Форум esetnod32.ru [тема: svchost.exe - teamviewer] http://forum.esetnod32.ru Новое в теме svchost.exe - teamviewer форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Wed, 29 Apr 2026 22:16:33 +0300 svchost.exe - teamviewer svchost.exe - teamviewer svchost.exe - teamviewer в форуме Обнаружение вредоносного кода и ложные срабатывания.
возможно, вместе с Carberp был установлен. вот с этим.

====quote====
delall %SystemDrive%\DOCUMENTS AND SETTINGS\OMIROVA\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\TB8UZ9Q7FFN.EXE
=============
была инфо, что вирусописатели в охоте за банковской информацией устанавливают и легитимные программы для удаленного доступа.
---------
включить/отключить ввод пароля при входе в Win - видимо здесь.

====quote====
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"LogonType"=dword:00000001 - значит включен, чтобы выключить измените 00000001 на 00000000.
=============
------
как обезопасить систему на будущее:
http://forum.esetnod32.ru/forum9/topic3998/
07.02.2012 16:44:54, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic4020/message32766/ http://forum.esetnod32.ru/messages/forum6/topic4020/message32766/ Tue, 07 Feb 2012 16:44:54 +0400 Обнаружение вредоносного кода и ложные срабатывания svchost.exe - teamviewer svchost.exe - teamviewer svchost.exe - teamviewer в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy пишет:
а вот с какой целью установлен? возможно для несанкционированного доступа. возможно c уже прописанным ID.
=============
Установка кем-либо вручную исключена. Попасть мог только с каким-то тараканом. Кстати,

====quote====
От: ESET Russia Support <support@esetnod32.ru>
Здравствуйте.
Присланный вами вирус будет обнаруживаться после выпуска следующей версии базы.
=============

Сейчас вроде все нормально. Только отключился ввод пароля при загрузке винды. Вопрос-то в другом - как туда попал этот таракан и как обезопасить себя от этого типа в дальнейшем.

В любом случае - Большое Человеческое Спасибо за помощь!  :)

з.ы. Считаю проблему решенной. Можно закрывать
07.02.2012 16:07:11, De_Nice.]]> http://forum.esetnod32.ru/messages/forum6/topic4020/message32760/ http://forum.esetnod32.ru/messages/forum6/topic4020/message32760/ Tue, 07 Feb 2012 16:07:11 +0400 Обнаружение вредоносного кода и ложные срабатывания svchost.exe - teamviewer svchost.exe - teamviewer svchost.exe - teamviewer в форуме Обнаружение вредоносного кода и ложные срабатывания.
по svсhost левому понятно,
используется легитимный, подписанный TeamViewer GmbH  файл, переименованный в svchost.exe
-------
а вот с какой целью установлен? возможно для несанкционированного доступа. возможно c уже прописанным ID.

====quote====
Полное имя                  C:\WINDOWS\SVCHOST.EXE
Имя файла                   SVCHOST.EXE
Тек. статус                 в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      ПРОВЕРЕННЫЙ в автозапуске
Размер                      4380968 байт
Создан                      08.12.2009 в 14:52:22
Изменен                     08.12.2009 в 14:52:22
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано TeamViewer GmbH
                           
Оригинальное имя            TeamViewer.exe
Версия файла                5.0.7478.0
Версия продукта             5.0
Описание                    TeamViewer
Продукт                     TeamViewer
Copyright                   TeamViewer GmbH
Производитель               TeamViewer GmbH
                           
Доп. информация             на момент обновления списка
SHA1                        81A41C116AF135AE25D8BB72BAF4B7F6DA6B6EC1
MD5                         9DFA2BD6BDDC746ACEA981DA411D59D3
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Expl­orer\Run\svchost
svchost                     C:\WINDOWS\svchost.exe

=============

07.02.2012 13:53:30, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic4020/message32748/ http://forum.esetnod32.ru/messages/forum6/topic4020/message32748/ Tue, 07 Feb 2012 13:53:30 +0400 Обнаружение вредоносного кода и ложные срабатывания svchost.exe - teamviewer svchost.exe - teamviewer svchost.exe - teamviewer в форуме Обнаружение вредоносного кода и ложные срабатывания.
по логам чисто.
решилась проблема? нет?
07.02.2012 13:40:14, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic4020/message32742/ http://forum.esetnod32.ru/messages/forum6/topic4020/message32742/ Tue, 07 Feb 2012 13:40:14 +0400 Обнаружение вредоносного кода и ложные срабатывания svchost.exe - teamviewer svchost.exe - teamviewer svchost.exe - teamviewer в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy пишет:
после удаления в мбам, перегрузите систему, далее, сделайте новый образ автозапуска. и новый лог сканирования в мбам
=============

COMP-80_2012-02-07_12-49-41.zip
mbam-log-2012-02-07 (13-01-04).zip
07.02.2012 13:09:39, De_Nice.]]> http://forum.esetnod32.ru/messages/forum6/topic4020/message32736/ http://forum.esetnod32.ru/messages/forum6/topic4020/message32736/ Tue, 07 Feb 2012 13:09:39 +0400 Обнаружение вредоносного кода и ложные срабатывания svchost.exe - teamviewer svchost.exe - teamviewer svchost.exe - teamviewer в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
De_Nice пишет:
Конечно известно   Hide RDP X button - соотв. в терминальном доступе прячет от юзера "крестик" и тот не может закрыть сессию, не разлогинившись
=============
ясно, значит рабочая программа, выполните все из сообщения 7.
07.02.2012 12:06:38, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic4020/message32723/ http://forum.esetnod32.ru/messages/forum6/topic4020/message32723/ Tue, 07 Feb 2012 12:06:38 +0400 Обнаружение вредоносного кода и ложные срабатывания svchost.exe - teamviewer svchost.exe - teamviewer svchost.exe - teamviewer в форуме Обнаружение вредоносного кода и ложные срабатывания.
после удаления в мбам,
перегрузите систему,
далее,
сделайте новый образ автозапуска.
и новый лог сканирования в мбам
07.02.2012 12:05:27, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic4020/message32721/ http://forum.esetnod32.ru/messages/forum6/topic4020/message32721/ Tue, 07 Feb 2012 12:05:27 +0400 Обнаружение вредоносного кода и ложные срабатывания svchost.exe - teamviewer svchost.exe - teamviewer svchost.exe - teamviewer в форуме Обнаружение вредоносного кода и ложные срабатывания.
Конечно известно :) Hide RDP X button - соотв. в терминальном доступе прячет от юзера "крестик" и тот не может закрыть сессию, не разлогинившись
07.02.2012 12:04:32, De_Nice.]]> http://forum.esetnod32.ru/messages/forum6/topic4020/message32720/ http://forum.esetnod32.ru/messages/forum6/topic4020/message32720/ Tue, 07 Feb 2012 12:04:32 +0400 Обнаружение вредоносного кода и ложные срабатывания svchost.exe - teamviewer svchost.exe - teamviewer svchost.exe - teamviewer в форуме Обнаружение вредоносного кода и ложные срабатывания.
а так же, напишите, что это может быть если известно (скрытый rdp доступ)

====quote====
Полное имя                  C:\WINDOWS\HIDERDP\HIDERDPXBUTTON.EXE
Имя файла                   HIDERDPXBUTTON.EXE
Тек. статус                 АКТИВНЫЙ в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ в автозапуске
Размер                      17920 байт
Создан                      15.05.2009 в 10:31:54
Изменен                     11.09.2006 в 14:18:18
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            HideRDPxButton.exe
Версия файла                1.0.1.0
Описание                    HideRDPxButton
Производитель               metaeditor <shotfire@inbox.ru>
Комментарий                
                           
Доп. информация             на момент обновления списка
pid = 532                   COMP-80\omirova
CmdLine                     "C:\WINDOWS\HideRDP\HideRDPxButtoN.exe"
Процесс создан              10:26:23 [2012.02.07]
С момента создания          00:25:51
parentid = 664              
SHA1                        C03468303AF277ED38DF07CD06BE1112E8FC06A5
MD5                         3A0244928C00047728105DA71DA875A3
                           
Ссылки на объект            
Ссылка                      C:\DOCUMENTS AND SETTINGS\OMIROVA\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\HIDERDPXBUTTON.LNK
                           

=============

07.02.2012 11:56:33, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic4020/message32717/ http://forum.esetnod32.ru/messages/forum6/topic4020/message32717/ Tue, 07 Feb 2012 11:56:33 +0400 Обнаружение вредоносного кода и ложные срабатывания svchost.exe - teamviewer svchost.exe - teamviewer svchost.exe - teamviewer в форуме Обнаружение вредоносного кода и ложные срабатывания.
извиняюсь,
лог малваребайт не смотрел,
--------
удалите в МБАМ все кроме

====quote====
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
=============

07.02.2012 11:52:42, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic4020/message32715/ http://forum.esetnod32.ru/messages/forum6/topic4020/message32715/ Tue, 07 Feb 2012 11:52:42 +0400 Обнаружение вредоносного кода и ложные срабатывания svchost.exe - teamviewer svchost.exe - teamviewer svchost.exe - teamviewer в форуме Обнаружение вредоносного кода и ложные срабатывания.
Скрипт выполнил, компьютер перезагрузился. TeamViewer опять благополучно запустился. Кстати, когда эта проблема появилась, на рабочем столе появился ярлычок "Удаленный доступ", который ссылался на скрытый файл teamviewer.exe в скрытой папке на диске D. Поскольку я сам его не устанавливал, то сам и удалил (папку и ярлык). Сейчас он запускается откуда-то из др. места
07.02.2012 11:47:26, De_Nice.]]> http://forum.esetnod32.ru/messages/forum6/topic4020/message32714/ http://forum.esetnod32.ru/messages/forum6/topic4020/message32714/ Tue, 07 Feb 2012 11:47:26 +0400 Обнаружение вредоносного кода и ложные срабатывания svchost.exe - teamviewer svchost.exe - teamviewer svchost.exe - teamviewer в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
====code==== 
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn A7679BF0AA0228324AD4C6717D881261848AFCF689AA7BF1A0C3C5BC50559D34704194DE5BBDAE92A2DD78F544E95CA25D9FE82BD6D7F86C6C775BACCAEA6232 8 tr.Carberp

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\OMIROVA\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\TB8UZ9Q7FFN.EXE
bl 815732068870DD4094CB1525E32C4F4F 110592
delall %SystemDrive%\DOCUMENTS AND SETTINGS\OMIROVA\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\TB8UZ9Q7FFN.EXE
chklst
delvir
deltmp
delnfr
restart
=============
перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту support@esetnod32.ru, sendvirus2011@gmail.com
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем infected )
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
07.02.2012 11:20:20, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic4020/message32705/ http://forum.esetnod32.ru/messages/forum6/topic4020/message32705/ Tue, 07 Feb 2012 11:20:20 +0400 Обнаружение вредоносного кода и ложные срабатывания svchost.exe - teamviewer svchost.exe - teamviewer svchost.exe - teamviewer в форуме Обнаружение вредоносного кода и ложные срабатывания.
Здравствуйте! нужна Ваша помощь!
TeamViewer не устанавливал никогда. тут он в автозапуске появился, причем старинный (4-й версии). Где ни искал - не нашел, пока не запустил Malwarebytes и не увидел в списке подозрительных svchost.exe. При создании образа автозагрузки тоже показало на svchost.exe, только в производителе/издателе не microsoft, а именно teamviewer gmbh
логи uVS и malwarebytes прикрепляю.
Спасибо заранее!
COMP-80_2012-02-07_10-52-09.zip
mbam-log-2012-02-07 (10-23-04).zip
07.02.2012 11:16:13, De_Nice.]]> http://forum.esetnod32.ru/messages/forum6/topic4020/message32703/ http://forum.esetnod32.ru/messages/forum6/topic4020/message32703/ Tue, 07 Feb 2012 11:16:13 +0400 Обнаружение вредоносного кода и ложные срабатывания