Премини към съдържанието
  • Добре дошли!

    Добре дошли в нашите форуми, пълни с полезна информация. Имате проблем с компютъра или телефона си? Публикувайте нова тема и ще намерите решение на всичките си проблеми. Общувайте свободно и открийте безброй нови приятели.

    Моля, регистрирайте се за да публикувате тема и да получите пълен достъп до всички функции.

     

Malwarebytes засича svhost.ехе като троянец.


Препоръчан отговор

Здравейте,
Сканирах си системата за вируси посредством програмата Malwarebytes и ми засича този файл, като троянец. Същият файл като троянец го засича и Emsisoft_Emergency_Kit. 
Четох в и-нет и разбрах, че  това може да е системен файл, от самият уиндоус  и че не е нужно да е вирус? мерси за помощта. 

2022-08-11_150814.png

2022-08-11_151438.png

Линк към коментара
Сподели в други сайтове

Здравейте,

По-късно ще прегледам лог файловете, защото съм навън, но това не е системен файл на Windows,

Системния файл е с име SVCHOST.exe, а този според снимката е SVHOST.exe

Определено си е за триене. И май не е сам. Има си и другар:

2022-08-09 18:33 - 2022-07-29 17:53 - 003812864 ___SH C:\Windows\system32\logui.exe
2022-08-09 18:33 - 2022-07-29 17:53 - 002636288 ___SH C:\Windows\system32\svhost.exe

Пуснете ги на VirusTotal и копирайте линка с резултатите и за двата файла (а не копирайте самите резултати).

Самите файлове обаче са скрити и за да ги видите трябва да направите скритите и системните файлове видими.

Понеже освен скрити са и със системни атрибути е добре да направите и двете настройки за да се покажат:

Win7 show hidden files option

https://www.technipages.com/show-hidden-files-windows

Поздрави!

Линк към коментара
Сподели в други сайтове

Добрата новина е, че май не са изндувачи (ransomware), но лошата е, че са крадци на данни и пароли (stealers). Можете ли да ги изтриете и да ги пратите в Recycle Bin-a?

Не видях да имат зареждащи точки, така че едва ли ще е проблем да ги изтриете ръчно.

След това пуснете нова проверка от FRST и прикачете новите лог файлове за да видим за остатъци.

Поздрави!

Линк към коментара
Сподели в други сайтове

Здравейте отново и благодаря за съдействието.
Изпратих ги в кошчето и ги изтрих ( както ми казахте )
Заповядайте и новите лог файлове от Farbar Recovery Scan Tool
 

FRST.txt Addition.txt

Линк към коментара
Сподели в други сайтове

Здравейте,

Ами друг зловреден софтуер не видях. Все пак нека да почистим някои остатъци:

Изтеглете fixlist.txt и го запазете в папката, където сте свалили FRST64.exe (в папката C:\Users\pc\Downloads).

Стартирайте FRST64.exe и натиснете бутона Fix веднъж!

След като приключи, ако ви поиска рестарт - съгласете се. След рестарта публикувайте лог файла - Fixlog.txt, който ще се създаде след работата на програмата.

Внимание: Скрипта е създаден за текущата система. Да не се ползва за други системи с подобни проблеми!

 

Виждам, че в момента ползвате Malwarebytes като основна антивирусна, което не е добра идея, защото дори в момента да се рекламира като такава, тя все още си е допълнение към основната антивирусна програма.

Лично аз бих я оставил без защитата в реално време като второстепенен скенер и по този начин би отпаднала нуждата от ползването на крак за нея.

Windows Defender под управлението на някои от тези 2 инструмента върши доста добра работа:

https://github.com/AndyFul/ConfigureDefender

https://www.defenderui.com/

 

Забелязах и доста ръчно добавени PersistentRoutes: предполагам от вас и няма да ги закачам, НО имате проблем с Hosts файла.

There was an error while attempting to read the local hosts file.

Освен ако не е търсен ефект от ваша страна можем да го reset-нем, но това ще премахне всички ръчно добавени записи в него.

 

Поздрави!

 

Линк към коментара
Сподели в други сайтове

Ами няма проблем, че сте го барали, но може да ви направи проблем занапред с това, че самия файл не се чете. Аз лично бих си направил бекъп на файла и бих го резет-нал:

например с командата за FRST запазен отново с името fixlist.txt:

Hosts:

Иначе можете да направите една профилактична проверка сега с Malwarebytes и EmsisoftEmergencyKit за да проверите за остатъци. Файловете са изтрити и от кошчето доколкото видях след скрипта на FRST и би трябвало вече антивируснуте да не ги намират/засичат.

RecycleBin => 81109 B
EmptyTemp: => 524.1 MB temporary data Removed.

 

За да премахнем Farbar Recovery Scan Tool направете следното:

Преименувайте изпълнимия файл FRST64.exe на Uninstall.exe.

image.png.9cf9e0ab76b122782aff3552f54c5829.png     =>     image.png.44f957ce25ef61c76206655a46425152.png

Кликнете с десен бутон на мишката върху Uninstall.exe и изберете Run as administrator. Ще бъдете уведомени, че трябва да рестартирате системата, за да изтриете инструмента.

image.png.abcc20b28654d54fae08e7451bb5dc3b.png

След рестарта инструмента и прилежащите към него файлове ще бъдат изтрити.

 

Изтеглете KpRm от kernel-panik и го запишете на вашия работен плот. 

  • Щракнете с десния бутон върху kprm_2.9.3.exe и изберете Run as administrator
  • Когато инструментът се отвори сложете всички отметки без тази пред Delete in 7 days и натиснете бутона Run.

tu0PFmt.png

  • След като приключите, щракнете върху OK. 
  • В Notepad ще се отвори лог файла, копирайте съдържанието му в следващия си отговор.

Ако има останали файлове, папки и т.н. от използваните от нас неща, то ги изтрийте ръчно.

Аз ще маркирам случая като решен.

Поздрави и спокойна седмица! :bye1:

 

Линк към коментара
Сподели в други сайтове

Добре, 
изтрих успешно FRST.  И рестартирах компютъра

Направих проверка с Malwarebytes и EmsisoftEmergencyKit и не откриха нищо, както и предположихте. 

Заповядайте и лог файлът от "KpRm ", а това за какво е? създаде Backup ? Мога ли да я изтрия вече и тази програма? 

Много ви благодаря за помощта и изчерпателните и добре обяснени отговори    :wors:
Поздрави и всичко добро и на вас :)   
 

 

kprm-20220811202958.txt

Линк към коментара
Сподели в други сайтове

Привет,

Всичко изглежда наред.

Да, можете да я изтриете. Програмата е създала бекъп на регистрите просто, но по-добре си направете Image (да речем с Macrium Reflect Free) или System Restore точка ако сте доволен от текущата работа на системата вместо да разчитате на този бекъп от KpRm. :)

Поздрави и всичко добро и на вас! :bye1:

Забравих да спомена, че е добре да си смените паролите за акаунтите, ако мислите, че може да се били компрометирани (откраднати) от тези троянци за всеки случай.

Редактирано от B-boy/StyLe/ (преглед на промените)
Линк към коментара
Сподели в други сайтове

Добавете отговор

Можете да публикувате отговор сега и да се регистрирате по-късно. Ако имате регистрация, влезте в профила си за да публикувате от него.
Бележка: Вашата публикация изисква одобрение от модератор, преди да стане видима за всички.

Гост
Публикацията ви съдържа термини, които не допускаме! Моля, редактирайте съдържанието си и премахнете подчертаните думи по-долу. Ако замените букви от думата със звездички или друго, за да заобиколите това предупреждение, профилът ви ще бъде блокиран и наказан!
Напишете отговор в тази тема...

×   Вмъкнахте текст, който съдържа форматиране.   Премахни форматирането на текста

  Разрешени са само 75 емотикони.

×   Съдържанието от линка беше вградено автоматично.   Премахни съдържанието и покажи само линк

×   Съдържанието, което сте написали преди беше възстановено..   Изтрий всичко

×   You cannot paste images directly. Upload or insert images from URL.

 Сподели

×
×
  • Добави ново...