Прогресс шагнул далеко вперёд, а вместе с ним интернет и информационные технологии. Они принесли много разных прекрасных вещей и новшеств, а вместе с ними и новые угрозы, о которых ранее никто и не думал. Ниже пример одной из них и о том как с этим справиться.

Как обычно, при вкючении компьютера, система загрузилась, антивирус заработал, подключение к интернету прошло удачно. Но всё-таки что-то пошло не так: загрузка ЦП поднялась до 50%, выползла ошибка, а антивирус сообщил о странном вирусе updyrb32, который нельзя излечить.

Странно, ведь до того как появился вирус, администратор сделал полную проверку системы, и компьютер, казалось, был чистым

И где же этот вирус появился?
Но главное: почему он тихо скрывался в этом компьютере и только сейчас начал захватывать всю систему?

Оказалось, готовился к нападению. Сволочь эта проводила свои действия через процесс svchost.exe. Именно этот процесс осуществил загрузку системы до 50%. Его изменение очень опасно — система может запросто слететь.

Как узнать про этот процесс побольше?

С помощью программы Process Explorer можно просмотреть данные о svchost.exe.  и выяснить, что сам процесс отвечает за запуск серверных процессов DCOM и службу терминалов.

Начав поиск вируса, администратор сделал следующее: 

  1. При помощи прог Process Explorer и AVZ проверил svchost — было выполнено сравнение идентификатора процесса PID в системе и идентификотора процесса в AVZ — полное совпадение. Оказалось, что вирус пользовался этими процессами (их было 4, кстати абсолютно нормальных, каждый отвечал за свою задачу). Затем я попробовал отключить сервисы, за которые отвечали эти процессы, чтобы посмотреть, как изменится производительность системы. Естественно, это не привело ни к чему хорошему. Служба терминалов ни за что, в принципе, не отвечает, а вот служба запусков серверных процессов — штука серьёзная, её отключение может вызвать много проблем.
  2. Сам процесс svchost.exe нормален и опасности не представляет. Но кто-то же минует антивирус и загружает систему! Раз антивирусник среагировал на вирус, значит, вирус есть, и он неумело скрывается. С помощью той же AVZ выяснилось, что вредитель находится в автозагрузке.
  3. Полное имя вируса — Bredolab Trojan Virus Informataion. Осталось его удалить. Для этого нужно было войти в безопасный режим и удалить скотину. После этого всё пришло в норму.
3 Комментариев
  1. admin - Site Author 24 августа, 2020 at 11:44 дп

    коммент 1

    Reply
    1. admin - Site Author 24 августа, 2020 at 1:14 пп

      ответ

      Reply
  2. admin - Site Author 24 августа, 2020 at 11:45 дп

    коммент 2

    Reply

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *