Svchost или коварный updyrb32.

  • 25 Октябрь 2010
  • Артем
  • 7 комментариев




Все начиналось как обычно. Загрузилась система, включился Антивирус Касперского и успешно выполнилось подключение к интернету. Но, подождите, что это… загрузка ЦП прыгнула до пятидесяти процентов, вылезла странная ошибка системы и антивирус сообщил о некоем updyrb32, который вылечить не удалось…
Но давайте по порядку. До появления загадочного updyrb32 проводилась проверка компьютера и система оказалось кристально чистой. Вопрос где? Но, как оказалось все дело не в вопросе “где?”, а почему он сидел так долго и никак не сообщал о своем присутствии, оказалось готовился к полномасштабному нападению на мою систему. Но контратака не заставила себя ждать…

Системная ошибка

Действия свои эта скотина осуществляла через процесс svchost.exe, который в общем – то и организовывал загрузку системы до пятидесяти процентов. Уничтожение данного процесса в системе задач влечет к ошибке системы и вообще, так как исполняемый файл, отвечающий за процесс лежит в папке system, то изменять его категорически нельзя, может слететь система.

Но раз сам процесс трогать нельзя, то что нам мешает узнать об этом процессе побольше? Просмотрев данные о svchost.exe с помощью очень хорошей проги Process Explorer (рекомендую всем, все процессы системы как на ладони) , было выяснено, что он безобиден и отвечает лишь за службу терминалов и запуск серверных процессов DCOM

Тогда была организована крупномасштабная компания по поиску врага системы и были проделаны следующие действия:


1)  С использованием программ Process Explorer и AVZ (программа для выявления и лечения неуязвимостей системы) проверен сам процесс svchost – было проведено сравнение идентификатора процесса PID в диспетчере задач и идентификатора процесса в программе AVZ. Все совпало. Но интересно то, что пока данными процессами для своей черной деятельности пользовался вирус их было четыре причем все абсолютно нормальные и отвечающие каждый за свой сервис. Далее была предпринята попытка остановить сервисы за которые отвечает процесс и посмотреть как это повлияет на производительность, но ни к чему хорошему это не привело. Если служба терминалов не отвечает ни за что в общем – то серьезное, то отключение службы запуска серверных процессов
DCOM не безопасно, так как влияет на работу многих системных сервисов и чревато серьезными ошибками системы.

2) Процесс svchost.exe был абсолютно нормален и сам по себе опасности не представлял. И кто же все – таки так нагло проникает в мою систему минуя антивирус и занимаясь загрузкой системы. Но ведь Антивирус касперского отреагировал на эту скотину, а значит она есть и не особо скрывается. Значит ее осталось только найти, воспользовавшись поиском, затем программой AVZ было выяснено, что лазутчик сидит в автозагрузке и имеет вид подозрительного exe файла, называясь updyrb32.exe

3) Лазутчик найден, досье получено, полное имя – Bredolab Trojan Virus Informataion, осталось только уничтожить. Путем стандартного удаления сделать конечно – же ничего не удалось. Пришлось войти в безопасный режим и удалить эту сволочь. После удаления вируса исчезла системная ошибка  и загрузка системы пришла в норму. Конечно, данный вирус пробрался через очень хорошую защиту, но если у вас нет хорошего антивируса, рекомендую установить nod32 smart security. Очень хороший антивирус.

Кстати говоря, вирус, updyrb32.exe, который я обнаружил в папке автозагрузки носит разные названия. Он может называться siszyd32.exe, winesm32.exe, sisxvy32.exe, monoca32.exe Кроме того некоторые из ниже приведенных вирусов видны только в безопасном режиме. Так что будьте бдительны.

В общем держите оборону и стойко отстаивайте свое законное право владения вашим персональным компьютером.

Спасибо за добавление этой статьи в:

Комментариев: 7

    • Anonymous
    • Октябрь 26 2010 в 6:10

    Сегодня столкнулся с аналогичными проблемами. Спасибо ваш рецепт помог))

    Ответить

    • Tramp
    • Октябрь 26 2010 в 14:53

    Главное вовремя обнаружить и качественно уничтожить.

    Ответить

    • inna
    • Октябрь 28 2010 в 21:54

    Ах, эти компьютерные вирусы, они как тараканы, адаптируются к новым условиям и распространяются очень быстро и незаметно.

    Ответить

    • Anonymous
    • Ноябрь 1 2010 в 9:41

    Спасибо большое, а то бухгалтерия уже такой вирус где-то откопала :) буду убивать

    Ответить

Написать комментарий

  • rss
  • rss
  • rss
  • rss