r”)
svdhost32.exe (вместо “c” используется “d” + в конец добавлено “32″)
svshost.exe (вместо “c” используется “s”)
svhostes.exe (пропущено “c” + в конец добавлено “es”)
svschost.exe (после “v” добавлено лишнее “s”)
svcshost.exe (после “c” добавлено лишнее “s”)
svxhost.exe (вместо “c” используется “x”)
syshost.exe (вместо “vc” используется “ys”)
svchest.exe (вместо “o” используется “e”)
svchoes.exe (вместо “st” используется “es”)
svho0st98.exe
ssvvcchhoosst.exe




Посмотреть название файла можно в диспетчере задач, хотя я рекомендую сразу использовать Process Explorer, благо, используя его, можно сразу посмотреть пути и прочую информацию просто сделав двойной клик по процессу в списке.
Eternity вне форума   Ответить с цитированием Вверх
Старый 10.03.2015, 00:57   #2
Eternity
Администратор
Топик Стартер ТС
 
Аватар для Eternity
 
Регистрация: 21.11.2014
Сообщений: 2,874
Сказал(а) спасибо: 10
Поблагодарили 76 раз(а) в 70 сообщениях
Настроение: Daring
Репутация: 97
По умолчанию Re: определяем маскировку вируса под процесс svchost.exe

удаляем вирус svchost.exe


В удалении этой гадости (если она все таки ею является) нам поможет старый-добрый AVZ.
Что делаем:

1)Скачиваем avz,
http://z-oleg.com/avz4.zip

распаковываем архив, запускаем avz.exe
2)В окне программы выбираем “Файл” – “Выполнить скрипт“.
3)Вставляем в появившееся окно скрипт:

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('сюда вставлять путь к файлу (главное не перепутать кавычки))','')
DeleteFile('сюда вставлять путь к файлу (главное не перепутать кавычки)');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

Где, как Вы понимаете, под словами “сюда вставлять путь к файлу (главное не перепутать кавычки)” нужно, собственно, вставить этот путь, т.е, например: C:\WINDOWS\system\syshost.exe прямо между, т.е получиться строки должны так:

Код:
QuarantineFile('C:\WINDOWS\system\syshost.exe','');
DeleteFile('C:\WINDOWS\system\syshost.exe');
Далее
Жмем “Запустить“, предварительно закрыв все программы.





Ждем перезагрузки системы
Проверяем наличие файла
Проводим полноценную проверку на вирусы.

PS: Многие сталкиваются с тем, что svchost загружает процессор и систему вообще. Часто это связано с тем, что в системе находится вирус, рассылающий спам или создающий прочий вредный трафик, из-за чего процесс активно используется оным. Как правило это лечится сканированием на вирусы и последующей чисткой от них.
Eternity вне форума   Ответить с цитированием Вверх
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы можете создавать новые темы
Вы можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.



Текущее время: 02:49. Часовой пояс GMT +3.

 
 
vBCredits v1.4 Copyright ©2007 - 2008, PixelFX Studios
Рейтинг@Mail.ru