12 تا svchost.exe و فعالیت بی مورد هارد و .... [آرشيو] - P30World Forums

mehran_286

02-12-2010, 01:41

سلام خدمت همه دوستان عزیز
:11:
قبلا از انتی ویروس اواست استفاده می کردم دیدم حال نمیده ناد32 رو نصب کردم :31:

اما با این که اپدیت کردم ولی 12 تا svchost .exe دارم که خیلی مشکوکه

و هارد خیلی کار می کنه( مشکلی از لحاظ بدسکتور و.... نداره)

به نظرم ویروس یه هسته ویندوز چسبیده

از کجا 100% مطمئن بشم سیستم ویروسی نیست؟

چون اگر ویروس خودش رو به کرنل بچسبونه دیگه انتی ویروس نمیتونه شناسایی کنه (مثل اواست احمق)

با تشکر:18:

SURIV

02-12-2010, 13:53

12 تا svchost.exe رو باید ببینی مسیر فایلهاشون چیه؟
گه مسیر غیر از C:\Windows\System32\svchost.exe بود صد در صد ویروسیه!
با برنامه Process Master یا برنامه های مشابه میشه!
ضمنا اگه اینطور که میگی ویروس خودشو به ویندوز چسبونده باشه باید ویندوزو عوض کنی و از آنتی ویروس مثل نورتون یا کاسپر استفاده کنی!

mehran_286

03-12-2010, 23:54

12 تا svchost.exe رو باید ببینی مسیر فایلهاشون چیه؟
گه مسیر غیر از C:\Windows\System32\svchost.exe بود صد در صد ویروسیه!
با برنامه Process Master یا برنامه های مشابه میشه!
ضمنا اگه اینطور که میگی ویروس خودشو به ویندوز چسبونده باشه باید ویندوزو عوض کنی و از آنتی ویروس مثل نورتون یا کاسپر استفاده کنی!

مرسی دوست عزیز محل فایل هاش همش تو همون مسیری که گفته بودی وجود داشت:46:

حواستم ببینم راهی واسه شناسایی روت کیت ها یه فایل هایی که به کرنل میچسبن هست یا نه ؟

با تشکر :20:

merlin001

04-12-2010, 00:17

دوست عزيز مشكل شما دقيقا عين مشكل من هست
با نرم افزار Process Explorer تست كن
روي ماوس روي پراسس هاي مشكوك نگه دار تا تول تيپ باز بشه
ببين سرويس خاصي داره يا نه
اونايي كه سرويسي ندارن مشكوك هستن و موقع اتصال به اينترنت سند و رسيو ميكنن
توي عكس زير اون دو تا پراسس svchost كه مشخص كردم دارن اطلاعات رو به اينترنت سند و رسيو ميكنن

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

mehran_286

04-12-2010, 12:47

دوست عزيز مشكل شما دقيقا عين مشكل من هست
با نرم افزار Process Explorer تست كن
روي ماوس روي پراسس هاي مشكوك نگه دار تا تول تيپ باز بشه
ببين سرويس خاصي داره يا نه
اونايي كه سرويسي ندارن مشكوك هستن و موقع اتصال به اينترنت سند و رسيو ميكنن
توي عكس زير اون دو تا پراسس svchost كه مشخص كردم دارن اطلاعات رو به اينترنت سند و رسيو ميكنن

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

بله دوست عزیز از سرویس خاصی استفاده نمی کنن و حلشون تو سیستم 32 هستش

حالا از کجا بفهمم ویروس به کرنل چسبیده یا نه ؟؟؟:27:

SURIV

06-12-2010, 01:03

اگه حتی احتمال هم میدین که روت کیت باشه بدون درنگ ویندوز رو عوض کنین چون یه روت کیت رو حتی اگه کامل هم پاک کنین باز هم back door هاش می تونن خطرناک باشن
آسون ترین و ساده ترین راه حل برای روت کیت ها نصب مجدد ویندوز هست

kaivanika

06-12-2010, 04:33

توي عكس زير اون دو تا پراسس svchost كه مشخص كردم دارن اطلاعات رو به اينترنت سند و رسيو ميكنن

[I]

خب تکلیف چیه منم دقیقا 12 تا پراسس svchost رو دارم .
کاسپر اسکی هم استفاده میکنم ویروسی شدم ؟
این پراسس svchost های که کارشون معلوم نیست رو نمیشه حذف کرد ؟

mehran_286

06-12-2010, 11:58

برنامه ای نیست روت کیت ها رو پیدا کنه ؟

masoud79

06-12-2010, 12:25

بعلت وجود ویروسی مخرب به اسم Jeefo که با نام SVCHOST.EXE البته در شاخه دیگری غیر از فایل اصلی ساکن می شود و اقدام به خرابکاری تمام فایلهای اجرایی exe می کند .
اکثر انتی ویروس ها SVCHOST.EXE را به عنوان ویروس می شناسند . در حالی که SVCHOST.EXE ویروس نیست بلکه ویروس فایل دیگری می باشد که خود را به این نام در اورده است .
این ویروس باعث می شود که برنامه ها درست اجرا نشوند . و طولانی بودن زمان آلودگی سیستم باعث از کار افتادن سیستم عامل می شود.

نحوه پاک کردن ویروس ابتدا سعی کنید System Restore را غیر فعال کنید .

ابتدا سعی کنید System Restore را غیر فعال کنید .
برای این کار ابتدا روی my computer راست کلیک کنید و سپس properties را بزنید از پنجره باز شده به تب
System Restore رفته و تیک گزینه Turn off System Restore on all drives را بزنید و بعد پنجره را ok کرده و به سوال پرسیده شده جواب مثبت دهید .

حال ابتدا با زدن سه کلید ترکیبی ctrl + alt + delete وارد Task Manager شوید و به تب Processes رفته و از اوجا فایل SVCHOST.EXE در حال اجرا توی ویندوز را پاک می کنیم .

البته در تب Processes شما حداقل ۴ تا یا بیشتر SVCHOST.EXE در حال اجرا می بینید که باید با برنامه های مدیریت پروسه های Task Manager بتونید این فایل را تشخیص دهید . زیرا این برنامه ها مسیر پروسه های اجرایی را در Task Manager نشان می دهند . این فایل بیشتر خود را با نام یوزر که در ان هستید (Log On) اجرا می کند .
حال به مسیر C:\WINDOWS رفته و فایل SVCHOST.EXE را پاک می کنیم .
البته شما نباید فایل اصلی SVCHOST.EXE را که در مسیر C:\WINDOWS\System32 قرار دارد را پاک کنید .

بعد از این کار سیستم را ریستارت کنید .

سپس سیستم را در حالت safe mode راه اندازی کرده و انتی ویروس jeefogui را اجرا کنید .
ممکن است بعد از این عملیات بعضی از فایلهای exe شما از کار بیفتند که شما باید دوباره برنامه انها را نصب کنید .

آنتی ویروس jeefogui

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

kaivanika

06-12-2010, 22:28

دوستان فعالیت این فایل svchost.exe بد جوری رو مخم داره راه میره
10 تا عکس از مسیر فعالیت این فایل رو تو یه فایل زیپ کردم

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنیددوستانی که حرفه ای هستن میشه یه توضیحی در مورد عکس ها بدن ؟
من بیتدفندر آپدیت رو سیستم دارم.رو اون یکی ویندوزم هم کاسپراسکی آپدیت.هیچ ویروسی ندارم.اما مطالب پست بالا یکم مشکوکم کرده . کمک کنید لطفا که مطمئن بشم که فایل های تو عکس بدون مشکل هستن و فعالیتشون مشکوک نیست

:10:

این mdm هم الان اضافه شده :41:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

mehran_286

07-12-2010, 01:46

دوستان لینک مستقیم بزارید

merlin001

07-12-2010, 01:49

دوستان فعالیت این فایل svchost.exe بد جوری رو مخم داره راه میره
10 تا عکس از مسیر فعالیت این فایل رو تو یه فایل زیپ کردم

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنیددوستانی که حرفه ای هستن میشه یه توضیحی در مورد عکس ها بدن ؟
من بیتدفندر آپدیت رو سیستم دارم.رو اون یکی ویندوزم هم کاسپراسکی آپدیت.هیچ ویروسی ندارم.اما مطالب پست بالا یکم مشکوکم کرده . کمک کنید لطفا که مطمئن بشم که فایل های تو عکس بدون مشکل هستن و فعالیتشون مشکوک نیست

:10:

این mdm هم الان اضافه شده :41:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

اونايي كه توي عكس اشاره كردي همه شون مال خود ويندوز هستن و هيچ مشكلي ندارن
فقط مورد مشكوكي كه توي عكس ها بود Rundll32.exe بود.
منم وقتي اين ويروس رو اولين بار گرفته بودم اين پراسس هميشه در حال اجرا بود و باعث توليد پراسس هاي ديگه ( پراسس هاي مخرب ) بود. ببين rundll32 مسيرش اگه توي system32 هست كه هيچ وگرنه پاكش كن.
و سعي كن اين پراسس رو نذاري اجرا بشه.

Variable

07-12-2010, 02:00

من فکر نمی کنم . svchost ویروس باشه . ولی یه چیزی شبیه به این نام . تمام تعطیلات آخر هفته ی من و به هم ریخت
اگه اشتباه نکنم اسمش . scvvhost بود

kaivanika

07-12-2010, 04:10

اونايي كه توي عكس اشاره كردي همه شون مال خود ويندوز هستن و هيچ مشكلي ندارن
فقط مورد مشكوكي كه توي عكس ها بود Rundll32.exe بود.
منم وقتي اين ويروس رو اولين بار گرفته بودم اين پراسس هميشه در حال اجرا بود و باعث توليد پراسس هاي ديگه ( پراسس هاي مخرب ) بود. ببين rundll32 مسيرش اگه توي system32 هست كه هيچ وگرنه پاكش كن.
و سعي كن اين پراسس رو نذاري اجرا بشه.

ممنون دوست عزیز
:10:
فکر کنم فایلی که شما مشکوک هستید بهش مربوط به گرافیکم باشه حالا شما هم تو عکس چک کنید

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

:20: