C windows system32 svchost exe: Что такое svchost и почему грузит процессор — подробности

Что такое svchost.exe ? | System Explorer

• БЕЗОПАСНЫЙоценка пользователя

  mstayros для файла C:\Windows\System32\svchost.exe

• ОПАСНЫЙоценка пользователя

  vorcshop для файла C:\Windows\System32\svchost.exe

• ОПАСНЫЙоценка пользователя

  jlol для файла C:\Windows\System32\svchost.exe

• БЕЗОПАСНЫЙоценка пользователя

  NEugeny74 для файла C:\Windows\System32\svchost.exe

• ОПАСНЫЙоценка пользователя

  fak для файла C:\Windows\System32\svchost.exe
• org/Review»>

  ОПАСНЫЙоценка пользователя

  Nikita для файла %APPDATA%\System\libs\svchost.exe

• ОПАСНЫЙоценка пользователя

  danny chip boy для файла C:\Windows\System32\svchost.exe

• БЕЗОПАСНЫЙоценка пользователя

  Maciek для файла C:\Windows\System32\svchost.exe

• БЕЗОПАСНЫЙоценка пользователя

  wguimb для файла C:\Windows\System32\svchost.exe

• ОПАСНЫЙоценка пользователя

  Pluske для файла C:\Windows\System32\svchost.exe

• ОПАСНЫЙоценка пользователя

  husein для файла C:\Windows\System32\svchost. exe

• БЕЗОПАСНЫЙоценка пользователя

  jiku для файла C:\Windows\SysWOW64\svchost.exe

• ОПАСНЫЙоценка пользователя

  Boris для файла C:\Windows\System32\svchost.exe (Variant: 1140279)

  50 nagruzki dayet

• ОПАСНЫЙоценка пользователя

  546354 для файла C:\Windows\svchost.exe (Variant: 227152)

  Virus.Win32.Hidrag.clfcen

• ОПАСНЫЙоценка пользователя

  Джексон для файла C:\Windows\System32\svchost.exe (Variant: 1140279)

  Грузит процессор на 50%.

• БЕЗОПАСНЫЙоценка пользователя

  uasia для файла C:\Windows\System32\svchost. exe (Variant: 500673)

  вапр

• ОПАСНЫЙоценка пользователя

  Aurikk для файла C:\Windows\System32\svchost.exe

• ОПАСНЫЙоценка пользователя

  qq для файла %TEMP%\svchost.exe

• ОПАСНЫЙоценка пользователя

  felix для файла C:\Windows\System32\svchost.exe (Variant: 1140279)

  при задействии поиска обновлений безпричинно грузит проц на 20%, в активных процессах весит 2гб оперативы.

• ОПАСНЫЙоценка пользователя

  duc для файла %APPDATA%\svchost.exe (Variant: 30929963)

  Биткойн-майнер. Подробно https://www.reasoncoresecurity.com/svchost. exe-11b27dff6ac3320df23a7ec1a136897f4abbe406.aspx
  Съедал треть производительности процессора. Антивирусы промолчали.

• БЕЗОПАСНЫЙоценка пользователя

  миша для файла C:\Windows\System32\svchost.exe (Variant: 500673)

  Отключил службу центра обновлений для Win7 и процессор перешел на нормальный режим работы. При повторном включении службы центра обновлений процессор грузится 97% — 100%. Даже проверить наличие обновлений невозможно. Найти причину глюка не удалось.

• БЕЗОПАСНЫЙоценка пользователя

  DJ для файла C:\Windows\System32\svchost.exe (Variant: 1140279)

  После того как я отключил обновление виндовс частота упала 0т 0 до 10 .

• ОПАСНЫЙоценка пользователя

  миша для файла C:\Windows\System32\svchost. exe (Variant: 500673)

  Грузит процессор 92%- 97%

• ОПАСНЫЙоценка пользователя

  Олег для файла C:\Windows\System32\svchost.exe (Variant: 1140279)

  Грузит процессор на 25% непонятно почему. Отключаю — все окей.

• БЕЗОПАСНЫЙоценка пользователя

  Sam для файла C:\Windows\System32\svchost.exe (Variant: 500673)

  Good!

• БЕЗОПАСНЫЙоценка пользователя

  ПУРГЕН для файла C:\Windows\System32\svchost.exe (Variant: 34149558)

  ГЛЯНЬТЕ И ВСЁ https://social.msdn.microsoft.com/Search/ru-RU?query=svchost.exe&emptyWatermark=true&ac=4

• БЕЗОПАСНЫЙоценка пользователя

  its as much of a threat as Microsoft для файла C:\Windows\System32\svchost. exe

• БЕЗОПАСНЫЙоценка пользователя

  Alex для файла %APPDATA%\svchost.exe

• БЕЗОПАСНЫЙоценка пользователя

  Mike для файла C:\Windows\System32\svchost.exe

• БЕЗОПАСНЫЙоценка пользователя

  Jurij для файла C:\Windows\System32\svchost.exe

• ОПАСНЫЙоценка пользователя

  Ericssonica для файла C:\Windows\System32\svchost.exe (Variant: 1140279)

  Backdoor Win32 Hupigon — svchost.com

• БЕЗОПАСНЫЙоценка пользователя

  degert для файла C:\Windows\System32\svchost.exe
• org/Review»>

  БЕЗОПАСНЫЙоценка пользователя

  pablo pawlacco для файла C:\Windows\System32\svchost.exe

• ОПАСНЫЙоценка пользователя

  upset для файла C:\Windows\System32\svchost.exe (Variant: 506004)

  весь ньюанс в том,что так этот проццес в принцепе безопасен НО!,в проццес может подсилиться «желец»т.е.троян!!!!!и он уже НЕБЕЗОПАСЕН!!!проверить элементарно-local servis,network servis &sistem это от какого имени запущен,если вы видете пользователя то это троян…..

• ОПАСНЫЙоценка пользователя

  Zoran для файла C:\Windows\System32\svchost.exe

• ОПАСНЫЙоценка пользователя

  MX для файла %USERPROFILE%\pwo5\svchost.exe
• org/Review»>

  БЕЗОПАСНЫЙоценка пользователя

  komele8 для файла C:\Windows\SysWOW64\svchost.exe

• БЕЗОПАСНЫЙоценка пользователя

  Nilrem для файла C:\Windows\System32\svchost.exe

• БЕЗОПАСНЫЙоценка пользователя

  Longwood для файла C:\Windows\System32\svchost.exe

• БЕЗОПАСНЫЙоценка пользователя

  Dieter для файла C:\Windows\System32\svchost.exe

• БЕЗОПАСНЫЙоценка пользователя

  sergey2910 для файла C:\Windows\System32\svchost.exe (Variant: 506004)

  родитель — автоматическое обновление (Windows XP). После отключения службы процесс пропал.

• org/Review»>

  БЕЗОПАСНЫЙоценка пользователя

  a для файла C:\Windows\System32\svchost.exe (Variant: 506004)

  Процессор грузился постоянно на 50%. С помощью утилиты System Explorer начал отключать поочерёдно службы в процессе svchost.exe пока не дошел до самой нижней, ней оказалась служба «Автоматического обновления» и, о чудо, загрузка процессора сразу упала на 0%.

• БЕЗОПАСНЫЙоценка пользователя

  Александр Щуров для файла C:\Windows\System32\svchost.exe (Variant: 506004)

  Мне интересно, что он может делать с процессором, т.к. загрузка этим файлом проца идет 50% уже больше часа.

• БЕЗОПАСНЫЙоценка пользователя

  dkk для файла C:\Windows\System32\svchost.exe
• org/Review»>

  ОПАСНЫЙоценка пользователя

  catilley1092 для файла C:\Windows\System32\svchost.exe

• БЕЗОПАСНЫЙоценка пользователя

  baxti1965 для файла C:\Windows\System32\svchost.exe

• БЕЗОПАСНЫЙоценка пользователя

  Flayro для файла C:\Windows\SysWOW64\svchost.exe

• БЕЗОПАСНЫЙоценка пользователя

  rots для файла %APPDATA%\Data\svchost.exe

• БЕЗОПАСНЫЙоценка пользователя

  coles для файла C:\Windows\System32\svchost.exe

• ОПАСНЫЙоценка пользователя

  markpol для файла %TEMP%\svchost. exe

• БЕЗОПАСНЫЙоценка пользователя

  qwqazx для файла C:\Windows\System32\svchost.exe

• БЕЗОПАСНЫЙоценка пользователя

  Admin для файла C:\Windows\System32\svchost.exe

• БЕЗОПАСНЫЙоценка пользователя

  MikeOne для файла C:\Windows\System32\svchost.exe

• БЕЗОПАСНЫЙоценка пользователя

  MikeOne для файла C:\Windows\System32\svchost.exe

• ОПАСНЫЙоценка пользователя

  Jhon для файла %APPDATA%\System32\svchost.EXE

• ОПАСНЫЙоценка пользователя

  Habistus для файла \\. \globalroot\systemroot\svchost.exe

• БЕЗОПАСНЫЙоценка пользователя

  spook для файла C:\Windows\System32\svchost.exe

• БЕЗОПАСНЫЙоценка пользователя

  destiny для файла C:\Windows\System32\svchost.exe

• ОПАСНЫЙоценка пользователя

  ISergey для файла C:\Windows\update.1\svchost.exe

• БЕЗОПАСНЫЙоценка пользователя

  Guibou для файла C:\Windows\SysWOW64\svchost.exe

• БЕЗОПАСНЫЙоценка пользователя

  noel для файла %PROGRAMFILES%\sscvhost1\svchost.exe

• БЕЗОПАСНЫЙоценка пользователя

  Admin для файла C:\Windows\System32\svchost. exe

• ОПАСНЫЙоценка пользователя

  нержавеющие дымоходы из стали от производителя для файла C:\Windows\System32\WinDefense32\wdi\init\svchost.exe

• БЕЗОПАСНЫЙоценка пользователя

  GhostWalker для файла C:\Windows\System32\svchost.exe

• ОПАСНЫЙоценка пользователя

  картинки 240 320 для файла C:\Windows\System32\WinDefense32\wdi\init\svchost.exe

• БЕЗОПАСНЫЙоценка пользователя

  msanei для файла C:\Windows\System32\svchost.exe

• БЕЗОПАСНЫЙоценка пользователя

  29732B для файла C:\Windows\System32\svchost.exe
• org/Review»>

  БЕЗОПАСНЫЙоценка пользователя

  UPieper для файла C:\Windows\System32\svchost.exe

• ОПАСНЫЙоценка пользователя

  MikeOne для файла C:\Windows\System32\WinDefense32\wdi\init\svchost.exe

• ОПАСНЫЙоценка пользователя

  MikeOne для файла C:\Windows\System32\WinDefense32\wdi\init\svchost.exe

• БЕЗОПАСНЫЙоценка пользователя

  robcaligari для файла C:\Windows\System32\svchost.exe

• БЕЗОПАСНЫЙоценка пользователя

  OperRu32 для файла C:\Windows\System32\svchost.exe

• БЕЗОПАСНЫЙоценка пользователя

  Mindconnect2020 для файла C:\Windows\System32\svchost. exe

• ОПАСНЫЙоценка пользователя

  MikeOne для файла C:\Windows\svchost.exe

• ОПАСНЫЙоценка пользователя

  Melbar для файла C:\Windows\svchost.exe

• БЕЗОПАСНЫЙоценка пользователя

  Moraxv для файла C:\Windows\System32\svchost.exe

• БЕЗОПАСНЫЙоценка пользователя

  MikeOne для файла C:\Windows\ime\svchost.exe

• БЕЗОПАСНЫЙоценка пользователя

  young1125 для файла C:\Windows\SysWOW64\svchost.exe

• БЕЗОПАСНЫЙоценка пользователя

  frangkygosal для файла C:\Windows\System32\svchost. exe

• БЕЗОПАСНЫЙоценка пользователя

  TuliodeBree для файла C:\Windows\SysWOW64\svchost.exe

• БЕЗОПАСНЫЙоценка пользователя

  TuliodeBree для файла C:\Windows\System32\svchost.exe

• БЕЗОПАСНЫЙоценка пользователя

  SadasPoeta для файла C:\Windows\System32\svchost.exe

• БЕЗОПАСНЫЙоценка пользователя

  xXx-Oimel-xXx для файла C:\Windows\SysWOW64\svchost.exe

• БЕЗОПАСНЫЙоценка пользователя

  Dante для файла C:\Windows\System32\sysuser\svchost.exe (Variant: 359126)

  некоторые думают что это вирус или там угроза это не так был такой случий что я удалял этот файл когда устонавливал Windows xp в нете постоянно говорят что это угроза я верил и задумолся а почему это файл всегда появляется вроде вот менуту назад устонавливал винду а он опять седит в своей конуре в системной папке я его стёр прграммой так как он не хотел удалятся обычным образом после я перезагрузил компьютер и выходит синий экран смерти я переустановил винду удалил этот файл и опять такая истоория и тогда уже понял что если это файл находится в операцеонке не надо его трогать но если под таким же именем есть этот файл то уж стоит пологать на сомих вас или на Касперского

• org/Review»>

  БЕЗОПАСНЫЙоценка пользователя

  doooallo для файла C:\Windows\System32\svchost.exe

• БЕЗОПАСНЫЙоценка пользователя

  808 для файла C:\Windows\System32\svchost.exe

• ОПАСНЫЙоценка пользователя

  MikeOne для файла %PROGRAMFILES%\Simopro\WinMatrix2\Agent\svchost.exe

• ОПАСНЫЙоценка пользователя

  MikeOne для файла C:\Windows\System32\drivers\001\svchost.exe

• ОПАСНЫЙоценка пользователя

  MikeOne для файла C:\Windows\system\svchost.exe

• ОПАСНЫЙоценка пользователя

  MikeOne для файла C:\Windows\svchost. exe

• БЕЗОПАСНЫЙоценка пользователя

  Xearo для файла C:\Windows\System32\svchost.exe

• ОПАСНЫЙоценка пользователя

  MikeOne для файла %USERPROFILE%\Local Settings\Application Data\Thinstall\Cache\Stubs\6346a4c562e48f33887812119671204d23f49e\svchost.exe

• БЕЗОПАСНЫЙоценка пользователя

  Oddbrother для файла C:\Windows\System32\svchost.exe

• ОПАСНЫЙоценка пользователя

  MikeOne для файла C:\Windows\svchost.exe

• ОПАСНЫЙоценка пользователя

  MikeOne для файла C:\Windows\System32\dllcache\svchost.exe
• org/Review»>

  ОПАСНЫЙоценка пользователя

  MikeOne для файла C:\Windows\help\svchost.exe

• ОПАСНЫЙоценка пользователя

  MikeOne для файла C:\Windows\System32\0305\svchost.exe

• ОПАСНЫЙоценка пользователя

  MikeOne для файла C:\Windows\System32\sysuser\svchost.exe

• ОПАСНЫЙоценка пользователя

  MikeOne для файла C:\Windows\System32\Microsoft\svchost.exe

• ОПАСНЫЙоценка пользователя

  MikeOne для файла %SystemDiskRoot%\system32\svchost.exe

• БЕЗОПАСНЫЙоценка пользователя

  MikeOne для файла C:\Windows\SysWOW64\svchost. exe

• ОПАСНЫЙоценка пользователя

  MikeOne для файла C:\Windows\svchost.exe

• ОПАСНЫЙоценка пользователя

  Admin для файла %APPDATA%\Microsoft\svchost.exe

• ОПАСНЫЙоценка пользователя

  MikeOne для файла C:\Windows\SVCHOST.EXE

• ОПАСНЫЙоценка пользователя

  MikeOne для файла C:\Windows\System32\drivers\svchost.exe

• ОПАСНЫЙоценка пользователя

  MikeOne для файла D:\installs\007spy\007.Spy.Software.v3.81-TBE\svchost.exe

• ОПАСНЫЙоценка пользователя

  MikeOne для файла C:\Windows\svchost. exe

• ОПАСНЫЙоценка пользователя

  MikeOne для файла %APPDATA%\Microsoft\svchost.exe

• ОПАСНЫЙоценка пользователя

  Admin для файла %APPDATA%\Microsoft\svchost.exe

• БЕЗОПАСНЫЙоценка пользователя

  Анонимно для файла C:\Windows\System32\svchost.exe

• БЕЗОПАСНЫЙоценка пользователя

  Admin для файла C:\Windows\System32\svchost.exe

Решена — Обнаружена маскировка процесса C:\WINDOWS\System32\svchost.exe

Guest

Постоянный участник

• 5 Июл 2019

• #1

Добрый день! IE не открывает сайты, другие браузеры работают. Пробовал сбрасывать настройки IE не помогло. В логах «Обнаружена маскировка процесса C:\WINDOWS\System32\svchost.exe»

 

Sandor

• 5 Июл 2019

• #2

Здравствуйте!

Опять устаревшей версией собираете логи . Переделайте.

 

Guest

Постоянный участник

• 5 Июл 2019

• #3

Переделал

 

Sandor

• 5 Июл 2019

• #4

Guest написал(а):

IE не открывает сайты

Нажмите для раскрытия. ..

Какие именно сайты не открываются?

 

Guest

Постоянный участник

• 5 Июл 2019

• #5

Пробовал yandex, googl, rosreestr точно не открываются

 

Последнее редактирование: 5 Июл 2019

Sandor

• 5 Июл 2019

• #6

А проверьте, например, Лечение компьютерных вирусов — Компьютерный форум — Киберфорум — откроется?

 

Guest

Постоянный участник

• 5 Июл 2019

• #7

Открывается

 

Sandor

• 5 Июл 2019

• #8

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку «Scan» («Сканировать») и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x — любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

Guest

Постоянный участник

• 5 Июл 2019

• #9

AdwCleaner (by Malwarebytes) не обнаружила зловредов, видимо дело в КриптоПРО CSP или ViPNet CSP

 

Sandor

• 5 Июл 2019

• #10

Guest написал(а):

не обнаружила зловредов

Нажмите для раскрытия. ..

Тем не менее нажмите кнопку «Очистить и восстановить», не меняя никаких настроек.
После перезагрузки покажите отчет (с индексом [Cxx]).

 

Guest

Постоянный участник

• 8 Июл 2019

• #11

Добрый день, почистил. Сделал настройки «Настроить совместную работу КриптоПро и ViPNet» , заработало HTTPS. Спасибо за помощь!!!!

 

Sandor

• 8 Июл 2019

• #12

Финальные шаги:
1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки — Удалить AdwCleaner — выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck. txt
• Прикрепите этот файл к своему следующему сообщению.

 

Поиск — Энциклопедия угроз

Ключевое слово: svchost

4811 Общий поиск   | Отображение результатов: 601 — 620

  Предыдущий Далее  

следующие копии самого себя в уязвимой системе: %System%\regsvr.exe %Windows%\regsvr.exe %System%\ svchost .exe (Примечание: %System% — это системная папка Windows, обычно C :\Windows\System в Windows

следующие копии самого себя в уязвимой системе: %System%\regsvr.exe %Windows%\regsvr.exe %System%\ svchost .exe (Примечание: %System% — это системная папка Windows, обычно C :\Windows\System в Windows

\CurrentVersion\Run Svchost = «%System Root%\Documents and Settings\All Users\Application Data\csrss.exe» Другие изменения системы Этот троянец добавляет следующие записи в реестр как часть его установка

записи реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ SvcHost zxpcakye = «zxpcakye» HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\ Services\zxpcakye\Parameters ServiceDll = »

\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ SvcHost netsvcs = «{случайные символы}» (Примечание: значение по умолчанию значение данных указанной записи реестра: {случайные значения}.

) Процедура удаления Этот троянец сбрасывает следующие копии

в уязвимую систему: %System%\regsvr.exe %Windows%\regsvr.exe %System%\ svchost .exe (Примечание: %System% — это системная папка Windows, обычно это C:\Windows\System32..

следующие копии самого себя в уязвимой системе: %System%\regsvr.exe %Windows%\regsvr.exe %System%\ svchost .exe (Примечание: %System% — это системная папка Windows, обычно C :\Windows\System32..

» HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run Svchost = «%System Root%\Ie8\Install.exe» HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Active Setup\Installed Components\ 9000 5

следующие копии самого себя в уязвимой системе: %System%\regsvr.exe %Windows%\regsvr.exe %System%\ svchost .exe (Примечание: %System% — это системная папка Windows, обычно это C:\Windows\System в Windows

, следующие копии себя в уязвимой системе: %System%\regsvr.exe %Windows%\ regsvr.exe %System%\ svchost . exe (Примечание: %System% — это системная папка Windows, обычно C:\Windows\System в Windows

, следующие копии себя в уязвимой системе: %System%\ regsvr.exe %Windows%\regsvr.exe %System%\ svchost .exe (Примечание: %System% — это системная папка Windows, обычно C:\Windows\System в Windows

следующая запись реестра для перечисления связанных с сетью служб: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Svchost netsvcs Службы по умолчанию в netsvcs, которые может использовать этот бэкдор: Майкрософт\ Windows NT\ CurrentVersion\ SvcHost netsvcs = «{случайные символы}» (Примечание. Данные значения по умолчанию для указанной записи реестра — {random values} .) Удаление данных значения

указанной записи реестра: ServiceDLL = %System%\sens .dll .) HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows NT\CurrentVersion\ SvcHost netsvcs = «6to4 {значения по умолчанию}» (Примечание. Значение по умолчанию

\CurrentVersion\ SvcHost LocalService = «{Список локальных служб} win3dx» (Примечание. Значение по умолчанию для указанной записи реестра: { List of Local Services} .) Распространение Этот троянец не имеет никакого распространения

Значение данных указанной записи реестра: ServiceDLL = %System%\sens.dll .) HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows NT\CurrentVersion\ SvcHost netsvcs = «6to4 {значения по умолчанию}» (Примечание: по умолчанию

значение данных указанной записи реестра: ServiceDLL = %System%\sens.dll .) HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows NT\CurrentVersion\ SvcHost netsvcs = 6to4 {значения по умолчанию} (Примечание: значение по умолчанию

следующие копии себя в уязвимую систему: %System%\regsvr.exe %Windows%\regsvr.exe %System%\ svchost .exe (Примечание: %System% — это системная папка Windows, где обычно это C: \Windows\System32 на всех

\Parameters ServiceDll = «%System%\vbowbni.dll» Изменяет следующие записи реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ SvcHost netsvcs = «{случайные символы}» (Примечание:

копирует себя в уязвимую систему: %System%\regsvr. exe %Windows%\regsvr.exe %System%\ svchost .exe ( Примечание. %System% — это системная папка Windows, обычно это C:\Windows\System32..

Отчет об автоматизированном анализе вредоносных программ для

Загрузка… Воспроизвести интерактивный турРедактировать тур

Обзор

Общая информация

9011 8

Самое интересное Скриншот:

Код анализа:	469136
Информация:

Обнаружение

Очки:	21
Диапазон:	0–100
Белый список:	false
Достоверность:	100% 9 0108

Классификация

Дерево процессов

9017 3 Система w10x64 cmd. exe (PID: 6680 cmdline: cmd /C ‘C: \ Windows\s ystem32\sv chost.exe -k LocalSe rvice -s W 32Time’ MD5: F3BDBE3BB6F734E357235F4D5898582D) 90 187 conhost.exe (PID: 6664 cmdline: C:\Windows \system32\ conhost.ex e 0xffffff ff -ForceV 1 MD5: EA777DEEA782E8B4D7C7C33BBF8A4496) svchost.exe (PID: 6612 cmdline: C:\Windows \system32\ svchost.ex e -k Local Service -s W32Time MD5: FA6C268A5B5BDA067A 4D203D433) 90 187 очистка

Конфигурация вредоносных программ

Нет конфигураций найдено

Обзор Yara

9010 4 Нет совпадений с Yara

Обзор Sigma

Обзор системы:

9012 4

Сигма обнаружил: подозрительный процесс Svchost

Показать источники

Источник: Process st arted

Автор: Florian Roth: Data : Comm и: C:\Wi ndows\syst em32\svcho st. exe -k LocalServi ce -s W32T ime, запятая ndLine: C: \Windows\s ystem32\sv chost.exe -k LocalSe rvice -s W 32Time, Co mmandLine| base64offs et|содержит s: , изображение : C:\Windo ws\SysWOW6 4\svchost. exe, NewPr ocessName: C:\Window s\SysWOW64 \svchost.e xe, Origin alFileName : C:\Windo ws\SysWOW6 4\s вхост. exe, Paren tCommandLi ne: cmd /C ‘C:\Windo ws\system3 2\свхост. exe ​​-k Loc alService -s W32Time ‘, ParentI mage: C:\W indows\Sys WOW64\cmd. exe, Paren tProcessId : 6680, Pr ocessComma ndLine: C: \Windows\s ystem32\sv chost.exe -k LocalSe rvice -s W 9 0180 32Время, Pr идентификатор процесса: 6 612 9 0187 90 187

Обзор подписи Jbx

Нажмите, чтобы перейти к разделу подписи

Показать все результаты подписи

Обзор системы:

Источник: C:\Windows \System32\ conhost. ex e 901 87

Создан мутант: \Sessions\ 1\BaseName dObjects \L локальный\SM0:6 664:120:Wi lError_01

Источник: C:\Windows \SysWOW64\ svchost.ex e

Ключ открыт: HKEY_CURRE NT_USER\So ftware\Pol icies\Micr osoft\Wind ows\Safer\ CodeIdenti Fiers

Перейти к поведение

Источник: classifica tion engin e

Классификационная табличка : sus21.win@ 4/0@0/0

901 07 Источник: C:\Windows \SysWOW64\ cmd.exe

Источник: неизвестно	Процесс создан: C:\Windows \SysWOW64\ cm d. exe cm d /C ‘C:\W indows\sys tem32\ svch ost.exe -k LocalServ ice -s W32 Time’
Источник: C:\Windows \SysWOW64\ cmd.exe	Процесс создан: C:\Windows \System32\ conhost.ex e C:\Windo ws\system3 2\conhost. exe ​​0xffff ffff -Forc eV1
Процесс создан: C:\Windows \SysWOW64\ svchost.ex e C:\Windo ws\system3 2\svchost. exe ​​-k Lo calService -s W32Tim e
Источник: C:\Windows \SysWOW64\ cmd. exe	Процесс создан: C:\Windows \SysWOW64\ svchost.ex e C:\Windo ws\system3 2\svchost. exe ​​-k Lo calService -s W32Tim e			Перейти к поведению

Источник: все процессы ses 9018 7

Внедрение потока, удаленные файлы, созданное значение ключа, заражение диска и DNS-запрос: нет activit y обнаружен

Источник: все процессы ses

Внедрение потока, удаленные файлы, созданное значение ключа, заражение диска и DNS-запрос: нет активности y обнаружен

Источник: C:\Windows \SysWOW64\ cmd. exe

Процесс создан: C:\Windows \SysWOW64 \ svchost.ex e C:\Windo ws\system3 2\svchost. exe ​​-k Lo calService -s W32Tim e

9032 3 Перейти к поведению

Источник: C:\Windows \SysWOW64\ cmd.exe

Запросы информации о томе: C:\ Volume Informatio n

Перейти к поведению

Mitre Att&ck Matrix

90 300 Первоначальный доступ

Выполнение	Постоянство	Повышение привилегий	Защита от уклонения	Доступ к учетным данным	Обнаружение	Боковые перемещения	Сбор	Эксфильтрация	Командование и управление	Network Effects	Remote Service Effects	Impact
Действительные учетные записи	Инструментарий управления Windows	Перехват пути	Внедрение процесса11	Внедрение процесса11	Сброс учетных данных ОС	Обнаружение информации о системе11	Удаленные службы	Данные из локальной системы	Эксфильтрация через другой сетевой носитель	Обфускация данных	Подслушивание в небезопасной сети Связь	Удаленное отслеживание устройства без авторизации	Изменение системного раздела

Диаграмма поведения

Скрыть легенду

Легенда:

• Процесс
• Подпись
• Созданный файл
• Информация DNS/IP
• Отброшен
• Процесс Windows 9 0176
• Количество созданных значений реестра
• Количество созданных файлов
• Visual Basic
• Delphi
• Java
• . Net C# или VB.NET
• C, C++ или другой язык
• Является вредоносным
• Интернет

behaviorgraphtop1signatures22 ID графика поведения: 469136Поваренная книга: defaultwindowscmdlinecookbook.jbsДата запуска: 08.21.2021Архитектура: WINDOWSОценка: 21 12 Обнаружена Sigma: подозрительный процесс Svchost 2->126 cmd.exe1 2->6         запущен       process3process48 svchost.exe 6->8         начато       10 conhost.exe 6->10         начало       

Скриншоты

Миниатюры

Этот раздел содержит все скриншоты в виде эскизов, в том числе не показанных в слайд-шоу.

Обнаружение вирусов, машинного обучения и генетического вредоносного ПО

Исходный образец

Антивирус не соответствует

Удаленные файлы

Антивирус не соответствует

Неупакованные PE-файлы

9 0254 Антивирус не соответствует

Домены

9000 2

Нет совпадений с антивирусом

Нет совпадений с антивирусом

Домены и IP-адреса

Контактные домены

Нет контактных доменов

90 106

Контактные IP-адреса

Нет контактных IP-адресов

Общая информация

9010 6 9011 1

Joe Sandbox Версия:	33. 0.0 White Diamond
Код анализа:	469136
Дата начала:	21.08.2021
Время начала:	00:01:46
Joe Sandbox Продукт:	CloudBasic
Общая продолжительность анализа:	0ч 2м 10с
Проверка на основе гипервизора включена:	false
Тип отчета:	полный
Имя файла Cookbook:	defaultwind owscmdlinecookbook.jbs
Описание системы анализа:	Windows 10 64 бит v1803 с Office Professional Plus 2016, Chrome 85, IE 11, Adobe Reader DC 19, обновление Java 8 211
Количество проанализированных новых запущенных процессов:	4
Количество проанализированных новых запущенных драйверов:	0
Количество проанализированных существующих процессов:	0
Количество проанализировано существующих драйверов:	0
Количество проанализированных внедренных процессов:	0
Технологии:	HCA включен EGA включен HDC включен AMSI включен 90 177
Режим анализа:	по умолчанию
Причина остановки анализа:	Время ожидания
Обнаружение:	SUS
Классификация:	sus21. win@4/0@0/0
Информация EGA:	Ошибка
Информация HDC:	Ошибка
Информация HCA:	Успешно , соотношение: 100% Количество выполняемых функций: 0 Количество невыполненных функций: 0
Книга рецептов Комментарии:	Настройка времени загрузки Включить AMSI Остановить анализ поведения, все процессы завершены
Предупреждения:	Показать все Исключить процесс из анализа (из белого списка): svchost.exe Не все процессы были проанализированы, в отчете отсутствует информация о поведении

Моделирование

Поведение и API

Без моделирования

9015 8

Джо Песочница Вид/Контекст

Без контекста

Домены

9016 5

Без контекста

Без контекста

Без контекста

Удаленные файлы 9 0097

Без контекста

901 06

Созданные/отброшенные файлы

Созданные/отброшенные файлы не найдены

Статическая информация о файле информация о файле

Поведение в сети

902 54 Сетевое поведение не обнаружено

Манипуляции с кодом

901 60

Статистика

Загрузка процессора

Нажмите, чтобы перейти к процессу

Использование памяти

Нажмите, чтобы перейти к процессу ion

Нажмите, чтобы ознакомиться с распределением поведения процесса

Поведение

Нажмите, чтобы перейти к процессу1627 Процесс анализа: cmd. exe PID: 6680 Родительский PID: 3400

Общие

9010 7 База изображений: 9 0111

Время начала:	00:02:43
Дата начала:	21/08/2021
Путь:	C:\Windows\SysWOW64\cmd.exe
Процесс Wow64 (32 бит):	true 9 0108
Командная строка:	cmd /C ‘ C: \Windows\s ystem32\sv chost.exe -k LocalSe rvice -s W 32Time’
0x2a0000
Размер файла:	232960 байт
Хэш MD5:	F3BDBE3BB6F734E357235F4D5898582D
Имеет повышенные привилегии:	true
Имеет права администратора:	true
Программируется на:	C, C++ или другом языке
Репутация:	высокая

Хронологические действия

Процесс анализа: conhost.

exe PID: 6664 Родительский PID: 6680

9 0166

Общие

Время начала:	00:02:44
Дата начала:	21.08.2021
Путь:	C:\Windows\System32\conhost.exe
Процесс Wow64 (32 бит):	false
Командная строка: 90 108	C:\Windows \system32\ конхост. ex e 0xffffff ff -ForceV 1
База изображений:	0x7ff61de10000
Размер файла:	625664 байт
Хэш MD5:	EA777DEEA782E8B4D7C7C33BBF8A4496
Имеет повышенные привилегии:	true
Имеет права администратора:	true 9 0108
Программирование:	C, C++ или другой язык
Репутация:	высокая

Хронологические действия

Процесс анализа: svchost.

exe PID: 6612 Родительский PID: 6680

Общие

9 0107 Дата начала:

Время начала:	00:02:44
21.08.2021
Путь:	C:\Windows \SysWOW64\svchost.exe
Процесс Wow64 (32 бит):	true
Командная строка:	C:\Windows \system32 \ svchost.ex e -k Loca lService — с W32Time
байты
Хэш MD5:	FA6C268A5B5BDA067A4D203D433
Имеет повышенные привилегии:	true
Имеет права администратора:	true
Запрограммирован на:	C, C++ или другой язык
Репутация:	высокий

Хронологические действия

Разборка

Анализ кода 900 97

Сброс < >

Графики выполнения представляют собой очень сжатые графики потока управления, которые дают пользователю синтетическую просмотр кода, обнаруженного во время гибридного анализа кода. Они включают дополнительную информацию о времени выполнения, такую ​​как состояние выполнения, которое выделяется разными цветами и формами.

Точка входа

Точка входа в программу, скорее всего точка входа PE-файла.

Key Decision

Местоположение кода, в котором было принято решение избежать выполнения потенциально вредоносного поведения.

Динамический/расшифрованный

Код, сгенерированный во время выполнения, часто называемый неупакованным или самомодифицирующимся кодом.

Распаковщик/расшифровщик

Раздел кода, отвечающий за распаковку или расшифровку части динамического кода.

Выполнено

Код, который был выполнен во время выполнения.

Не выполнено

Код, который не был выполнен во время выполнения.

Unknown

Код, для которого неизвестно, выполнялся он или нет во время выполнения.

Совпадение подписи

Код, соответствующий поведенческой подписи.

Расширенный путь

Путь в графе выполнения, который показывает много поведения (например, в отношении вызываемых функций API).