Что такое svchost.exe ? | System Explorer
БЕЗОПАСНЫЙоценка пользователя
mstayros для файла C:\Windows\System32\svchost.exeОПАСНЫЙоценка пользователя
vorcshop для файла C:\Windows\System32\svchost.exeОПАСНЫЙоценка пользователя
jlol для файла C:\Windows\System32\svchost.exeБЕЗОПАСНЫЙоценка пользователя
NEugeny74 для файла C:\Windows\System32\svchost.exeОПАСНЫЙоценка пользователя
fak для файла C:\Windows\System32\svchost.exe org/Review»>ОПАСНЫЙоценка пользователя
danny chip boy для файла C:\Windows\System32\svchost.exeБЕЗОПАСНЫЙоценка пользователя
Maciek для файла C:\Windows\System32\svchost.exeБЕЗОПАСНЫЙоценка пользователя
wguimb для файла C:\Windows\System32\svchost.exeОПАСНЫЙоценка пользователя
Pluske для файла C:\Windows\System32\svchost.exeОПАСНЫЙоценка пользователя
husein для файла C:\Windows\System32\svchost.exe
БЕЗОПАСНЫЙоценка пользователя
jiku для файла C:\Windows\SysWOW64\svchost.exeОПАСНЫЙоценка пользователя
Boris для файла C:\Windows\System32\svchost.exe (Variant: 1140279)50 nagruzki dayet
ОПАСНЫЙоценка пользователя
546354 для файла C:\Windows\svchost.exe (Variant: 227152)Virus.Win32.Hidrag.clfcen
ОПАСНЫЙоценка пользователя
Джексон для файла C:\Windows\System32\svchost.exe (Variant: 1140279)Грузит процессор на 50%.
БЕЗОПАСНЫЙоценка пользователя
uasia для файла C:\Windows\System32\svchost.exe (Variant: 500673)
вапр
ОПАСНЫЙоценка пользователя
Aurikk для файла C:\Windows\System32\svchost.exeОПАСНЫЙоценка пользователя
qq для файла %TEMP%\svchost.exeОПАСНЫЙоценка пользователя
felix для файла C:\Windows\System32\svchost.exe (Variant: 1140279)при задействии поиска обновлений безпричинно грузит проц на 20%, в активных процессах весит 2гб оперативы.
ОПАСНЫЙоценка пользователя
duc для файла %APPDATA%\svchost.exe (Variant: 30929963)Биткойн-майнер. Подробно https://www.reasoncoresecurity.com/svchost.
exe-11b27dff6ac3320df23a7ec1a136897f4abbe406.aspx
Съедал треть производительности процессора. Антивирусы промолчали.БЕЗОПАСНЫЙоценка пользователя
миша для файла C:\Windows\System32\svchost.exe (Variant: 500673)Отключил службу центра обновлений для Win7 и процессор перешел на нормальный режим работы. При повторном включении службы центра обновлений процессор грузится 97% — 100%. Даже проверить наличие обновлений невозможно. Найти причину глюка не удалось.
БЕЗОПАСНЫЙоценка пользователя
DJ для файла C:\Windows\System32\svchost.exe (Variant: 1140279)После того как я отключил обновление виндовс частота упала 0т 0 до 10 .
ОПАСНЫЙоценка пользователя
миша для файла C:\Windows\System32\svchost.exe (Variant: 500673)
Грузит процессор 92%- 97%
ОПАСНЫЙоценка пользователя
Олег для файла C:\Windows\System32\svchost.exe (Variant: 1140279)Грузит процессор на 25% непонятно почему. Отключаю — все окей.
БЕЗОПАСНЫЙоценка пользователя
Sam для файла C:\Windows\System32\svchost.exe (Variant: 500673)Good!
БЕЗОПАСНЫЙоценка пользователя
ПУРГЕН для файла C:\Windows\System32\svchost.exe (Variant: 34149558)ГЛЯНЬТЕ И ВСЁ https://social.msdn.microsoft.com/Search/ru-RU?query=svchost.exe&emptyWatermark=true&ac=4
БЕЗОПАСНЫЙоценка пользователя
its as much of a threat as Microsoft для файла C:\Windows\System32\svchost.exe
БЕЗОПАСНЫЙоценка пользователя
Alex для файла %APPDATA%\svchost.exeБЕЗОПАСНЫЙоценка пользователя
Mike для файла C:\Windows\System32\svchost.exeБЕЗОПАСНЫЙоценка пользователя
Jurij для файла C:\Windows\System32\svchost.exeОПАСНЫЙоценка пользователя
Ericssonica для файла C:\Windows\System32\svchost.exe (Variant: 1140279)Backdoor Win32 Hupigon — svchost.com
БЕЗОПАСНЫЙоценка пользователя
degert для файла C:\Windows\System32\svchost.exe org/Review»>ОПАСНЫЙоценка пользователя
upset для файла C:\Windows\System32\svchost.exe (Variant: 506004)весь ньюанс в том,что так этот проццес в принцепе безопасен НО!,в проццес может подсилиться «желец»т.е.троян!!!!!и он уже НЕБЕЗОПАСЕН!!!проверить элементарно-local servis,network servis &sistem это от какого имени запущен,если вы видете пользователя то это троян…..
ОПАСНЫЙоценка пользователя
Zoran для файла C:\Windows\System32\svchost.exeОПАСНЫЙоценка пользователя
MX для файла %USERPROFILE%\pwo5\svchost.exe org/Review»>БЕЗОПАСНЫЙоценка пользователя
Nilrem для файла C:\Windows\System32\svchost.exeБЕЗОПАСНЫЙоценка пользователя
Longwood для файла C:\Windows\System32\svchost.exeБЕЗОПАСНЫЙоценка пользователя
Dieter для файла C:\Windows\System32\svchost.exeБЕЗОПАСНЫЙоценка пользователя
sergey2910 для файла C:\Windows\System32\svchost.exe (Variant: 506004)родитель — автоматическое обновление (Windows XP). После отключения службы процесс пропал.
org/Review»>БЕЗОПАСНЫЙоценка пользователя
Александр Щуров для файла C:\Windows\System32\svchost.exe (Variant: 506004)Мне интересно, что он может делать с процессором, т.к. загрузка этим файлом проца идет 50% уже больше часа.
БЕЗОПАСНЫЙоценка пользователя
dkk для файла C:\Windows\System32\svchost.exe org/Review»>БЕЗОПАСНЫЙоценка пользователя
baxti1965 для файла C:\Windows\System32\svchost.exeБЕЗОПАСНЫЙоценка пользователя
Flayro для файла C:\Windows\SysWOW64\svchost.exeБЕЗОПАСНЫЙоценка пользователя
rots для файла %APPDATA%\Data\svchost.exeБЕЗОПАСНЫЙоценка пользователя
coles для файла C:\Windows\System32\svchost.exeОПАСНЫЙоценка пользователя
markpol для файла %TEMP%\svchost.exe
БЕЗОПАСНЫЙоценка пользователя
qwqazx для файла C:\Windows\System32\svchost.exeБЕЗОПАСНЫЙоценка пользователя
Admin для файла C:\Windows\System32\svchost.exeБЕЗОПАСНЫЙоценка пользователя
MikeOne для файла C:\Windows\System32\svchost.exeБЕЗОПАСНЫЙоценка пользователя
MikeOne для файла C:\Windows\System32\svchost.exeОПАСНЫЙоценка пользователя
Jhon для файла %APPDATA%\System32\svchost.EXEОПАСНЫЙоценка пользователя
Habistus для файла \\.\globalroot\systemroot\svchost.exe
БЕЗОПАСНЫЙоценка пользователя
spook для файла C:\Windows\System32\svchost.exeБЕЗОПАСНЫЙоценка пользователя
destiny для файла C:\Windows\System32\svchost.exeОПАСНЫЙоценка пользователя
ISergey для файла C:\Windows\update.1\svchost.exeБЕЗОПАСНЫЙоценка пользователя
Guibou для файла C:\Windows\SysWOW64\svchost.exeБЕЗОПАСНЫЙоценка пользователя
noel для файла %PROGRAMFILES%\sscvhost1\svchost.exeБЕЗОПАСНЫЙоценка пользователя
Admin для файла C:\Windows\System32\svchost.exe
ОПАСНЫЙоценка пользователя
нержавеющие дымоходы из стали от производителя для файла C:\Windows\System32\WinDefense32\wdi\init\svchost.exeБЕЗОПАСНЫЙоценка пользователя
GhostWalker для файла C:\Windows\System32\svchost.exeОПАСНЫЙоценка пользователя
картинки 240 320 для файла C:\Windows\System32\WinDefense32\wdi\init\svchost.exeБЕЗОПАСНЫЙоценка пользователя
msanei для файла C:\Windows\System32\svchost.exeБЕЗОПАСНЫЙоценка пользователя
29732B для файла C:\Windows\System32\svchost.exe org/Review»>ОПАСНЫЙоценка пользователя
MikeOne для файла C:\Windows\System32\WinDefense32\wdi\init\svchost.exeОПАСНЫЙоценка пользователя
MikeOne для файла C:\Windows\System32\WinDefense32\wdi\init\svchost.exeБЕЗОПАСНЫЙоценка пользователя
robcaligari для файла C:\Windows\System32\svchost.exeБЕЗОПАСНЫЙоценка пользователя
OperRu32 для файла C:\Windows\System32\svchost.exeБЕЗОПАСНЫЙоценка пользователя
Mindconnect2020 для файла C:\Windows\System32\svchost.exe
ОПАСНЫЙоценка пользователя
MikeOne для файла C:\Windows\svchost.exeОПАСНЫЙоценка пользователя
Melbar для файла C:\Windows\svchost.exeБЕЗОПАСНЫЙоценка пользователя
Moraxv для файла C:\Windows\System32\svchost.exeБЕЗОПАСНЫЙоценка пользователя
MikeOne для файла C:\Windows\ime\svchost.exeБЕЗОПАСНЫЙоценка пользователя
young1125 для файла C:\Windows\SysWOW64\svchost.exeБЕЗОПАСНЫЙоценка пользователя
frangkygosal для файла C:\Windows\System32\svchost.exe
БЕЗОПАСНЫЙоценка пользователя
TuliodeBree для файла C:\Windows\SysWOW64\svchost.exeБЕЗОПАСНЫЙоценка пользователя
TuliodeBree для файла C:\Windows\System32\svchost.exeБЕЗОПАСНЫЙоценка пользователя
SadasPoeta для файла C:\Windows\System32\svchost.exeБЕЗОПАСНЫЙоценка пользователя
xXx-Oimel-xXx для файла C:\Windows\SysWOW64\svchost.exeБЕЗОПАСНЫЙоценка пользователя
Dante для файла C:\Windows\System32\sysuser\svchost.exe (Variant: 359126)некоторые думают что это вирус или там угроза это не так был такой случий что я удалял этот файл когда устонавливал Windows xp в нете постоянно говорят что это угроза я верил и задумолся а почему это файл всегда появляется вроде вот менуту назад устонавливал винду а он опять седит в своей конуре в системной папке я его стёр прграммой так как он не хотел удалятся обычным образом после я перезагрузил компьютер и выходит синий экран смерти я переустановил винду удалил этот файл и опять такая истоория и тогда уже понял что если это файл находится в операцеонке не надо его трогать но если под таким же именем есть этот файл то уж стоит пологать на сомих вас или на Касперского
org/Review»>БЕЗОПАСНЫЙоценка пользователя
808 для файла C:\Windows\System32\svchost.exeОПАСНЫЙоценка пользователя
MikeOne для файла %PROGRAMFILES%\Simopro\WinMatrix2\Agent\svchost.exeОПАСНЫЙоценка пользователя
MikeOne для файла C:\Windows\System32\drivers\001\svchost.exeОПАСНЫЙоценка пользователя
MikeOne для файла C:\Windows\system\svchost.exeОПАСНЫЙоценка пользователя
MikeOne для файла C:\Windows\svchost.exe
БЕЗОПАСНЫЙоценка пользователя
Xearo для файла C:\Windows\System32\svchost.exeОПАСНЫЙоценка пользователя
MikeOne для файла %USERPROFILE%\Local Settings\Application Data\Thinstall\Cache\Stubs\6346a4c562e48f33887812119671204d23f49e\svchost.exeБЕЗОПАСНЫЙоценка пользователя
Oddbrother для файла C:\Windows\System32\svchost.exeОПАСНЫЙоценка пользователя
MikeOne для файла C:\Windows\svchost.exeОПАСНЫЙоценка пользователя
MikeOne для файла C:\Windows\System32\dllcache\svchost.exe org/Review»>ОПАСНЫЙоценка пользователя
MikeOne для файла C:\Windows\System32\0305\svchost.exeОПАСНЫЙоценка пользователя
MikeOne для файла C:\Windows\System32\sysuser\svchost.exeОПАСНЫЙоценка пользователя
MikeOne для файла C:\Windows\System32\Microsoft\svchost.exeОПАСНЫЙоценка пользователя
MikeOne для файла %SystemDiskRoot%\system32\svchost.exeБЕЗОПАСНЫЙоценка пользователя
MikeOne для файла C:\Windows\SysWOW64\svchost.exe
ОПАСНЫЙоценка пользователя
MikeOne для файла C:\Windows\svchost.exeОПАСНЫЙоценка пользователя
Admin для файла %APPDATA%\Microsoft\svchost.exeОПАСНЫЙоценка пользователя
MikeOne для файла C:\Windows\SVCHOST.EXEОПАСНЫЙоценка пользователя
MikeOne для файла C:\Windows\System32\drivers\svchost.exeОПАСНЫЙоценка пользователя
MikeOne для файла D:\installs\007spy\007.Spy.Software.v3.81-TBE\svchost.exeОПАСНЫЙоценка пользователя
MikeOne для файла C:\Windows\svchost.exe
ОПАСНЫЙоценка пользователя
MikeOne для файла %APPDATA%\Microsoft\svchost.exeОПАСНЫЙоценка пользователя
Admin для файла %APPDATA%\Microsoft\svchost.exeБЕЗОПАСНЫЙоценка пользователя
Анонимно для файла C:\Windows\System32\svchost.exeБЕЗОПАСНЫЙоценка пользователя
Admin для файла C:\Windows\System32\svchost.exe
ОПАСНЫЙоценка пользователя
Nikita для файла %APPDATA%\System\libs\svchost.exeБЕЗОПАСНЫЙоценка пользователя
pablo pawlacco для файла C:\Windows\System32\svchost.exeБЕЗОПАСНЫЙоценка пользователя
komele8 для файла C:\Windows\SysWOW64\svchost.exeБЕЗОПАСНЫЙоценка пользователя
a для файла C:\Windows\System32\svchost.exe (Variant: 506004)Процессор грузился постоянно на 50%. С помощью утилиты System Explorer начал отключать поочерёдно службы в процессе svchost.exe пока не дошел до самой нижней, ней оказалась служба «Автоматического обновления» и, о чудо, загрузка процессора сразу упала на 0%.
ОПАСНЫЙоценка пользователя
catilley1092 для файла C:\Windows\System32\svchost.exeБЕЗОПАСНЫЙоценка пользователя
UPieper для файла C:\Windows\System32\svchost.exeБЕЗОПАСНЫЙоценка пользователя
doooallo для файла C:\Windows\System32\svchost.exeОПАСНЫЙоценка пользователя
MikeOne для файла C:\Windows\help\svchost.exeРешена — Обнаружена маскировка процесса C:\WINDOWS\System32\svchost.exe
Guest
Постоянный участник
- #1
Добрый день! IE не открывает сайты, другие браузеры работают. Пробовал сбрасывать настройки IE не помогло. В логах «Обнаружена маскировка процесса C:\WINDOWS\System32\svchost.exe»
Sandor
- #2
Опять устаревшей версией собираете логи . Переделайте.
Guest
Постоянный участник
- #3
Переделал
Sandor
- #4
Какие именно сайты не открываются?Guest написал(а):
IE не открывает сайты
Нажмите для раскрытия.
..
Guest
Постоянный участник
- #5
Пробовал yandex, googl, rosreestr точно не открываются
Последнее редактирование:
Sandor
- #6
А проверьте, например, Лечение компьютерных вирусов — Компьютерный форум — Киберфорум — откроется?
Guest
Постоянный участник
- #7
Открывается
Sandor
- #8
- Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
- Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку «Scan» («Сканировать») и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x — любая цифра).
- Прикрепите отчет к своему следующему сообщению.
Guest
Постоянный участник
- #9
AdwCleaner (by Malwarebytes) не обнаружила зловредов, видимо дело в КриптоПРО CSP или ViPNet CSP
Sandor
- #10
Тем не менее нажмите кнопку «Очистить и восстановить», не меняя никаких настроек.Guest написал(а):
не обнаружила зловредов
Нажмите для раскрытия.
..
После перезагрузки покажите отчет (с индексом [Cxx]).
Guest
Постоянный участник
- #11
Добрый день, почистил. Сделал настройки «Настроить совместную работу КриптоПро и ViPNet» , заработало HTTPS. Спасибо за помощь!!!!
Sandor
- #12
1.

- Пожалуйста, запустите adwcleaner.exe
- В меню Настройки — Удалить AdwCleaner — выберите Удалить.
- Подтвердите удаление, нажав кнопку: Да.
2.
- Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
- Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши
- Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
- Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
- Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.
txt
- Прикрепите этот файл к своему следующему сообщению.
Поиск — Энциклопедия угроз
Ключевое слово: svchost
4811 Общий поиск | Отображение результатов: 601 — 620
Предыдущий Далее
следующие копии самого себя в уязвимой системе: %System%\regsvr.exe %Windows%\regsvr.exe %System%\ svchost .exe (Примечание: %System% — это системная папка Windows, обычно C :\Windows\System в Windows
следующие копии самого себя в уязвимой системе: %System%\regsvr.exe %Windows%\regsvr.exe %System%\ svchost .exe (Примечание: %System% — это системная папка Windows, обычно C :\Windows\System в Windows
\CurrentVersion\Run Svchost = «%System Root%\Documents and Settings\All Users\Application Data\csrss.exe» Другие изменения системы Этот троянец добавляет следующие записи в реестр как часть его установка
записи реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ SvcHost zxpcakye = «zxpcakye» HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\ Services\zxpcakye\Parameters ServiceDll = »
\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ SvcHost netsvcs = «{случайные символы}» (Примечание: значение по умолчанию значение данных указанной записи реестра: {случайные значения}.
в уязвимую систему: %System%\regsvr.exe %Windows%\regsvr.exe %System%\ svchost .exe (Примечание: %System% — это системная папка Windows, обычно это C:\Windows\System32..
следующие копии самого себя в уязвимой системе: %System%\regsvr.exe %Windows%\regsvr.exe %System%\ svchost .exe (Примечание: %System% — это системная папка Windows, обычно C :\Windows\System32..
» HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run Svchost = «%System Root%\Ie8\Install.exe» HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Active Setup\Installed Components\ 9000 5
следующие копии самого себя в уязвимой системе: %System%\regsvr.exe %Windows%\regsvr.exe %System%\ svchost .exe (Примечание: %System% — это системная папка Windows, обычно это C:\Windows\System в Windows
, следующие копии себя в уязвимой системе: %System%\regsvr.exe %Windows%\ regsvr.exe %System%\ svchost . exe (Примечание: %System% — это системная папка Windows, обычно C:\Windows\System в Windows
, следующие копии себя в уязвимой системе: %System%\ regsvr.exe %Windows%\regsvr.exe %System%\ svchost .exe (Примечание: %System% — это системная папка Windows, обычно C:\Windows\System в Windows
следующая запись реестра для перечисления связанных с сетью служб: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Svchost netsvcs Службы по умолчанию в netsvcs, которые может использовать этот бэкдор: Майкрософт\ Windows NT\ CurrentVersion\ SvcHost netsvcs = «{случайные символы}» (Примечание. Данные значения по умолчанию для указанной записи реестра — {random values} .) Удаление данных значения
указанной записи реестра: ServiceDLL = %System%\sens .dll .) HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows NT\CurrentVersion\ SvcHost netsvcs = «6to4 {значения по умолчанию}» (Примечание. Значение по умолчанию
\CurrentVersion\ SvcHost LocalService = «{Список локальных служб} win3dx» (Примечание. Значение по умолчанию для указанной записи реестра: { List of Local Services} .) Распространение Этот троянец не имеет никакого распространения
Значение данных указанной записи реестра: ServiceDLL = %System%\sens.dll .) HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows NT\CurrentVersion\ SvcHost netsvcs = «6to4 {значения по умолчанию}» (Примечание: по умолчанию
значение данных указанной записи реестра: ServiceDLL = %System%\sens.dll .) HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows NT\CurrentVersion\ SvcHost netsvcs = 6to4 {значения по умолчанию} (Примечание: значение по умолчанию
следующие копии себя в уязвимую систему: %System%\regsvr.exe %Windows%\regsvr.exe %System%\ svchost .exe (Примечание: %System% — это системная папка Windows, где обычно это C: \Windows\System32 на всех
\Parameters ServiceDll = «%System%\vbowbni.dll» Изменяет следующие записи реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ SvcHost netsvcs = «{случайные символы}» (Примечание:
копирует себя в уязвимую систему: %System%\regsvr. exe %Windows%\regsvr.exe %System%\ svchost .exe ( Примечание. %System% — это системная папка Windows, обычно это C:\Windows\System32..
Отчет об автоматизированном анализе вредоносных программ для
Обзор
Общая информация
Код анализа: | 469136 |
Информация: | |
Обнаружение
Очки: | 21 |
Диапазон: | 0–100 |
Белый список: | false |
Достоверность: | 100% 9 0108 |
Классификация
Дерево процессов |
---|
|
Конфигурация вредоносных программ |
---|
Нет конфигураций найдено |
---|
Обзор Yara |
---|
9010 4 Нет совпадений с Yara
Обзор Sigma |
---|
Обзор системы: |
---|
Сигма обнаружил: подозрительный процесс Svchost | Показать источники |
Источник: | Автор: Florian Roth: ![]() |
Обзор подписи Jbx |
---|
Нажмите, чтобы перейти к разделу подписи
Показать все результаты подписи
Обзор системы: |
---|
Источник: ![]() | Создан мутант: |
Источник: | Ключ открыт: | Перейти к поведение |
Источник: | Классификационная табличка : |
Источник: | Процесс создан: ![]() | |||
Источник: | Процесс создан: | |||
Процесс создан: | ||||
Источник: ![]() | Процесс создан: | Перейти к поведению |
Источник: | Внедрение потока, удаленные файлы, созданное значение ключа, заражение диска и DNS-запрос: |
Источник: | Внедрение потока, удаленные файлы, созданное значение ключа, заражение диска и DNS-запрос: |
Источник: ![]() | Процесс создан: | 9032 3 Перейти к поведению |
Источник: | Запросы информации о томе: | Перейти к поведению |
Mitre Att&ck Matrix |
---|
Выполнение | Постоянство | Повышение привилегий | Защита от уклонения | Доступ к учетным данным | Обнаружение | Боковые перемещения | Сбор | Эксфильтрация | Командование и управление | Network Effects | Remote Service Effects | Impact | |
---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Действительные учетные записи | Инструментарий управления Windows | Перехват пути | Внедрение процесса11 | Внедрение процесса11 | Сброс учетных данных ОС | Обнаружение информации о системе11 | Удаленные службы | Данные из локальной системы | Эксфильтрация через другой сетевой носитель | Обфускация данных | Подслушивание в небезопасной сети Связь | Удаленное отслеживание устройства без авторизации | Изменение системного раздела |
Диаграмма поведения |
---|
Скрыть легенду
Легенда:
- Процесс
- Подпись
- Созданный файл
- Информация DNS/IP
- Отброшен
- Процесс Windows 9 0176
- Количество созданных значений реестра
- Количество созданных файлов
- Visual Basic
- Delphi
- Java
- .
Net C# или VB.NET
- C, C++ или другой язык
- Является вредоносным
- Интернет
Скриншоты |
---|
Миниатюры
Этот раздел содержит все скриншоты в виде эскизов, в том числе не показанных в слайд-шоу.
Обнаружение вирусов, машинного обучения и генетического вредоносного ПО |
---|
Исходный образец |
---|
Антивирус не соответствует |
---|
Удаленные файлы |
---|
Антивирус не соответствует |
---|
Неупакованные PE-файлы |
---|
9 0254 Антивирус не соответствует |
---|
Домены |
---|
Нет совпадений с антивирусом |
---|
Нет совпадений с антивирусом |
---|
Домены и IP-адреса |
---|
Контактные домены |
---|
Нет контактных доменов |
---|
Контактные IP-адреса |
---|
Нет контактных IP-адресов |
---|
Общая информация |
---|
Joe Sandbox Версия: | 33.![]() | Код анализа: | 469136 |
Дата начала: | 21.08.2021 |
Время начала: | 00:01:46 |
Joe Sandbox Продукт: | CloudBasic |
Общая продолжительность анализа: | 0ч 2м 10с |
Проверка на основе гипервизора включена: | false |
Тип отчета: | полный |
Имя файла Cookbook: | defaultwind owscmdlinecookbook.jbs |
Описание системы анализа: | Windows 10 64 бит v1803 с Office Professional Plus 2016, Chrome 85, IE 11, Adobe Reader DC 19, обновление Java 8 211 |
Количество проанализированных новых запущенных процессов: | 4 |
Количество проанализированных новых запущенных драйверов: | 0 |
Количество проанализированных существующих процессов: | 0 |
Количество проанализировано существующих драйверов: | 0 |
Количество проанализированных внедренных процессов: | 0 |
Технологии: |
|
Режим анализа: | по умолчанию |
Причина остановки анализа: | Время ожидания |
Обнаружение: | SUS | 9011 1
Классификация: | sus21.![]() |
Информация EGA: | Ошибка |
Информация HDC: | Ошибка |
Информация HCA: |
|
Книга рецептов Комментарии: |
|
Предупреждения: | Показать все
|
Моделирование |
---|
Поведение и API |
---|
Без моделирования |
---|
Джо Песочница Вид/Контекст |
---|
Без контекста |
---|
Домены |
---|
Без контекста | 9016 5
---|
Без контекста |
---|
Без контекста |
---|
Удаленные файлы 9 0097 |
---|
Без контекста |
---|
Созданные/отброшенные файлы |
---|
Созданные/отброшенные файлы не найдены |
---|
Статическая информация о файле информация о файле |
---|
Поведение в сети |
---|
902 54 Сетевое поведение не обнаружено |
---|
Манипуляции с кодом |
---|
Загрузка процессора |
---|
Нажмите, чтобы перейти к процессу
Использование памяти |
---|
Нажмите, чтобы перейти к процессу ion
Нажмите, чтобы ознакомиться с распределением поведения процесса
Поведение |
---|
Нажмите, чтобы перейти к процессу1627 Процесс анализа: cmd. exe PID: 6680 Родительский PID: 3400
Общие |
---|
Время начала: | 00:02:43 |
Дата начала: | 21/08/2021 |
Путь: | C:\Windows\SysWOW64\cmd.exe |
Процесс Wow64 (32 бит): | true 9 0108 |
Командная строка: | |
0x2a0000 | |
Размер файла: | 232960 байт |
Хэш MD5: | F3BDBE3BB6F734E357235F4D5898582D |
Имеет повышенные привилегии: | true | 9 0111
Имеет права администратора: | true |
Программируется на: | C, C++ или другом языке |
Репутация: | высокая |
Хронологические действия
Процесс анализа: conhost.

Общие |
---|
Время начала: | 00:02:44 |
Дата начала: | 21.08.2021 |
Путь: | C:\Windows\System32\conhost.exe |
Процесс Wow64 (32 бит): | false |
Командная строка: 90 108 | |
База изображений: | 0x7ff61de10000 |
Размер файла: | 625664 байт |
Хэш MD5: | EA777DEEA782E8B4D7C7C33BBF8A4496 |
Имеет повышенные привилегии: | true |
Имеет права администратора: | true 9 0108 |
Программирование: | C, C++ или другой язык |
Репутация: | высокая |
Хронологические действия
Процесс анализа: svchost.

Общие |
---|
Время начала: | 00:02:44 |
21.08.2021 | |
Путь: | C:\Windows \SysWOW64\svchost.exe |
Процесс Wow64 (32 бит): | true |
Командная строка: | |
байты | |
Хэш MD5: | FA6C268A5B5BDA067A4D203D433 |
Имеет повышенные привилегии: | true |
Имеет права администратора: | true |
Запрограммирован на: | C, C++ или другой язык |
Репутация: | высокий |
Хронологические действия
Разборка |
---|
Анализ кода 900 97 |
---|
Графики выполнения представляют собой очень сжатые графики потока управления, которые дают пользователю синтетическую просмотр кода, обнаруженного во время гибридного анализа кода. Они включают дополнительную информацию о времени выполнения, такую как состояние выполнения, которое выделяется разными цветами и формами.
Точка входа
Точка входа в программу, скорее всего точка входа PE-файла.
Key Decision
Местоположение кода, в котором было принято решение избежать выполнения потенциально вредоносного поведения.
Динамический/расшифрованный
Код, сгенерированный во время выполнения, часто называемый неупакованным или самомодифицирующимся кодом.
Распаковщик/расшифровщик
Раздел кода, отвечающий за распаковку или расшифровку части динамического кода.
Выполнено
Код, который был выполнен во время выполнения.
Не выполнено
Код, который не был выполнен во время выполнения.
Unknown
Код, для которого неизвестно, выполнялся он или нет во время выполнения.
Совпадение подписи
Код, соответствующий поведенческой подписи.
Расширенный путь
Путь в графе выполнения, который показывает много поведения (например, в отношении вызываемых функций API).
Ваш комментарий будет первым