Device harddiskvolume2 windows system32 dns exe

Как удалить вирус svchost.exe

Системный файл svchost довольно часто становится мишенью для хакерских атак. Более того, вирусописатели маскируют своих зловредов под его программную «внешность». Один из самых ярких представителей вирусов категории «лже-svchost» — Win32.HLLP.Neshta (классификация Dr.Web).

Как же удалить svchost.exe, который «подбросили» злоумышленники в систему? Есть, как минимум, два способа детектирования и уничтожения этого паразита. Не будем медлить! Приступаем к очистке ПК.

Файлы svсhost — добрые и злые, или кто есть кто

Вся сложность нейтрализации вирусов этого типа заключается в том, что присутствует риск повредить/ удалить доверенный файл Windows с идентичным названием. А без него ОС работать не будет, её придётся переустанавливать. Поэтому, перед тем как приступить к процедуре очистки, ознакомимся с особыми приметами доверенного файла и «чужака».

Истинный процесс

Управляет системными функциями, которые запускаются из динамических библиотек (.DLL): проверяет и загружает их. Слушает сетевые порты, передаёт по ним данные. Фактически является служебным приложением Windows. Находится в директории С: → Windows → System 32. В версиях ОС XP/ 7/ 8 в 76% случаев имеет размер 20, 992 байта. Но есть и другие варианты. Подробней с ними можно ознакомиться на распознавательном ресурсе filecheck.ru/process/svchost.exe.html (ссылка — «ещё 29 вариантов»).

Имеет следующие цифровые подписи (в диспетчере задач колонка «Пользователи»):

Хакерская подделка

Может находиться в следующих директориях:

Кроме альтернативных директорий, хакеры в качестве маскировки вируса используют практически идентичные, схожие на системный процесс, названия.

Версий «свободной трактовки» названия бесчисленное множество. Поэтому необходимо проявлять повышенное внимание при анализе действующих процессов.

Внимание! Вирус может иметь другое расширение (отличное от exe). Например, «com» (вирус Neshta).

Итак, зная врага (вирус!) в лицо, можно смело приступать к его уничтожению.

Способ №1: очистка утилитой Comodo Cleaning Essentials

Cleaning Essentials — антивирусный сканер. Используется в качестве альтернативного программного средства по очистке системы. К нему прилагаются две утилиты для детектирования и мониторинга объектов Windows (файлов и ключей реестра).

Где скачать и как установить?

1. Откройте в браузере comodo.com (официальный сайт производителя).

Совет! Дистрибутив утилиты лучше скачивать на «здоровом» компьютере (если есть такая возможность), а затем запускать с USB-флешки или CD-диска.

2. На главной странице наведите курсор на раздел «Small & Medium Business». В открывшемся подменю выберите программу Comodo Cleaning Essentials.

3. В блоке загрузки, в ниспадающем меню, выберите разрядность вашей ОС (32 или 64 bit).

Совет! Разрядность можно узнать через системное меню: откройте «Пуск» → введите в строку «Сведения о системе» → кликните по утилите с таким же названием в списке «Программы» → посмотрите строку «Тип».

4. Нажмите кнопку «Frее Download». Дождитесь завершения загрузки.

5. Распакуйте скачанный архив: клик правой кнопкой по файлу → «Извлечь всё… ».

6. Откройте распакованную папку и кликните 2 раза левой кнопкой по файлу «CCE».

Как настроить и очистить ОС?

1. Выберите режим «Custom scan» (выборочное сканирование).

2. Подождите немного, пока утилита обновит свои сигнатурные базы.

3. В окне настроек сканирования установите галочку напротив диска С. А также включите проверку всех дополнительных элементов («Memory», «Critical Areas..» и др.).

5. По завершении проверки разрешите антивирусу удалить найденный вирус-самозванец и прочие опасные объекты.

Примечание. Кроме Comodo Cleaning Essentials, для лечения ПК можно использовать другие аналогичные антивирусные утилиты. Например, Dr. Web CureIt!.

Вспомогательные утилиты

В пакет лечащей программы Cleaning Essentials входят два вспомогательных инструмента, предназначенных для мониторинга системы в реальном времени и детектирования зловредов вручную. Их можно задействовать в том случае, если вирус не удастся обезвредить в процессе автоматической проверки.

Внимание! Утилиты рекомендуется применять только опытным пользователям.

Autorun Analyzer

Приложение для быстрой и удобной работы с ключами реестра, файлами, службами и сервисами. Autorun Analyzer определяет местоположение выбранного объекта, при необходимости может удалить или скопировать его.

Для автоматического поиска файлов svchost.exe в разделе «File» выберите «Find» и задайте имя файла. Проанализируйте найденные процессы, руководствуясь свойствами, описанными выше (см. «Хакерская подделка»). При необходимости удалите подозрительные объекты через контекстное меню утилиты.

KillSwitch

Мониторит запущенные процессы, сетевые соединения, физическую память и нагрузку на ЦП. Чтобы «отловить» поддельный svchost при помощи KillSwitch, выполните следующие действия:

В случае обнаружения зловреда:

Способ №2: использование системных функций

Проверка автозагрузки

Анализ активных процессов

Кликните правой кнопкой по имени образа. В меню выберите «Свойства».

В случае обнаружения вируса:

Если сложно определить: доверенный или вирус?

Иногда однозначно сложно сказать, является ли svchost настоящим или подделкой. В такой ситуации рекомендуется провести дополнительное детектирование на бесплатном онлайн-сканере «Virustotal». Этот сервис для проверки объекта на наличие вирусов использует 50-55 антивирусов.

Профилактика

После нейтрализации «паразита» из ОС Windows, в независимости от применённого способа удаления, просканируйте дисковые разделы лечащей утилитой Malwarebytes Anti-Malware или Kaspersky Virus Removal Tool. Проверьте работу основного антивируса: просмотрите настройки детектирования, обновите сигнатурную базу.

Источник

Device harddiskvolume4 windows system32 svchost exe

Этот форум закрыт. Спасибо за участие!

Лучший отвечающий

Вопрос

Предупреждение 28.10.2010 7:24:44 User Profile Service 1530 Отсутствует

Операционная система обнаружила, что файл реестра используется другими приложениями или службами. Файл будет сейчас выгружен. Приложения или службы, которые используют файл реестра, могут впоследствии работать неправильно.

Прошу вас помочь в решении этой проблемы! или скажите куда обратиться?

Ответы

Это сообщение скорее всего результат того что приложение было убито ОС, например при перезагрузке. Приложение может быть убито ОС если оно само не желает выключаться. Т.е. данное сообщение скорее всего не причина долгой перезагрузки, но возможно следствие.

В зависимости от того какие сервисы запущены на компьютере и используются ли они по сети минута-другая может быть и весьма коротким интервалом.

Я бы посоветовал произвести ревизию запущенных процессов и сервисов которые не используются по умолчанию. Возможно один из них создает замедление при выключении.

Если подобное поведение началось недавно то так же можно выполнить откат.

This posting is provided «AS IS» with no warranties, and confers no rights.

Все ответы

Похоже, какая-то программа работает некорректно.

вот опять,после перезагрузки ОС в журнале событий-события управления, снова запись такая-

Предупреждение 31.10.2010 14:54:48 User Profile Service 1530 Отсутствует

Операционная система обнаружила, что файл реестра используется другими приложениями или службами. Файл будет сейчас выгружен. Приложения или службы, которые используют файл реестра, могут впоследствии работать неправильно.

Источник

Device harddiskvolume4 windows system32 svchost exe

Судя по всему пробуждение произошло по таймеру:

Либо таймер прописан в БИОС, либо какой то софт настраивает пробуждение по таймеру. Ищите какой. Можно попробовать команду powercfg /WAKETIMERS в консоли администратора. Но в общем случае сделать ревизию установленного софта и смотреть что из них может это делать.

Вы так же не сказали какой у вас ПК. На старых ПК (5+ лет) часто были проблемы с режимами управлением питанием, в частности кривые реализации ACPI. В этом случае иногда помогает отключeние ACPI в БИОС.

This posting is provided «AS IS» with no warranties, and confers no rights.

Можно так же попробовать запретить таймеры пробуждения (но это не поможет если пробуждение настроенов BIOS):

This posting is provided «AS IS» with no warranties, and confers no rights.

Все ответы

Для начала найдите событие которое описывает пробуждение, там часто есть источник пробужденния. То что вы указли про время не есть причина (хотя изменение времени очень велико для синхронизации, возможны проблемы с часами на матплате).

В обшем, должно быть событие конкретно о пробуждении, типично из серии «Kernel Power». Его надо найти и изучить на предмет источника пробуждения.

Можно так же запустить данную утилиту в консоли админстратора: powercfg.exe /LASTWAKE

Не повредит посмотреть настройки БИОС, там может стоять пробуждение по таймеру или от других источников. Их можно запретить.

P.S. Пожалуйста, полегче с восклицательными знаками.

This posting is provided «AS IS» with no warranties, and confers no rights.

Проверьте в диспетчере задач в дереве контролеры USB,сетевые адаптеры,устройства HID сняты ли галочки в Управления электропитанием- Разрешить выводить этот компьютер из ждущего режима и стоит ли галочка Разрешить отключение этого устройства для экономия энергии.Галочка»Разрешить выводить этот компьютер из ждущего режима» должна стоять только на Мыши и Клавиатуры.

Для начала найдите событие которое описывает пробуждение, там часто есть источник пробужденния. То что вы указли про время не есть причина (хотя изменение времени очень велико для синхронизации, возможны проблемы с часами на матплате).

В обшем, должно быть событие конкретно о пробуждении, типично из серии «Kernel Power». Его надо найти и изучить на предмет источника пробуждения.

Можно так же запустить данную утилиту в консоли админстратора: powercfg.exe /LASTWAKE

Не повредит посмотреть настройки БИОС, там может стоять пробуждение по таймеру или от других источников. Их можно запретить.

P.S. Пожалуйста, полегче с восклицательными знаками.

This posting is provided «AS IS» with no warranties, and confers no rights.

Для начала найдите событие которое описывает пробуждение, там часто есть источник пробужденния. То что вы указли про время не есть причина (хотя изменение времени очень велико для синхронизации, возможны проблемы с часами на матплате).

В обшем, должно быть событие конкретно о пробуждении, типично из серии «Kernel Power». Его надо найти и изучить на предмет источника пробуждения.

Можно так же запустить данную утилиту в консоли админстратора: powercfg.exe /LASTWAKE

Не повредит посмотреть настройки БИОС, там может стоять пробуждение по таймеру или от других источников. Их можно запретить.

P.S. Пожалуйста, полегче с восклицательными знаками.

This posting is provided «AS IS» with no warranties, and confers no rights.

Источник

Device harddiskvolume4 windows system32 svchost exe

Этот форум закрыт. Спасибо за участие!

Лучший отвечающий

Вопрос

Предупреждение 28.10.2010 7:24:44 User Profile Service 1530 Отсутствует

Операционная система обнаружила, что файл реестра используется другими приложениями или службами. Файл будет сейчас выгружен. Приложения или службы, которые используют файл реестра, могут впоследствии работать неправильно.

Прошу вас помочь в решении этой проблемы! или скажите куда обратиться?

Ответы

Это сообщение скорее всего результат того что приложение было убито ОС, например при перезагрузке. Приложение может быть убито ОС если оно само не желает выключаться. Т.е. данное сообщение скорее всего не причина долгой перезагрузки, но возможно следствие.

В зависимости от того какие сервисы запущены на компьютере и используются ли они по сети минута-другая может быть и весьма коротким интервалом.

Я бы посоветовал произвести ревизию запущенных процессов и сервисов которые не используются по умолчанию. Возможно один из них создает замедление при выключении.

Если подобное поведение началось недавно то так же можно выполнить откат.

This posting is provided «AS IS» with no warranties, and confers no rights.

Все ответы

Похоже, какая-то программа работает некорректно.

вот опять,после перезагрузки ОС в журнале событий-события управления, снова запись такая-

Предупреждение 31.10.2010 14:54:48 User Profile Service 1530 Отсутствует

Операционная система обнаружила, что файл реестра используется другими приложениями или службами. Файл будет сейчас выгружен. Приложения или службы, которые используют файл реестра, могут впоследствии работать неправильно.

Источник

Help! Маскировка процесса «svchost.exe» HarddiskVolume1

Опции темы

зверек завелся, не могу поймать за хвост.
интивирь не ловит.
svchost.exe ломится на адрес: 212.193.224.104 на все возможные порты.
в процессах AVZ на него ругается:
Обнаружена маскировка процесса 1288 c:windowssystem32svchost.exe
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=1288, имя = «svchost.exe», полное имя = «DeviceHarddiskVolume1WINDOWSsystem32svchost. exe»

найти, где зверь запускается, не могу. в автозапуске всё просмотрел, глаза сломал

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

логи. кроме процитированного ничего подозрительного нет.
лог Hijack я приложил по правилам.

вот эта зверушка мне покоя не дает:
>>>> Обнаружена маскировка процесса 544 c:windowssystem32svchost.exe
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=544, имя = «svchost.exe», полное имя = «DeviceHarddiskVolume1WINDOWSsystem32svchost. exe»

не могу вычистить. в реестре такого пути нет. И это не системная переменнная. где искать?

Источник

Я адаптировал ответ @ merle, используя подход, описанный в MSDN. На этом также показаны устройства без буквы диска или томов, подключенных к каталогу.

$signature = @'
[DllImport("kernel32.dll", SetLastError=true)]
[return: MarshalAs(UnmanagedType.Bool)]
public static extern bool GetVolumePathNamesForVolumeNameW([MarshalAs(UnmanagedType.LPWStr)] string lpszVolumeName,
        [MarshalAs(UnmanagedType.LPWStr)] [Out] StringBuilder lpszVolumeNamePaths, uint cchBuferLength, 
        ref UInt32 lpcchReturnLength);

[DllImport("kernel32.dll", SetLastError = true)]
public static extern IntPtr FindFirstVolume([Out] StringBuilder lpszVolumeName,
   uint cchBufferLength);

[DllImport("kernel32.dll", SetLastError = true)]
public static extern bool FindNextVolume(IntPtr hFindVolume, [Out] StringBuilder lpszVolumeName, uint cchBufferLength);

[DllImport("kernel32.dll", SetLastError = true)]
public static extern uint QueryDosDevice(string lpDeviceName, StringBuilder lpTargetPath, int ucchMax);

'@;
Add-Type -MemberDefinition $signature -Name Win32Utils -Namespace PInvoke -Using PInvoke,System.Text;

[UInt32] $lpcchReturnLength = 0;
[UInt32] $Max = 65535
$sbVolumeName = New-Object System.Text.StringBuilder($Max, $Max)
$sbPathName = New-Object System.Text.StringBuilder($Max, $Max)
$sbMountPoint = New-Object System.Text.StringBuilder($Max, $Max)
[IntPtr] $volumeHandle = [PInvoke.Win32Utils]::FindFirstVolume($sbVolumeName, $Max)
do {
    $volume = $sbVolumeName.toString()
    $unused = [PInvoke.Win32Utils]::GetVolumePathNamesForVolumeNameW($volume, $sbMountPoint, $Max, [Ref] $lpcchReturnLength);
    $ReturnLength = [PInvoke.Win32Utils]::QueryDosDevice($volume.Substring(4, $volume.Length - 1 - 4), $sbPathName, [UInt32] $Max);
    if ($ReturnLength) {
           $DriveMapping = @{
               DriveLetter = $sbMountPoint.toString()
               VolumeName = $volume
               DevicePath = $sbPathName.ToString()
           }

           Write-Output (New-Object PSObject -Property $DriveMapping)
       }
       else {
           Write-Output "No mountpoint found for: " + $volume
       } 
} while ([PInvoke.Win32Utils]::FindNextVolume([IntPtr] $volumeHandle, $sbVolumeName, $Max));

This event documents each time WFP allows a program to connect to another process (on the same or a remote computer) on a TCP or UDP port.

The above example is of WFP allowing the DNS Server service to connect to the DNS client on the same computer.

Application Information:

Examples of 5156

The Windows Filtering Platform has allowed a connection.

Application Information:

   Process ID:  1752
   Application Name: deviceharddiskvolume1windowssystem32dns.exe

Network Information:

   Direction:  Inbound
   Source Address:  10.45.45.103
   Source Port:  53
   Destination Address: 10.45.45.103
   Destination Port:  50146
   Protocol:  17

Filter Information:

   Filter Run-Time ID: 5
   Layer Name:  Receive/Accept
   Layer Run-Time ID: 44

Top 10 Windows Security Events to Monitor

Free Tool for Windows Event Collection