Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] svchost.exe - teamviewer , svchost.exe - teamviewer

RSS
 
De_Nice
De_Nice
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 23.01.2012
Размещено 07.02.2012 11:16:13
Здравствуйте! нужна Ваша помощь!
TeamViewer не устанавливал никогда. тут он в автозапуске появился, причем старинный (4-й версии). Где ни искал - не нашел, пока не запустил Malwarebytes и не увидел в списке подозрительных svchost.exe. При создании образа автозагрузки тоже показало на svchost.exe, только в производителе/издателе не microsoft, а именно teamviewer gmbh
логи uVS и malwarebytes прикрепляю.
Спасибо заранее!

Ответы

Пред. 1 2
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.02.2012 13:53:30
по svсhost левому понятно,
используется легитимный, подписанный TeamViewer GmbH  файл, переименованный в svchost.exe
-------
а вот с какой целью установлен? возможно для несанкционированного доступа. возможно c уже прописанным ID.
Цитата
Полное имя                  C:\WINDOWS\SVCHOST.EXE
Имя файла                   SVCHOST.EXE
Тек. статус                 в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      ПРОВЕРЕННЫЙ в автозапуске
Размер                      4380968 байт
Создан                      08.12.2009 в 14:52:22
Изменен                     08.12.2009 в 14:52:22
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано TeamViewer GmbH
                           
Оригинальное имя            TeamViewer.exe
Версия файла                5.0.7478.0
Версия продукта             5.0
Описание                    TeamViewer
Продукт                     TeamViewer
Copyright                   TeamViewer GmbH
Производитель               TeamViewer GmbH
                           
Доп. информация             на момент обновления списка
SHA1                        81A41C116AF135AE25D8BB72BAF4B7F6DA6B6EC1
MD5                         9DFA2BD6BDDC746ACEA981DA411D59D3
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Expl­orer\Run\svchost
svchost                     C:\WINDOWS\svchost.exe
Изменено: santy - 07.02.2012 13:55:16
[ Как создать образ автозапуска? ]
 
De_Nice
De_Nice
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 23.01.2012
Размещено 07.02.2012 16:07:11
Цитата
santy пишет:
а вот с какой целью установлен? возможно для несанкционированного доступа. возможно c уже прописанным ID.
Установка кем-либо вручную исключена. Попасть мог только с каким-то тараканом. Кстати,
Цитата
От: ESET Russia Support <[email protected]>
Здравствуйте.
Присланный вами вирус будет обнаруживаться после выпуска следующей версии базы.

Сейчас вроде все нормально. Только отключился ввод пароля при загрузке винды. Вопрос-то в другом - как туда попал этот таракан и как обезопасить себя от этого типа в дальнейшем.

В любом случае - Большое Человеческое Спасибо за помощь!  :)

з.ы. Считаю проблему решенной. Можно закрывать
Изменено: De_Nice - 07.02.2012 16:09:33
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.02.2012 16:44:54
возможно, вместе с Carberp был установлен. вот с этим.
Цитата
delall %SystemDrive%\DOCUMENTS AND SETTINGS\OMIROVA\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\TB8UZ9Q7FFN.EXE
была инфо, что вирусописатели в охоте за банковской информацией устанавливают и легитимные программы для удаленного доступа.
---------
включить/отключить ввод пароля при входе в Win - видимо здесь.
Цитата
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"LogonType"=dword:00000001 - значит включен, чтобы выключить измените 00000001 на 00000000.
------
как обезопасить систему на будущее:
http://forum.esetnod32.ru/forum9/topic3998/
Изменено: santy - 07.02.2012 17:03:15
[ Как создать образ автозапуска? ]
 
Пред. 1 2
Читают тему