12 تا svchost.exe و فعالیت بی مورد هارد و ....

**mehran_286** · 02-12-2010, 01:41

سلام خدمت همه دوستان عزیز

قبلا از انتی ویروس اواست استفاده می کردم دیدم حال نمیده ناد32 رو نصب کردم

اما با این که اپدیت کردم ولی 12 تا svchost .exe دارم که خیلی مشکوکه

و هارد خیلی کار می کنه( مشکلی از لحاظ بدسکتور و.... نداره)

به نظرم ویروس یه هسته ویندوز چسبیده

از کجا 100% مطمئن بشم سیستم ویروسی نیست؟

چون اگر ویروس خودش رو به کرنل بچسبونه دیگه انتی ویروس نمیتونه شناسایی کنه (مثل اواست احمق)

با تشکر

**SURIV** · 02-12-2010, 13:53

12 تا svchost.exe رو باید ببینی مسیر فایلهاشون چیه؟
گه مسیر غیر از C:\Windows\System32\svchost.exe بود صد در صد ویروسیه!
با برنامه Process Master یا برنامه های مشابه میشه!
ضمنا اگه اینطور که میگی ویروس خودشو به ویندوز چسبونده باشه باید ویندوزو عوض کنی و از آنتی ویروس مثل نورتون یا کاسپر استفاده کنی!

**mehran_286** · 03-12-2010, 23:54

نوشته شده توسط SURIV [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

12 تا svchost.exe رو باید ببینی مسیر فایلهاشون چیه؟
گه مسیر غیر از C:\Windows\System32\svchost.exe بود صد در صد ویروسیه!
با برنامه Process Master یا برنامه های مشابه میشه!
ضمنا اگه اینطور که میگی ویروس خودشو به ویندوز چسبونده باشه باید ویندوزو عوض کنی و از آنتی ویروس مثل نورتون یا کاسپر استفاده کنی!

مرسی دوست عزیز محل فایل هاش همش تو همون مسیری که گفته بودی وجود داشت

حواستم ببینم راهی واسه شناسایی روت کیت ها یه فایل هایی که به کرنل میچسبن هست یا نه ؟

با تشکر

**merlin001** · 04-12-2010, 00:17

دوست عزيز مشكل شما دقيقا عين مشكل من هست
با نرم افزار Process Explorer تست كن
روي ماوس روي پراسس هاي مشكوك نگه دار تا تول تيپ باز بشه
ببين سرويس خاصي داره يا نه
اونايي كه سرويسي ندارن مشكوك هستن و موقع اتصال به اينترنت سند و رسيو ميكنن
توي عكس زير اون دو تا پراسس svchost كه مشخص كردم دارن اطلاعات رو به اينترنت سند و رسيو ميكنن

**mehran_286** · 04-12-2010, 12:47

نوشته شده توسط merlin001 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

دوست عزيز مشكل شما دقيقا عين مشكل من هست
با نرم افزار Process Explorer تست كن
روي ماوس روي پراسس هاي مشكوك نگه دار تا تول تيپ باز بشه
ببين سرويس خاصي داره يا نه
اونايي كه سرويسي ندارن مشكوك هستن و موقع اتصال به اينترنت سند و رسيو ميكنن
توي عكس زير اون دو تا پراسس svchost كه مشخص كردم دارن اطلاعات رو به اينترنت سند و رسيو ميكنن

بله دوست عزیز از سرویس خاصی استفاده نمی کنن و حلشون تو سیستم 32 هستش

حالا از کجا بفهمم ویروس به کرنل چسبیده یا نه ؟؟؟

**SURIV** · 06-12-2010, 01:03

اگه حتی احتمال هم میدین که روت کیت باشه بدون درنگ ویندوز رو عوض کنین چون یه روت کیت رو حتی اگه کامل هم پاک کنین باز هم back door هاش می تونن خطرناک باشن
آسون ترین و ساده ترین راه حل برای روت کیت ها نصب مجدد ویندوز هست

**kaivanika** · 06-12-2010, 04:33

نوشته شده توسط merlin001 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

توي عكس زير اون دو تا پراسس svchost كه مشخص كردم دارن اطلاعات رو به اينترنت سند و رسيو ميكنن

[I]

خب تکلیف چیه منم دقیقا 12 تا پراسس svchost رو دارم .
کاسپر اسکی هم استفاده میکنم ویروسی شدم ؟
این پراسس svchost های که کارشون معلوم نیست رو نمیشه حذف کرد ؟

**mehran_286** · 06-12-2010, 11:58

برنامه ای نیست روت کیت ها رو پیدا کنه ؟

**masoud79** · 06-12-2010, 12:25

بعلت وجود ویروسی مخرب به اسم Jeefo که با نام SVCHOST.EXE البته در شاخه دیگری غیر از فایل اصلی ساکن می شود و اقدام به خرابکاری تمام فایلهای اجرایی exe می کند .
اکثر انتی ویروس ها SVCHOST.EXE را به عنوان ویروس می شناسند . در حالی که SVCHOST.EXE ویروس نیست بلکه ویروس فایل دیگری می باشد که خود را به این نام در اورده است .
این ویروس باعث می شود که برنامه ها درست اجرا نشوند . و طولانی بودن زمان آلودگی سیستم باعث از کار افتادن سیستم عامل می شود.

نحوه پاک کردن ویروس ابتدا سعی کنید System Restore را غیر فعال کنید .

ابتدا سعی کنید System Restore را غیر فعال کنید .
برای این کار ابتدا روی my computer راست کلیک کنید و سپس properties را بزنید از پنجره باز شده به تب
System Restore رفته و تیک گزینه Turn off System Restore on all drives را بزنید و بعد پنجره را ok کرده و به سوال پرسیده شده جواب مثبت دهید .

حال ابتدا با زدن سه کلید ترکیبی ctrl + alt + delete وارد Task Manager شوید و به تب Processes رفته و از اوجا فایل SVCHOST.EXE در حال اجرا توی ویندوز را پاک می کنیم .

البته در تب Processes شما حداقل ۴ تا یا بیشتر SVCHOST.EXE در حال اجرا می بینید که باید با برنامه های مدیریت پروسه های Task Manager بتونید این فایل را تشخیص دهید . زیرا این برنامه ها مسیر پروسه های اجرایی را در Task Manager نشان می دهند . این فایل بیشتر خود را با نام یوزر که در ان هستید (Log On) اجرا می کند .
حال به مسیر C:\WINDOWS رفته و فایل SVCHOST.EXE را پاک می کنیم .
البته شما نباید فایل اصلی SVCHOST.EXE را که در مسیر C:\WINDOWS\System32 قرار دارد را پاک کنید .

بعد از این کار سیستم را ریستارت کنید .

سپس سیستم را در حالت safe mode راه اندازی کرده و انتی ویروس jeefogui را اجرا کنید .
ممکن است بعد از این عملیات بعضی از فایلهای exe شما از کار بیفتند که شما باید دوباره برنامه انها را نصب کنید .

آنتی ویروس jeefogui

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

**kaivanika** · 06-12-2010, 22:28

دوستان فعالیت این فایل svchost.exe بد جوری رو مخم داره راه میره
10 تا عکس از مسیر فعالیت این فایل رو تو یه فایل زیپ کردم

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

دوستانی که حرفه ای هستن میشه یه توضیحی در مورد عکس ها بدن ؟
من بیتدفندر آپدیت رو سیستم دارم.رو اون یکی ویندوزم هم کاسپراسکی آپدیت.هیچ ویروسی ندارم.اما مطالب پست بالا یکم مشکوکم کرده . کمک کنید لطفا که مطمئن بشم که فایل های تو عکس بدون مشکل هستن و فعالیتشون مشکوک نیست

این mdm هم الان اضافه شده

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

نام تاپيک: 12 تا svchost.exe و فعالیت بی مورد هارد و ....

اختيارات تاپيک

12 تا svchost.exe و فعالیت بی مورد هارد و ....

این کاربر از mehran_286 بخاطر این مطلب مفید تشکر کرده است

2 کاربر از SURIV بخاطر این مطلب مفید تشکر کرده اند

این کاربر از mehran_286 بخاطر این مطلب مفید تشکر کرده است

2 کاربر از merlin001 بخاطر این مطلب مفید تشکر کرده اند

این کاربر از mehran_286 بخاطر این مطلب مفید تشکر کرده است

این کاربر از SURIV بخاطر این مطلب مفید تشکر کرده است

2 کاربر از masoud79 بخاطر این مطلب مفید تشکر کرده اند

Thread Information

Users Browsing this Thread

User Tag List

قوانين ايجاد تاپيک در انجمن