Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

svchost запустился от имени пользователя (заявка № 55181)

  1. #1
    Junior Member Репутация
    Регистрация
    15.09.2009
    Сообщений
    19
    Вес репутации
    31

    Thumbs up svchost запустился от имени пользователя

    Один из процессов svchost запустился от имени пользователя, насколько мне известно такое поведение характерно для вирусов. Он попытался прописать в авторан процесс ikowin32.exe, однако у меня стоит программа Spyware Terminator, которая меня об этом предупредила и я ему это не позволила, так как это вроде бы вирус. Кстати, Spyware Terminator показывал, что эти svchost и ikowin32.exe запускались как какие-то части обновления Adobe Reader, так как у процессов отображался его значок.
    Проверьте, пожалуйста, логи. Может я, конечно, на воду дую, но уж лучше так, чем опять грохнуть систему.
    Логи virusinfo_syscure и HijackThis сделаны, когда этот svchost работал, virusinfo_syscheck - после перезагрузки, когда его уже нет, согласно process explorer'у.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    848
    Версия Adobe reader-а у вас какая?
    Программа AVZ - файл - выполнить скрипт - выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\Drivers\dwprot.sys','');
     QuarantineFile('C:\PROGRA~1\Crawler\Toolbar\ctbr.dll','');
     QuarantineFile('C:\DOCUME~1\Sonya\LOCALS~1\Temp\fgtyakog.sys','');
     DeleteFile('C:\DOCUME~1\Sonya\LOCALS~1\Temp\fgtyakog.sys');
     BC_DeleteFile('C:\DOCUME~1\Sonya\LOCALS~1\Temp\fgtyakog.sys');
    BC_ImportquarantineList;
    BC_Activate;
    ExecuteSysClean;
    SetAVZPMStatus(true);
    RebootWindows(true);
    end.
    После перезагрузки, карантин AVZ загрузите по ссылке в шапке темы, как написано в прил.3 правил, и повторите лог исследования системы.

  4. #3
    Junior Member Репутация
    Регистрация
    15.09.2009
    Сообщений
    19
    Вес репутации
    31
    Карантин закачала.
    Версия Adobe reader-а восьмая.

    Во время выполнения скрипта AVZ сообщил, что что-то не смог открыть, но я не успела запомнить - что именно, так как практически сразу после этого он сообщил, что скрипт выполнил и отправил машину на перезагрузку.

    После перезагрузки обнаружилось какое-то неизвестное устройство. Что это такое - понять не удалось, так как в диспетчере устройств оно относится к другим устройствам. Драйвера на это тоже не нашлись. Вроде все подключенные внешние устройства работают - флешка, наушники, модем... Дисковод тоже.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    848
    Программа AVZ - верхнее меню "AVZPM" - выполните "Удалить и выгрузить драйвер расширенного мониторинга процессов"
    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    Clearquarantine;
    QuarantineFile('\SystemRoot\System32\Drivers\Parport.SYS','');
    QuarantineFile('C:\WINDOWS\System32\Drivers\Parport.SYS','');
     QuarantineFile('C:\WINDOWS\system32\USER32.dll','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
    BC_ImportquarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки, если карантин будет не пустой, загрузите его по ссылке в шапке темы.
    Adobe reader, особенно, если вы открываете pdf-файлы прямо в окне браузера, следует обновить - http://get.adobe.com/reader/ - или, хотя бы, обновить версию 8 через встроенную обновлялку (должен обновиться до версии 8.1.3)
    У вас виден установленный DrWeb, но ощущение такое, что он неактивен. Вы его выключаете на время создания логов?

  6. #5
    Junior Member Репутация
    Регистрация
    15.09.2009
    Сообщений
    19
    Вес репутации
    31
    Все выполнила.
    Adobe reader обновила до девятой версии.

    Карантин не пустой, так что загрузила его по ссылке.
    Неизветсное устройство по-прежнему в наличии.
    Также опять прилагаю лог исследования системы, так как AVZ написал при его сборе:
    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    C:\PROGRA~1\AUDIOS~1\AUDIOS~1.DLL --> Подозрение на Keylogger или троянскую DLL
    C:\PROGRA~1\AUDIOS~1\AUDIOS~1.DLL>>> Поведенческий анализ

    DrWeb активен, отключала его только, когда выполняла скрипты и делала лог virusinfo_syscure.

    Кстати, опять при выполнении скрипта AVZ написал, что не мог что-то открыть, если я правильно запомнила, то речь шла о файле под названием aderyglu.sys (или что-то в этом роде). Еще после выполнении скрипта, когда он отправил компьютер на перезагрузку, комп сначала показывал минуты 3-4 пустой экран, только с картинкой рабочеко стола, без ярлыков, панели и т.п. и только потом завершил работу и перезагрузился, это нормально?

  7. #6
    Junior Member Репутация
    Регистрация
    15.09.2009
    Сообщений
    19
    Вес репутации
    31
    Извините, вы про меня не забыли?

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    848
    Файлы, которые вы прислали, чистые. Не попал в карантин один файл: C:\WINDOWS\System32\Drivers\Parport.SYS . Если есть желание завершить проверку возможно вредных, попробуйте вручную добавить его в карантин, загрузившись в безопасном режиме.
    Про DrWeb вы мне так и не ответили: он рабочий, или видны только остатки удаленного антивируса? И еще: зайдите в панель управления - "администрирование" - "службы" - найдите в списке служб "Центр обеспечения безопасности" и проверьте, какой у данной службы статус.

  9. #8
    Junior Member Репутация
    Регистрация
    15.09.2009
    Сообщений
    19
    Вес репутации
    31
    DrWeb рабочий, это никак не остатки. Его иконка в трее сообщает, что все включено, все работает. Обновляется регулярно, ключ лицензионный (с журнального диска).

    Статус службы "Центр обеспечения безопасности" сообщал, что она запускалась при загрузке, но почему то отображалось, что она не работала. Я ее запустила и поставила, чтобы запускалась автоматически. Вроде бы так было раньше, так что почему она отключилась, даже не знаю...

    Файл Parport.SYS пришлю завтра, мне нужно закончить работу и потому не хочется перегружать машину. Кстати, странно, что не попал, в карантине AVZ он присутствует... Но я завтра сделаю это еще раз вручную.

    Вы мне так и не ответили:
    1. 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    C:\PROGRA~1\AUDIOS~1\AUDIOS~1.DLL --> Подозрение на Keylogger или троянскую DLL
    C:\PROGRA~1\AUDIOS~1\AUDIOS~1.DLL>>> Поведенческий анализ
    Это ничего страшного?

    2. Что мне делать с неизвестным устройством, которое после выполнения скриптов показывает диспетчер устройств? Пусть так и висит там?

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    848
    Насколько я понимаю, этот перехватчик - часть программы для редактирования тэгов .mp3-файлов (если Гугл не врет, конечно). Доступна она должна быть в контекстном меню проводника, а делать вам с ней ничего не надо, если, конечно, она вам нужна.
    Что до появившегося неизвестного устройства - если оно появилось после выполнения первого скрипта, то попробуйте его просто удалить и напишите, будет ли оно обнаруживаться снова после перезагрузки.

  11. #10
    Junior Member Репутация
    Регистрация
    15.09.2009
    Сообщений
    19
    Вес репутации
    31
    Закачала новый карантин. Надеюсь сделала все правильно и файл там будет, по крайней мере в перечне был.

    Цитата Сообщение от Numb Посмотреть сообщение
    Насколько я понимаю, этот перехватчик - часть программы для редактирования тэгов .mp3-файлов (если Гугл не врет, конечно). Доступна она должна быть в контекстном меню проводника, а делать вам с ней ничего не надо, если, конечно, она вам нужна.
    Раз это не вирус, то пусть будет. Тем более что после обновления баз при последнем сборе данных AVZ на это уже не ругался (на всякий случай прикрепляю последний лог исследования системы).

    Цитата Сообщение от Numb Посмотреть сообщение
    если оно появилось после выполнения первого скрипта, то попробуйте его просто удалить и напишите, будет ли оно обнаруживаться снова после перезагрузки.
    Да, именно после первого скрипта появилось. Удалила. После перезагрузки оно вновь обнаружено не было. Спасибо ))

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    848
    Файл опять не пришел - карантин абсолютно идентичен последнему вчерашнему. В логах я ничего подозрительного больше не вижу.

  13. #12
    Junior Member Репутация
    Регистрация
    15.09.2009
    Сообщений
    19
    Вес репутации
    31
    Я очистила карантин и попробовала скопировать файл еще раз - бесполезно, пишет, что файл скопирован в карантин, но в карантине его нет.
    Я скопировала C:\WINDOWS\System32\Drivers\Parport.SYS вручную и просто заархивировала его с соответствующим названием архива и паролем. Отправила через ссылку вверху. Вроде бы в инструкции, ссылку на которую вы мне дали, написано, что так тоже можно?
    Надеюсь, что в этот раз вы его получите и тоже проверите.
    Спасибо, что столько со мной возитесь...

    Добавлено через 8 минут

    Извините, но возникла еще одна проблема.
    Заглянула в службы, чтобы проверить работает ли служба "Центр обеспечения безопасности" - показывает, что она не запущена, а когда пытаюсь запустить, пишет "Ошибка 123: Синтаксическая ошибка в имени файла, имени папки или метке тома". Тип запуска стоит Авто, Исполняемый файл - \SystemRoot\C:\WINDOWS\System32\svchost.exe -k netsvcs
    Последний раз редактировалось Соня; 21.09.2009 в 12:07. Причина: Добавлено

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    848
    parport.sys тоже чистый, больше подозреваемых у меня нет.
    По поводу службы: из логов видно, что с ней проблемы. Выполните следующее: "Пуск" - "выполнить" -
    Код:
    regedit
    . Внимание! будьте осторожны - не меняйте никаких других параметров, кроме тех, которые указаны. В открывшемся окне слева откройте ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\wscsvc\Parameters В окне справа правой кнопкой мыши щелкните на параметр serviceDLL , в контекстном меню выберите "изменить" - поменяйте значение параметра на
    Код:
    %SYSTEMROOT%\system32\wscsvc.dll
    Подтвердите изменения, закройте редактор реестра и попробуйте снова запустить проблемную службу.

  15. #14
    Junior Member Репутация
    Регистрация
    15.09.2009
    Сообщений
    19
    Вес репутации
    31
    Посмотрела регистр - там именно такое значение параметра и стоит... Попыталась запустить службу - та же ошибка...
    Причем Центр обеспечения безопасности в Панели управления - запускается. Показывает, что брандмауэр и автоматическое обновление включены. Однако недоступна функция "Изменить способ оповещений" и при попытке открыть справку, сообщает, что "Страница, которую вы пытаетесь просмотреть содержит некорректный адрес и не может быть отображена. Попробуйте другую страницу."
    На всякий случай опять прикладываю лог AVZ и лог HijackThis.

    P.S. Обратила внимание на строку HijackThis:
    Код:
    O23 - Service: Центр обеспечения безопасности (wscsvc) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)
    В связи с этим у меня возник вопрос - а должно в адресе исполняемого файла этой службы стоять именно \SystemRoot\C:\WINDOWS\System32\svchost.exe -k netsvcs ? Ведь SystemRoot по сути и есть C:\WINDOWS, то есть получается, что служба действительно ищет файл C:\WINDOWS\C:\WINDOWS\System32\svchost.exe и, разумеется, не находит его. Возможно или SystemRoot или C:\WINDOWS стоит убрать? Тем более, что у остальных служб в адресе исполняемого файла указывается только C:\WINDOWS\папка\файл без всяких SystemRoot

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    848
    Упс, это я ошибся. Проверяйте следующую ветку:
    Код:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
    . В ней проверьте значение параметра ImagePath. Должно быть:
    Код:
    %SystemRoot%\System32\svchost.exe -k netsvcs
    Последний раз редактировалось Numb; 21.09.2009 в 21:40.

  17. #16
    Junior Member Репутация
    Регистрация
    15.09.2009
    Сообщений
    19
    Вес репутации
    31
    Значение исправила - служба запустилась, спасибо ))
    В логах все чисто?

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    848
    Да, в логах ничего откровенно вредного я не вижу.

  19. #18
    Junior Member Репутация
    Регистрация
    15.09.2009
    Сообщений
    19
    Вес репутации
    31
    Откровенно вредного? Гм... А бывает неоткровенно вредное?

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1293
    Всё бывает...

  21. #20
    Junior Member Репутация
    Регистрация
    15.09.2009
    Сообщений
    19
    Вес репутации
    31
    pig, мне просто интересно - а что в логах неоткровенно вредное? Может оно мне не надо и его можно оттуда удалить...

  • Уважаемый(ая) Соня, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. svchost от имени пользователя
      От Chipita в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 21.05.2012, 08:07
    2. svchost.exe от имени пользователя
      От f'Andy в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.08.2011, 16:53
    3. svchost от имени пользователя
      От sipachev в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 10.06.2011, 14:47
    4. svchost.exe от имени пользователя
      От Norton в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 08.06.2011, 22:06
    5. svchost от имени пользователя
      От SiMBaIrk в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 03.06.2011, 12:32

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01020 seconds with 16 queries