Файл svchost.exe в папке SysWOW64
Здравствуйте!
Недавно обнаружил фоновый процесс без названия (значок шестеренки без имени), посмотрел подробности это svchost.exe и находится в SysWOW64. Антивирус и AVZ ничего не обнаружили. Но я понял что это вирус или троян.
Всё решил проблему! Установил Kaspersky Virus Removal Tool и при проверке он обнаружил этот троян и удалил.
Написал своё решение проблемы вдруг кому пригодится.
Последний раз редактировалось Microman; 08.05.2018 в 22:00.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Microman, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте,
Если Вы захотите, чтобы мы проанализировали логи, так как возможны случае остатков угрозы в системе, то предоставьте логи согласно правилам.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Здравствуйте,Сообщение от SQ
Вот предоставил логи, посмотрите не осталось ли остатков и каких-либо других угроз.
Последний раз редактировалось Microman; 10.05.2018 в 14:30.
Сами устанавливали?
HiJackThis (из каталога autologger)профикситьКод:C:\Users\1\AppData\Roaming\DRPSu\DrvUpdater.exe
Код:O2-32 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file) O22 - Task: (disabled) \Microsoft\Windows\PerfTrack\BackgroundConfigSurveyor - {EA9155A3-8A39-40B4-8963-D3C761B18371} - (no file) O22 - Task: (disabled) \Microsoft\Windows\Shell\WindowsParentalControls - {DFA14C43-F385-4170-99CC-1B7765FA0E4A} - (no file) O22 - Task: (disabled) \Microsoft\Windows\Shell\WindowsParentalControlsMigration - {343D770D-7788-47C2-B62A-B7C4CED925CB} - (no file) O22 - Task: (disabled) \Microsoft\Windows\SideShow\AutoWake - {E51DFD48-AA36-4B45-BB52-E831F02E8316} - (no file) O22 - Task: (disabled) \Microsoft\Windows\SideShow\SessionAgent - {45F26E9E-6199-477F-85DA-AF1EDFE067B1} - (no file) O22 - Task: (disabled) \Microsoft\Windows\SideShow\SystemDataProviders - {7CCA6768-8373-4D28-8876-83E8B4E3A969} - (no file) O22 - Task: \Microsoft\Windows\NetCfg\BindingWorkItemQueueHandler - {5AA199A0-1CED-43A5-9B85-3226086738A3} - (no file) O22 - Task: \Microsoft\Windows\SideShow\GadgetManager - {FF87090D-4A9A-4F47-879B-29A80C355D61},$(Arg0) - (no file)
- Подготовьте лог AdwCleaner и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
C:\Users\1\AppData\Roaming\DRPSu\DrvUpdater.exe - это сам не устанавливал.
Кстати, ещё заметил два процесса conhost.exe запущенных от имени пользователя и безымянный процесс (значок шестеренки), который появляется при включении компьютера и через несколько секунд пропадает. Возможно это тот процесс о котором писал вначале. Он тоже svchost.exe но уже в System32.
Лог сделал.
Последний раз редактировалось Microman; 10.05.2018 в 23:17.
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Всё сделал. Вот отчет.
- Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Сделал. Вот отчет.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: File: C:\Program Files (x86)\Deepoon\bin\DPNAssistant.exe CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION Toolbar: HKU\S-1-5-21-2073281324-1432588985-2932593483-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx File: C:\Program Files (x86)\Deepoon\Service\VIRService.exe File: C:\Program Files\Oculus\Support\oculus-librarian\OVRLibraryService.exe U3 idsvc; no ImagePath 2018-05-11 15:18 - 2018-02-25 13:05 - 000000000 ____D C:\Users\Все пользователи\IObit 2018-05-11 15:18 - 2018-02-25 13:05 - 000000000 ____D C:\Users\1\AppData\Roaming\IObit 2018-05-11 15:18 - 2018-02-25 13:05 - 000000000 ____D C:\Users\1\AppData\LocalLow\IObit 2018-05-11 15:18 - 2018-02-25 13:05 - 000000000 ____D C:\ProgramData\IObit Folder: C:\ProgramData\Sysconfig Folder: C:\ProgramData\Files Manager Folder: C:\Users\Все пользователи\Microsoft Help ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} => -> No File Task: {0AF0FE6C-842D-49F3-85CB-8BB49C65CFB2} - \APSnotifierPP3 -> No File <==== ATTENTION Task: {1317BFFF-A3FB-4772-82E1-AD4E3E4087E1} - \APSnotifierPP1 -> No File <==== ATTENTION Task: {16670753-BE19-4101-A86F-1DE512E7A41A} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION Task: {179718F8-2C4A-494A-87FB-7532A1C24BBB} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION Task: {22B9F4E6-BFE3-4762-9367-D57A16C1508F} - \APSnotifierPP2 -> No File <==== ATTENTION Task: {8C090C76-5D35-4B4A-89EC-4C2D7C6D4EA5} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION Task: {96AF0368-4E87-4779-B0BE-6116B0157B85} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION Task: {97A21793-FE4A-4294-A688-06D04415347D} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION Task: {9B4FAC48-D681-4684-8F66-F853FCC38B0A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION Task: {B3031E00-5E82-434B-944B-70E73EDF38D4} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION Task: {D0F17E1E-6657-4D52-AC0B-201D52004EFD} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION Task: {D7CD6EFD-CE77-4FE4-AA52-51D90EB4F02C} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION Task: {DBC785B5-3BA0-4D41-9E27-2DF10642B6BF} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION Task: {E3852513-45C8-49CA-91DE-88C36B78DD90} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION Task: {F66CD6C6-2E5D-43EE-AC2F-BDA67703859A} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION AlternateDataStreams: C:\ProgramData\TEMP:4D348522 [143] AlternateDataStreams: C:\ProgramData\TEMP:5C353220 [136] AlternateDataStreams: C:\ProgramData\TEMP:797D7632 [108] AlternateDataStreams: C:\ProgramData\TEMP:BF2225C8 [278] AlternateDataStreams: C:\Users\Public\AppData:CSM [478] AlternateDataStreams: C:\Users\Все пользователи\TEMP:4D348522 [143] AlternateDataStreams: C:\Users\Все пользователи\TEMP:5C353220 [136] AlternateDataStreams: C:\Users\Все пользователи\TEMP:797D7632 [108] AlternateDataStreams: C:\Users\Все пользователи\TEMP:BF2225C8 [278] MSCONFIG\startupreg: DrvUpdater => C:\Users\1\AppData\Roaming\DRPSu\DrvUpdater.exe /hide HKU\S-1-5-21-2073281324-1432588985-2932593483-1000\...\StartupApproved\Run: => "Microsoft Visual C++ 2010" HKU\S-1-5-21-2073281324-1432588985-2932593483-1000\...\StartupApproved\Run: => "ZetaGamesNews" HKU\S-1-5-21-2073281324-1432588985-2932593483-1000\...\StartupApproved\Run: => "ZetaGamesViewer" Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Сделал указанное. Вот лог.
Сообщите, что с проблемой?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Проблема исчезла. Svchost.exe исчез из sysWOW64 и один conhost.exe из system32. Но один conhost.exe остался и два безымянных процесса (значок шестеренки) которые появляются при включении компьютера и через несколько секунд пропадают (они svchost.exe из system32). Один Network Service, называется MapsBroker и в описании он указан как "Диспетчер скачанных карт". Второй запущен от имени пользователя и у него выполняются четыре службы:
UserDataSvc_452e2 Служба доступа к данным пользователя_452e2
UnistoreSvc_452e2 Служба хранения данных пользователя_452e2
PimIndexMaintenanceSvc_452e2 Служба контактных данных_452e2
OneSyncSvc_452e2 Синхронизация узла_452e2
Это нормально или есть ещё угрозы?
По описанию и согласно логам все ок. Но давайте еще посмотрим что покажет другой лог.
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Вот сделал лог.
Выполните скрипт в uVS:
Код:;uVS v4.0.11 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c OFFSGNSAVE BREG zoo %SystemDrive%\PROGRAM FILES (X86)\UPLAY.BAT zoo %SystemDrive%\PROGRAM FILES (X86)\UNINSTALL.BAT zoo E:\PROGRAM FILES\OOZILAUNCHER.BAT delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER\UNITYWEBPLUGINAX.OCX restart
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Выполнил скрипт.
Уточните пожалуйста, образовался ли файл карантина?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Появилась папка ZOO и там текстовые файлы. И один текстовой файл в самой папке uVS.
Последний раз редактировалось Microman; 14.05.2018 в 16:08.
Уважаемый(ая) Microman, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
