Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

svchost.exe-Эксплоит? и что с этим делать?

Шимо Нокарута

Автор Шимо Нокарута
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Шимо Нокарута Новичок

Шимо Нокарута

Опубликовано
Опубликовано

Антивирус начал ругаться на "svchost.exe". Но "устранить" проблему он не может, только ругается. KVRT.exe проблем не нашёл.

CollectionLog-2016.10.01-15.10.zip

avp.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
 DeleteService('TicnoIndexator');
 DeleteFile('C:\Program Files (x86)\Ticno\Indexator\SearchService.exe','32');
 DeleteFile('C:\Users\Роман\AppData\Roaming\DAEMON Tools Lite\adobeupd.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\AdobeFlashPlayer-S-2-1-24-198293847112UI','64');
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера.
 

Сделайте новые логи Автологгером. 
 

 

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.

Прикрепите отчет к своему следующему сообщению.


 

Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

CloseProcesses:

GroupPolicy: Restriction - Chrome <======= ATTENTION

GroupPolicy\User: Restriction <======= ATTENTION

CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION

Task: {00A1F4C2-7800-4F3D-A5F3-A5637422F4CC} - System32\Tasks\{3F05ECBC-91B9-49B1-B011-FBBFC57629DF} => pcalua.exe -a D:\Install\setup.exe -d D:\Install

Task: {0D15966C-9C74-455C-8603-34950E8786A6} - System32\Tasks\{7B37E5E3-C09D-46C4-9328-DD37029B251F} => E:\SETUP.EXE

Task: {10AE76B4-4903-433B-BBCE-9B0FE96C93BD} - \GoogleUpdateTaskUserS-1-5-21-1970835742GUI -> No File <==== ATTENTION

Task: {16C9CA53-D75B-4788-8708-D7343B9D2529} - System32\Tasks\{80733C50-D6D2-4450-8FAE-C47FE464F0C2} => pcalua.exe -a E:\GLSetup\glsetup.exe -d E:\GLSetup

Task: {265AA5CE-E1E5-4812-9886-92BBF90BC0ED} - \Steam_x64-S-2-106-91 -> No File <==== ATTENTION

Task: {3A3EF2E0-F4AD-40C7-8686-0CCA5CC867EC} - \AdobeFlashPlayer-S-2-1-24-198293847112UI -> No File <==== ATTENTION

Task: {3E926F7F-198E-4D5E-98A5-BBB91B3D868D} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION

Task: {42E851A2-B212-4B63-823F-172238DA0F62} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION

Task: {8B3C4C1D-92A5-42FA-AFDE-618CA48543D8} - \UpnCH -> No File <==== ATTENTION

Task: {B949FC1A-614F-4A69-AC1C-2AA545E7DE39} - \Steam-S-1-8-22-9865GUI -> No File <==== ATTENTION

Task: {E634AA5D-FAA7-4933-9D32-4775B924B22C} - System32\Tasks\{C491FEDF-3613-473C-BA36-0FF4D8064C47} => E:\SETUP.EXE

folder: C:\Users\Роман\AppData\Roaming\DAEMON Tools Lite



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Самая большая утечка данных в мире. Что делать пользователям? | Блог Касперского
      Автор KL FC Bot
      Вы, скорее всего, уже видели свежие новости с заголовками «Самая масштабная утечка в истории человечества». Весь мир переполошился из-за журналистов Cybernews, которые обнаружили в свободном доступе логины и пароли к 16 млрд учетных записей — по две на каждого жителя Земли. Что это за утечка и что нужно сделать прямо сейчас?
      Что за утечка? Там есть мои данные?
      В оригинальном исследовании сказано, что команда Cybernews занималась этой историей с начала года. За шесть месяцев удалось собрать 30 незащищенных наборов данных, которые суммарно и превращаются в 16 млрд паролей. Самый большой набор данных, 3,5 млрд записей, связан с португалоговорящим населением планеты; еще 455 млн записей имеют отношение к России, а 60 млн — «скорее всего», к Telegram.
      База данных построена по такому принципу: URL сайта, логин и пароль. Все, ничего лишнего. При этом сказано, что слиты были данные пользователей всех гигантских сервисов: Apple, Google, Facebook*, Telegram, GitHub и т. д. Удивительно, что в руках журналистов оказались именно пароли, а не хеши. В нашем исследовании Как хакеры могут взломать пароль за час мы подробно останавливались на том, как именно компании хранят пароли. Спойлер: почти всегда в закрытом виде с использованием алгоритмов хеширования.
      Особое внимание в этой истории уделено свежести данных: журналисты утверждают, что в 16 млрд не входят самые крупные утечки, про которые мы писали в блоге Kaspersky Daily. За кадром остаются важные вопросы: «откуда появились 16 млрд свежеутекших паролей и почему, кроме Cybernews, их никто не видел?». К большому сожалению, журналисты не предоставили ни одного доказательства реального существования этой базы. Поэтому ни экспертам «Лаборатории Касперского», ни любым другим не удалось проанализировать эту утечку. А значит, и утверждать, есть ли там именно ваши данные, да и вообще чьи-либо, — мы не можем.
      По словам Cybernews, весь сбор базы данных был возможен в результате работы стилеров. Это и в самом деле набирающая силы угроза. По нашим данным, количество обнаруженных по всему миру атак, связанных с кражей паролей, выросло с 2023 по 2024 год на 21%. Злоумышленники нацелены как на частных, так и на корпоративных пользователей.
       
      View the full article
    • Slimens
      ЧП зашифровало сервера может кто подскажет что делать формат файлов JWEYZP
      Автор Slimens
      ЧП зашифровало сервера может кто подскажет что делать формат файлов JWEYZP есть расшифратор от этого или нет?
    • francesca555
      [РЕШЕНО] svchost.exe
      Автор francesca555
      Здравствуйте. Касперски (в тч Kaspersky Virus Removal Tool и еще пару программ использовала) в упор ничего не видит, но мне кажется, что компьютер заражен. Ноутбук намертво завис во время просмотра видео (дело точно не в нем), все пропало и осталась только иконка браузера (весь остальной экран был черный) пришлось перезагружать ноутбук, после этого экран загрузки как-то странно выглядел (как будто расширение неправильно выбрано), запустился вроде более менее нормально, но фон рабочего стола исчез, и вместо него черный экран. Через время перезагрузила еще раз, картинка вернулась на рабочий стол и начало происходить что-то очень странное. Я выделила несколько иконок и под ними пропал фон, при том, что в целом он оставался. Когда я продолжала выделять, фон постепенно пропадал. Я не стала до конца его убирать, но в итоге он сам пропал. При следующей загрузке ситуация повторилась, только наоборот. Рабочий стол загрузился черным, а как начала выделять, начал появляться... Я не исключаю, конечно, что не в вирусе дело, но я никогда такого не видела и в интернете ничего об этом не нашла. Как только открываю диспетчер задач, нагрузка цп падает с 40-75% до 7-15% + появились нетипичные подвисания и ноутбук сильно греется. В диспетчере задач нашла процесс svchost.exe, запущенный от имени пользователя. Если смотреть расположение файла, выдает Windows/System32/svchost.exe.

      Подскажите, пожалуйста, что делать в этой ситуации?
      CollectionLog-2025.01.28-09.19.zip
    • JeySerYT
      Не запускается касперский, не могу удалить вирусы на компе, что делать?
      Автор JeySerYT
      В последнее время я начал наблюдать замедленную работу компьютера, решил проверить на вирусы и установил Kaspersky premium но вышла такая проблема: когда запускаю ничего абсолютно не происходит, может вы поможете с этим?
    • МониторингДенис
      Фаил базы 1С закодирован трояном HELLOKITTY - s5yRN. База нужна. ЧТО ДЕЛАТЬ?
      Автор МониторингДенис
      Добрый день!
      Файл базы 1С (и не только базы) закодирован трояном HELLOKITTY - s5yRN. База нужна. ЧТО ДЕЛАТЬ?
       
      При открытии любого текстового файла пишут:
       
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by HELLO KITTY
      Your decryption ID is s5yRNcg5Npu5QjR2ZmQul85mAlUaR4JH38PnjzRmxX4*HELLO KITTY-s5yRNcg5Npu5QjR2ZmQul85mAlUaR4JH38PnjzRmxX4
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - benzamin@tuta.io
      2) Telegram - @DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
×
×
  • Создать...