Злодеручий процесс

#1 **LMsd** » Ср 27.01.2010, 12:06

Вот этот процесс висит в памяти и жрет 45-100% процессора. Что ему надо - понятия не знаю. но бесит, приходится убивать его

с чем может быть связано это дело?

#2 **Женька** » Ср 27.01.2010, 12:14

http://www.pkgazet.bn.by/obz/obzor21.shtml
http://whiteportal.ru/2007/04/17/proces ... d_100.html
http://sis-admin.blogspot.com/2009/05/svchostexe.html

#3 ФМ » Ср 27.01.2010, 12:18

в диспетчере задач вид-выбрать столбцы-поставить галку на айди процесса, запомнить айди того, который грузит.
дальше запускаешь командную строку, вводишь tasklist /svc, ишешь процесс по названию и айди, в третьем столбике смотришь службу, которая стоит за этим процессом, отключаешь эту службу.

#4 **Naranec** » Ср 27.01.2010, 13:25

Да, вредный червяк, сцуко мутант какой то... Один раз удалял ручками, по инструкции. Другой раз раз помогло format c:. Но на разных компах он ведет себя по разному, хрен поймешь чего ему надо...

#5 **grmix** » Вт 16.02.2010, 15:56

для автоматизации поиска используемых процессами динамических библиотек, и поиска исполняемого файла я использую программу process explorer,кажется:) от sysinternals. Фриварная софтина небольшого объема, с время от времени расширяемым функционалом. Позволяет убивать даже процессы немодерируемые (блин,синонима не подберу:) стандартным диспетчером задач.

#6 **Ananasik** » Вт 16.02.2010, 16:16

эх, помню попарилась и я с этим :evil:

у мну SisUtils.exe, гадина такая, этот процесс запускал. загрузка проца была 100%. чистила руками в реестре по поиску. тогда не один антивирь его не видели

#7 **Miker** » Вт 16.02.2010, 17:32

Да уж.. Смысл отключать службу/убивать процесс, если м.б. вирус на компе.

Безопасный режим, и CureIT-ом систему прогнать) Сам убъётся.

#8 **Женька** » Вт 16.02.2010, 17:38

CureIT-ом систему прогнать) Сам убъётся.

не всегда
по большей части лучше помогает AVZ и скрипты к нему

#9 **Miker** » Вт 16.02.2010, 17:54

Женька вариант) Но ни в коем случае не лечить симптомы)

**#10** **grmix** » Вт 16.02.2010, 17:59

Miker:Да уж.. Смысл отключать службу/убивать процесс, если м.б. вирус на компе.

Резервное копирование, своевременная установка патчей на ПО, антивирус с хорошей эвристикой (а может даже и аппаратный) и будет вам щастье и спокойный сон. Да, и regedit, начиная с версии для 95й форточки, вроде умеет делать свою копию?

**#11** **Miker** » Вт 16.02.2010, 18:23

grmix резервное копирование - если втупую то data lost) + гемор).. Установка патчей на ПО - в какой стране ви живёте?) Антивирус с хорошей эвристикой, при том включенной на постоянную на полную мощь никакой комп не выдержит - так что тоже не вариант).. Ну и с реестром вообще веселуха) Месье никогда не видел реально нагруженных хитрым софтом машин? Там восстановление реестра = переустановка всего)) Ибо софт постоянно обновляется, реестр постоянно меняется)

**#12** **grmix** » Вт 16.02.2010, 18:55

уважаемый Miker, резервное копирование не = в данном случае "Восстановление системы",и само собой как то уже подразумевает некоторую квалификацию администратора (да,именно так.не пользователя.)
В стране?:) Хм...Интересный вопрос.Я вроде бы,знаете живу в мире.В мире свободного и пропиеритарного ПО.Идеалист в своем роде,но что поделать:)?
По поводу злободневного реестра... Я ведь так понимаю что сейв можно делать несколько раз?Не так ли?:)

**#13** **Умник** » Ср 17.02.2010, 13:20

прошёл по ссылкам, которые указаны в начале, в этой ветке, подцепил вчера вирусягу "security tool" . Антивиря у меня не стояло, файрвела тож....

кое как к трём часам ночи вылечился от этой заразы. Успела разползтись шо писец по всему компу.

так что - господа - по ссылочкам осторожно ходите. Хотя конечно у меня может быть просто совпало неудачно.

**#14** **Женька** » Ср 17.02.2010, 16:47

прошёл по ссылкам, которые указаны в начале, в этой ветке, подцепил вчера вирусягу "security tool" . Антивиря у меня не стояло, файрвела тож....

проверил ссылки только что - чистые абсолютно

**#15** **Tejsintaj** » Ср 17.02.2010, 19:25

Была такая же фигня.Помучился.Потом както нашел страничку посидел почитал поробовал.Сделал как там все сказано.......может это и помогло.

Добавлено спустя 2 минуты 36 секунд:

Если надо ссылку кину в личку

**#16** **norilsk** » Ср 17.02.2010, 19:38

LMsd:
с чем может быть связано это дело?

http://www.youtube.com/watch?v=_Sah-94wHJo

**#17** **Умник** » Ср 17.02.2010, 20:26

Женька,
ну значит просто неприятное совпадение...

Проблемку эту я решил самостоятельно но понервничал конечно. не хотела она удаляться, восстанавливалась.

**#18** **grmix** » Пт 23.04.2010, 8:18

Вообще говоря,сталкивался с такими ситуациями неоднократно и наиболее универсальный метод борьбы с малаварью без отката системы,на мой взгляд,это:
1.Определение используемых вредоносным ПО системных библиотек,и исполняемого файла.
2.Загрузка машины с live cd,с поддержкой используемой фс.
3.Удаление вручную ВСЕХ относящихся к вредоносному ПО файлов(благо большинство из них лежит в системных каталогах и томах в корне).

Добавлено спустя 8 минут 56 секунд:

4.Восстановление поврежденных малаварью файлов системы из родного дистрибутива(по необходимости).
5.Загрузка ОСи в 'Безопасном режиме' и удаление из файла реестра ручками следов всякой гадости.
6.Также из 'Безопасного...' бывает полезно софтиной вроде autoruns проглядеть службы и автозагрузку на предмет подозрительных записей.
Вообщем всё.На оригинальность не претендую,и буду рад если дополните чего...

**#19** **Славка** » Пт 23.04.2010, 11:19

есть куча малвари, которую бесполезно искать/удалять в безопасном режиме. Только лайвсиди, и то не всякий.

**#20** **grmix** » Пт 23.04.2010, 11:37

СлавкаТак в безопасном мы её следы из реестра да из автозагрузки дергаем.А удаляем собственно из под работоспособной системы read only... А что это за малаварь которую в безопасном искать бесполезно?Полиморфы какие резидентные?