Вирус в svchost.exe
От: Nuzhny Россия https://github.com/Nuzhny007
Дата: 14.05.10 06:55
Оценка:
Это не начало войны — просто надо решить проблему, а тематического форума нет.

У знакомой (не в первый раз) поселился вирус, вставляющий везде autorun.inf. Винда — пиратская XP SP2 без обновлений.
В предыдущем случае ей помог avast. Сейчас нет (поставил свежий с новыми базами). Он видит создаваемые autorun'ы, удаляет их, говорит, что создаются они svchost'ом из windows\system32
Сам процесс svchost нареканий у него не вызывает.

Скачал livecd касперского и доктора Веба. Первый виснет после 1% проверки, второй предлагает удалить все *.exe, что равносильно переустановке системы (а мне этого делать очень не хочется).

Есть средства в течении часа-полутора это всё исправить?
Re: Вирус в svchost.exe
От: kochetkov.vladimir Россия https://kochetkov.github.io
Дата: 14.05.10 07:05
Оценка:
Здравствуйте, Nuzhny, Вы писали:

N>Есть средства в течении часа-полутора это всё исправить?


А между "svchost" и ".exe" случайно нет такого маленького незаметного пробела? В любом случае, сейчас куча малвари, так или иначе но эксплуатирующей этот экзешник в своих целях. Либо пассивно, подделываясь под его имя, либо активно, внедреясь в его код или библиотеки, которые он тянет в свое АП. Моей жене на выходных приносили системник, в котором добрый cureit livecd выкосил начисто все, что касалось svchost.exe (оригинального). Воостанавливать RPC, все зависимые от него службы и вообще все, для чего является хостом этот файл оказалось очень увлекательным занятием

Что именно говорит drweb, когда предлагает "удалить все экзешники"? Результат полного сканирования gmer'ом можешь сюда выложить или кинуть на почту?
... << RSDN@Home 1.2.0 alpha 4 rev. 1468>>

[Интервью] .NET Security — это просто
Автор: kochetkov.vladimir
Дата: 07.11.17
Re[2]: Вирус в svchost.exe
От: Nuzhny Россия https://github.com/Nuzhny007
Дата: 14.05.10 07:45
Оценка:
Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Здравствуйте, Nuzhny, Вы писали:


N>>Есть средства в течении часа-полутора это всё исправить?


KV>А между "svchost" и ".exe" случайно нет такого маленького незаметного пробела?

Было почти ночью, не разглядел.

KV>Что именно говорит drweb, когда предлагает "удалить все экзешники"? Результат полного сканирования gmer'ом можешь сюда выложить или кинуть на почту?


Только завтра пойду "на объект". Выложу.
Re[2]: Вирус в svchost.exe
От: Nuzhny Россия https://github.com/Nuzhny007
Дата: 15.05.10 11:26
Оценка: :)
Здравствуйте, kochetkov.vladimir, Вы писали:

Ух! Тут такая радость приключилась! Когда уже уходил, знакомой ещё надо было над курсовой работать. Я поставил авасту полную проверку при следующей перезагрузке (она перед winlogon делается). Сегодня звоню — говорит, что вируса этого нет, вылечился. Не пришлось мне работать компьютерным сантехником, тем более меня очень нервируют старые, медленные селероны и жёсткие диски, забитые мусором.
Так что всё обошлось. Спасибо за помощь!
Re[2]: Вирус в svchost.exe
От: Pavel Dvorkin Россия  
Дата: 15.05.10 17:30
Оценка:
Здравствуйте, kochetkov.vladimir, Вы писали:

KV>А между "svchost" и ".exe" случайно нет такого маленького незаметного пробела?


Меня года два назад один студент спросил про назначение процесса svchost32.exe
With best regards
Pavel Dvorkin
Re[3]: Вирус в svchost.exe
От: kochetkov.vladimir Россия https://kochetkov.github.io
Дата: 16.05.10 14:03
Оценка:
Здравствуйте, Pavel Dvorkin, Вы писали:
PD>Здравствуйте, kochetkov.vladimir, Вы писали:

KV>>А между "svchost" и ".exe" случайно нет такого маленького незаметного пробела?

PD>Меня года два назад один студент спросил про назначение процесса svchost32.exe

Когда оно "делает вид, что оно svchost" — это еще пол-беды. Когда же малварь садится в сам оригинальный svchost, упаси Моррис кого-нибудь такую систему с livecd "полечить"
... << RSDN@Home 1.2.0 alpha 4 rev. 1468>>

[Интервью] .NET Security — это просто
Автор: kochetkov.vladimir
Дата: 07.11.17
Re[4]: Вирус в svchost.exe
От: Sergei I. Gorelkin Россия  
Дата: 16.05.10 16:21
Оценка:
Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Когда оно "делает вид, что оно svchost" — это еще пол-беды. Когда же малварь садится в сам оригинальный svchost, упаси Моррис кого-нибудь такую систему с livecd "полечить"


Оно и без livecd неплохо идет... Лечение одного экземпляра, вписавшегося в ntfs-поток "svchost.exe:ext.exe", останется одним из незабываемых эпизодов моей жизни. Делов-то (не считая определения имени паразита) было ровно на две команды в консоли:

net stop <левый сервис>
echo что-нибудь > svchost.exe:ext.exe

но после выполнения первой из них стоявший в системе антивирус почуял в себе силушку богатырскую, привилегии админские, и радостно снес ВСЕ сервисы, в командах запуска которых фигурировал svchost. Как ни странно, винда после такого надругательства даже загружалась (это сбой в работающем rpcss вызывает немедленную перезагрузку, а если его вообще нет — все совсем иначе ).
Re[5]: Вирус в svchost.exe
От: kochetkov.vladimir Россия https://kochetkov.github.io
Дата: 16.05.10 17:23
Оценка:
Здравствуйте, Sergei I. Gorelkin, Вы писали:

SIG>но после выполнения первой из них стоявший в системе антивирус почуял в себе силушку богатырскую, привилегии админские, и радостно снес ВСЕ сервисы, в командах запуска которых фигурировал svchost.

SIG>Как ни странно, винда после такого надругательства даже загружалась (это сбой в работающем rpcss вызывает немедленную перезагрузку, а если его вообще нет — все совсем иначе ).

Кстати да. Причем, в этом случае сервисы сносятся весьма "грамотно": не только файлы, но и записи о сервисах в ControlSetXXX\Services
... << RSDN@Home 1.2.0 alpha 4 rev. 1468>>

[Интервью] .NET Security — это просто
Автор: kochetkov.vladimir
Дата: 07.11.17
Re[4]: Вирус в svchost.exe
От: Ночной Смотрящий Россия  
Дата: 16.05.10 19:33
Оценка:
Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Когда оно "делает вид, что оно svchost" — это еще пол-беды. Когда же малварь садится в сам оригинальный svchost, упаси Моррис кого-нибудь такую систему с livecd "полечить"


На самом деле обычно все происходит немножко не так. svchost.exe, как нетрудно понять, это просто хост-процесс для различных сервисов. Придуман для минимизации количества процессов, что положительно сказывается на потреблении ресурсов и времени стартапа. Сами сервисы это отдельные dll. Вирус просто хостит там же свою dll, не заражая и не подменяя оригинальный svchost.exe за ненадобностью. В качестве примера такого вируса: Conficker.
Проверить наличие в svchost всякого левака можно, посмотрев вкладку сервисов (начиная с висты) в task manager, либо tasklist /svc
Re[5]: Вирус в svchost.exe
От: kochetkov.vladimir Россия https://kochetkov.github.io
Дата: 16.05.10 19:49
Оценка:
Здравствуйте, Ночной Смотрящий, Вы писали:

НС>На самом деле обычно все происходит немножко не так. svchost.exe, как нетрудно понять, это просто хост-процесс для различных сервисов. Придуман для минимизации количества процессов, что положительно сказывается на потреблении ресурсов и времени стартапа. Сами сервисы это отдельные dll. Вирус просто хостит там же свою dll, не заражая и не подменяя оригинальный svchost.exe за ненадобностью. В качестве примера такого вируса: Conficker.

НС>Проверить наличие в svchost всякого левака можно, посмотрев вкладку сервисов (начиная с висты) в task manager, либо tasklist /svc

А иногда, имеет место инжект в АП svchost'а. Хотя, в принципе, это тот же вариант только иным путем. Но я говорил именно о внедрении в оригинальный файл svchost.exe. Сейчас уже не вспомню название зверька, но cureit ругался именно на этот файл, именно в system32, после чего благополучно прибивал его ко всем чертям (переносил в карантин, если быть точным).

[Интервью] .NET Security — это просто
Автор: kochetkov.vladimir
Дата: 07.11.17
Re[6]: Вирус в svchost.exe
От: Ночной Смотрящий Россия  
Дата: 16.05.10 19:57
Оценка: +1
Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Но я говорил именно о внедрении в оригинальный файл svchost.exe


Я больше касательно сообщения топик стартера напомнил.
Re: Вирус в svchost.exe
От: R.O. Prokopiev Россия http://127.0.0.1/
Дата: 18.05.10 10:28
Оценка:
Здравствуйте, Nuzhny, Вы писали:

N>второй предлагает удалить все *.exe, что равносильно переустановке системы (а мне этого делать очень не хочется).

Не равносильно. Восстановление системы скопирует оригинальные экзешники с диска.
Реестр останется прежним.
Re[2]: Вирус в svchost.exe
От: alexzz  
Дата: 22.05.10 08:20
Оценка:
Здравствуйте, R.O. Prokopiev, Вы писали:

ROP>Здравствуйте, Nuzhny, Вы писали:


N>>второй предлагает удалить все *.exe, что равносильно переустановке системы (а мне этого делать очень не хочется).

ROP>Не равносильно. Восстановление системы скопирует оригинальные экзешники с диска.
ROP>Реестр останется прежним.
Есть ещё варианты:
1) программы->стандартные->служебные->восстановление системы
2) sfc /scannow
3) можно поставить очередной сервис-пак, он в процессе установки многие системные файлики заменит на хорошие и свежие.
 
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.