Svchost или коварный updyrb32.



Все начиналось как обычно. Загрузилась система, включился Антивирус Касперского и успешно выполнилось подключение к интернету. Но, подождите, что это… загрузка ЦП прыгнула до пятидесяти процентов, вылезла странная ошибка системы и антивирус сообщил о некоем updyrb32, который вылечить не удалось…
Но давайте по порядку. До появления загадочного updyrb32 проводилась проверка компьютера и система оказалось кристально чистой. Вопрос где? Но, как оказалось все дело не в вопросе «где?», а почему он сидел так долго и никак не сообщал о своем присутствии, оказалось готовился к полномасштабному нападению на мою систему. Но контратака не заставила себя ждать…

Системная ошибка

Действия свои эта скотина осуществляла через процесс svchost.exe, который в общем — то и организовывал загрузку системы до пятидесяти процентов. Уничтожение данного процесса в системе задач влечет к ошибке системы и вообще, так как исполняемый файл, отвечающий за процесс лежит в папке system, то изменять его категорически нельзя, может слететь система.

Но раз сам процесс трогать нельзя, то что нам мешает узнать об этом процессе побольше? Просмотрев данные о svchost.exe с помощью очень хорошей проги Process Explorer (рекомендую всем, все процессы системы как на ладони) , было выяснено, что он безобиден и отвечает лишь за службу терминалов и запуск серверных процессов DCOM

Тогда была организована крупномасштабная компания по поиску врага системы и были проделаны следующие действия:


1)  С использованием программ Process Explorer и AVZ (программа для выявления и лечения неуязвимостей системы) проверен сам процесс svchost — было проведено сравнение идентификатора процесса PID в диспетчере задач и идентификатора процесса в программе AVZ. Все совпало. Но интересно то, что пока данными процессами для своей черной деятельности пользовался вирус их было четыре причем все абсолютно нормальные и отвечающие каждый за свой сервис. Далее была предпринята попытка остановить сервисы за которые отвечает процесс и посмотреть как это повлияет на производительность, но ни к чему хорошему это не привело. Если служба терминалов не отвечает ни за что в общем — то серьезное, то отключение службы запуска серверных процессов
DCOM не безопасно, так как влияет на работу многих системных сервисов и чревато серьезными ошибками системы.

2) Процесс svchost.exe был абсолютно нормален и сам по себе опасности не представлял. И кто же все — таки так нагло проникает в мою систему минуя антивирус и занимаясь загрузкой системы. Но ведь Антивирус касперского отреагировал на эту скотину, а значит она есть и не особо скрывается. Значит ее осталось только найти, воспользовавшись поиском, затем программой AVZ было выяснено, что лазутчик сидит в автозагрузке и имеет вид подозрительного exe файла, называясь updyrb32.exe

3) Лазутчик найден, досье получено, полное имя — Bredolab Trojan Virus Informataion, осталось только уничтожить. Путем стандартного удаления сделать конечно — же ничего не удалось. Пришлось войти в безопасный режим и удалить эту сволочь. После удаления вируса исчезла системная ошибка  и загрузка системы пришла в норму. Конечно, данный вирус пробрался через очень хорошую защиту, но если у вас нет хорошего антивируса, рекомендую установить nod32 smart security. Очень хороший антивирус.

Кстати говоря, вирус, updyrb32.exe, который я обнаружил в папке автозагрузки носит разные названия. Он может называться siszyd32.exe, winesm32.exe, sisxvy32.exe, monoca32.exe Кроме того некоторые из ниже приведенных вирусов видны только в безопасном режиме. Так что будьте бдительны.

В общем держите оборону и стойко отстаивайте свое законное право владения вашим персональным компьютером.

Посмотрите также

Как выбрать флешку

Флешка  или flash– это незаменимый помощник в нашей повседневной жизни. Скинуть документы, фильмы или какие …