Форум SoftWeb.ru

Форум SoftWeb.ru (https://softweb.ru/index.php)
-   Защита (https://softweb.ru/forumdisplay.php?f=247)
-   -   Что это такое? * (https://softweb.ru/showthread.php?t=10665)

Ninka 16.08.2007 21:46

Re: Что это такое?
 
Когда открываю Диспетчер задач, в закладке процессы появляется ivchost.exe, хотя раньше его не было. Что это может быть?

sancheas 17.08.2007 04:40

Re: Что это такое?
 
Вот что я нашел по нему , правда на аглицком надеюсь переведет кто, я не очень соображаю в нем. Понял только что это нехорошая кака :)
Цитата:

IVCHOST.EXE has been determined by the Prevx database as Bad. Therefore this file is unsafe to run and should be removed using Prevx.

We Recommend you do not delete the files listed above manually. As Malware can use the same name as a genuine file, you could inadvertantly delete a file which is genuine. Prevx can analyze the actual malware file on your computer so it can identify and clean up malware and protect your computer from future malware infections.

It's very easy to remove these infections just click the button below to download and run Prevx

4айник 20.08.2007 13:44

Re: Что это такое?
 
Это - троянец....
Имя: ms hexidecimal defx
Файл: ivchost.exe
Место: C:\WINDOWS\system32\dllcache\ivchost.exe
Название вируса: Backdoor.Win32.SdBot.aad
Сервис: mshexdefx
Название сервиса: ms hexidecimal defx

надо загрузиться в защищеном режиме (режиме защиты от сбоев) и вычистить эту гадость из реестра и из компа. Вероятно, придется заново устанавливать антивирь....

leit 03.12.2007 00:10

Re: Что это такое?
 
Пару дней назад принесли флэшку и с неё на комп попала зараза . Аутпост секьюрити сюит определяет как sdbot тип backdoor. На компе 3 системы - все заразила , я думаю ,что и на не системных дисках тоже замаскировалась, везде влезла в Нортон антивирус 2005, он у меня тоже стоит в 3-х системах. При сканировнии Аутпостом показывает себя в реестре в ключах Нортона, если отправляешь их в карантин, то у Нортона после перезагрузки отключается автозащита, включаешь её снова эта дрянь в тех же ключах. Удалял Нортон, ставил по новому на всех системах, проверил все диски Аутпостом вроде чисто, но после того как скопировал файл с "чистого " диска в ключах Нортона та же хрень. Может кто подскажет, что делать на несистемных дисках больше 400Гб инфы, занимаюсь видеомонтажём, чтобы всё восстановить , если всё форматнуть, то даже не знаю сколько времени уйдёт. А из-за этой фигни программы тормозят в работе, скорость рендеринга раза в полтора упала.
Ключи вот эти:
Код:

Реестр:
    HKLM\SYSTEM\CurrentControlSet\Services\navapsvc\Security\Security
    HKLM\SYSTEM\CurrentControlSet\Services\navapsvc\Security
    HKLM\SYSTEM\CurrentControlSet\Services\navapsvc\Enum\NextInstance
    HKLM\SYSTEM\CurrentControlSet\Services\navapsvc\Enum\Count
    HKLM\SYSTEM\CurrentControlSet\Services\navapsvc\Enum\0
    HKLM\SYSTEM\CurrentControlSet\Services\navapsvc\Enum
    HKLM\SYSTEM\CurrentControlSet\Services\navapsvc\Type
    HKLM\SYSTEM\CurrentControlSet\Services\navapsvc\Start
    HKLM\SYSTEM\CurrentControlSet\Services\navapsvc\ObjectName
    HKLM\SYSTEM\CurrentControlSet\Services\navapsvc\ImagePath
    HKLM\SYSTEM\CurrentControlSet\Services\navapsvc\ErrorControl
    HKLM\SYSTEM\CurrentControlSet\Services\navapsvc\DisplayName
    HKLM\SYSTEM\CurrentControlSet\Services\navapsvc\Description
    HKLM\SYSTEM\CurrentControlSet\Services\navapsvc\DependOnService
    HKLM\SYSTEM\CurrentControlSet\Services\navapsvc\DependOnGroup
    HKLM\SYSTEM\CurrentControlSet\Services\navapsvc
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NAVAPSVC\0000\Control\ActiveService
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NAVAPSVC\0000\Control\*NewlyCreated*
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NAVAPSVC\0000\Control
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NAVAPSVC\0000\Service
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NAVAPSVC\0000\Legacy
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NAVAPSVC\0000\DeviceDesc
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NAVAPSVC\0000\ConfigFlags
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NAVAPSVC\0000\ClassGUID
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NAVAPSVC\0000\Class
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NAVAPSVC\0000
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NAVAPSVC\NextInstance
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NAVAPSVC
    HKLM\SYSTEM\ControlSet001\Services\navapsvc\Security\Security
    HKLM\SYSTEM\ControlSet001\Services\navapsvc\Security
    HKLM\SYSTEM\ControlSet001\Services\navapsvc\Enum\NextInstance
    HKLM\SYSTEM\ControlSet001\Services\navapsvc\Enum\Count
    HKLM\SYSTEM\ControlSet001\Services\navapsvc\Enum\0
    HKLM\SYSTEM\ControlSet001\Services\navapsvc\Enum
    HKLM\SYSTEM\ControlSet001\Services\navapsvc\Type
    HKLM\SYSTEM\ControlSet001\Services\navapsvc\Start
    HKLM\SYSTEM\ControlSet001\Services\navapsvc\ObjectName
    HKLM\SYSTEM\ControlSet001\Services\navapsvc\ImagePath
    HKLM\SYSTEM\ControlSet001\Services\navapsvc\ErrorControl
    HKLM\SYSTEM\ControlSet001\Services\navapsvc\DisplayName
    HKLM\SYSTEM\ControlSet001\Services\navapsvc\Description
    HKLM\SYSTEM\ControlSet001\Services\navapsvc\DependOnService
    HKLM\SYSTEM\ControlSet001\Services\navapsvc\DependOnGroup
    HKLM\SYSTEM\ControlSet001\Services\navapsvc
    HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_NAVAPSVC\0000\Control\ActiveService
    HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_NAVAPSVC\0000\Control\*NewlyCreated*
    HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_NAVAPSVC\0000\Control
    HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_NAVAPSVC\0000\Service
    HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_NAVAPSVC\0000\Legacy
    HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_NAVAPSVC\0000\DeviceDesc
    HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_NAVAPSVC\0000\ConfigFlags
    HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_NAVAPSVC\0000\ClassGUID
    HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_NAVAPSVC\0000\Class
    HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_NAVAPSVC\0000
    HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_NAVAPSVC\NextInstance
    HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_NAVAPSVC


4айник 03.12.2007 04:15

Re: Что это такое?
 
leit,
как бороться именно с Notron Antivirus тебе смогут подсказать [Ссылки могут видеть только зарегистрированные пользователи. ]

А вообще перво-наперво я бы загрузился с компакта типа LiveCD (типа [Ссылки могут видеть только зарегистрированные пользователи. ]) и пролечил бы все диски свеженьким CureIt (не требует установки, скачал с DrWeb.ru и запускай). Только вот скачивать проги и делать компакт надо на здоровом компе.....

Топтун 03.12.2007 10:16

Re: Что это такое?
 
Цитата:

Сообщение от leit (Сообщение 228117)
leit

Начни вот [Ссылки могут видеть только зарегистрированные пользователи. ] ( это пояснения куда прописывается троян ) читать с [Ссылки могут видеть только зарегистрированные пользователи. ] онлайн ( слева , в меню , есть функция перевода интернет страниц целиком ... )

Затем , в самом низу будет линк Entfernung . Это пояснения от симантек , как можно с этим бороться . Так же с переводчиком читай дальше ...

leit 03.12.2007 23:25

Re: Что это такое?
 
Вообщем, сделал так удалил с помощью Нортон Ремувала Нортон антивирус со всех трёх систем поочереди, Аутпостом зачистил заразу и установил везде НОД 32 , несколько раз перезагрузил, проверил Аутпостом и НОДом, вроде пока тишина, ну и слава богу! То , что в реестре и папках не удалил Ремувал, удалил руками.

polko 13.12.2007 14:36

Re: Вирусы сюда !!!!
 
Hupigeon AHB Trojan- не подскажете что за зверь и откуда берётся? У меня его периодически XoftSpySE находит.

4айник 14.12.2007 10:21

Re: Что это такое?
 
Цитата:

Сообщение от polko (Сообщение 232094)
Hupigeon AHB Trojan- не подскажете что за зверь и откуда берётся?

просканируй комп нормальным антивирусом, поставь нормальный фаервол и включи нормальную проактивныю защиту. тогда узнаешь, откуда он берется.
А зверек этот наподобие [Ссылки могут видеть только зарегистрированные пользователи. ] и [Ссылки могут видеть только зарегистрированные пользователи. ]

прежде чем ставить приличный антивирь, просканируй комп свеженьким CureIT, скачанным с DrWEB.ru (установка не требуется)

Топтун 14.12.2007 10:49

Re: Что это такое?
 
Мелкомягкие пишут , что файл используется Офисом или его каким то приложением , которое у тебя стоит . После последних обновлений XoftSpy перестаёт шуметь о наличии трояна ... Обновись и проверь систему ещё раз ...


Часовой пояс GMT +3, время: 14:56.

Работает на vBulletin® версия 3.8.12 by vBS.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Перевод: zCarot