Infezione Non riesco a chiudere il processo di mascheramento come scvhost.exe [chiuso]

Se sei in grado di vedere il processo e persino di terminarlo, non si protegge troppo bene. Anche se l'unico modo per essere sicuro che hai sradicato il virus è una nuova installazione , è probabile che l'infezione non sia tecnicamente molto avanzata e possa essere eliminata con " ragionevole "certezza.

Suppongo che tu abbia già provato con Ripristino configurazione di sistema e non abbia avuto fortuna. Se non ci hai provato, verifica se è possibile ripristinare il sistema in uno stato precedente all'infezione. Se potessi, sarebbe qualcosa che potresti voler provare (ma vedi in fondo per un avvertimento).

Altrimenti, inizia afferrando uno strumento come Process Explorer e visualizza l'albero del processo dopo un pulito (beh, dirty ...) riavviato. Sarai in grado di vedere il processo scvhost e il suo genitore. Di solito questo trucco di "restart" è gestito tramite l'interfaccia di servizio, o da due programmi diversi che si "accudiscono" a vicenda, riavviando il loro compagno non appena lo vedono.

Quindi prima controlla l'oggetto scvhost.

Se il suo genitore è un binario "sconosciuto", non parte del sistema Windows, è possibile "sospendere" sia il genitore che il figlio. Né reagirà, dal momento che non hai ucciso nessuno (ancora). Se il genitore è "services.exe" (ed è il reale services.exe), allora l'infezione si è camuffata come servizio e devi sospendere solo il bambino.

Nello scenario di servizio, apri la console Servizi , impostala su "Non riavviare se terminato" e disabilita il servizio in modo che non funzioni all'avvio. Quindi uccidere il processo figlio (dopo essere stato sospeso, non dovrebbe essere in grado di notare le impostazioni modificate e modificarle) e provare a riavviare. Per prima cosa, guarda la nota in fondo per un avvertimento.

Se non si trattava di un servizio, cerca sul disco il processo genitore (Process Explorer solitamente ti dice da dove è iniziato il processo). In queste configurazioni, il genitore ha l'unico compito di lanciare il bambino e di sorvegliare e cercare di non attirare l'attenzione. Potresti non trovare il bambino eseguibile (potrebbe non essere nemmeno un file da solo), ma dovresti essere in grado di rimuovere il genitore. Cerca il suo nome nei soliti posti nel registro (o potresti anche provare Autoruns ).

Prima facendo ciò, verifica che faccia abbia un backup corrente dei tuoi file di dati. È concepibile che l'infezione possa aver reso il sistema instabile o intenzionalmente intrappolato, e questa rimozione piuttosto brutale potrebbe innescare qualcosa di spiacevole.

Probabilmente questa domanda non si adatta bene a questo sito, perché è troppo stretta e localizzata (non è probabile che sia pertinente per gli altri) e non fornisce informazioni sufficienti per diagnosticare il problema.

Detto questo, in generale, la procedura è la seguente:

1. L'unico modo sicuro per recuperare è formattare l'unità, reinstallare da zero il sistema operativo e le applicazioni, modificare tutte le password e ripristinare i dati da un backup eseguito prima dell'infezione (è necessario essere certi che è prima che tu venissi compromesso).

2. Se vuoi vivere pericolosamente, ecco un approccio alternativo. Aggiorna il tuo software A / V (antivirus) per assicurarti che abbia le ultime definizioni, quindi esegui una scansione completa del tuo disco rigido. Quindi, scarica MalwareBytes e scansiona il tuo disco rigido (potrebbe essere necessario scriverlo su un CD o un dongle USB, quindi eseguire l'avvio dal dongle USB o CD). Chiedi loro di rimuovere e correggere eventuali infezioni che trovano. Quindi, modifica tutte le tue password. Verifica se questo risolve il problema. Se non risolve il problema, il fallback è andare al passaggio 1 (riformattare e reinstallare).

Penso che troverai questo tipo di domanda più adatta al superutente o a un sito simile per il lavoro a livello tecnico. Detto questo, quando ero più coinvolto nella rimozione del malware, c'erano alcune tattiche di base.

Per prima cosa, assicurati dell'esatta versione del sistema operativo che stai utilizzando (ad esempio, windows xp, quindi home, pro, ecc. o se vinci 7, quindi home, pro, ultimate, ecc.). Alcuni sistemi operativi meno recenti sono più inclini alla corruzione e ad altri problemi. Ciò ti aiuterà anche a decidere quali strumenti specificamente scaricare per affrontare quel particolare malware.

In secondo luogo, scopri quale pacchetto di servizi del sistema operativo hai contro la versione più recente. Qualsiasi interruzione (a tutti) di aggiornamenti, hotfix, ecc. Può lasciare la tua macchina quasi totalmente in balia di qualcosa di nuovo che non viene rilevato dall'euristica su un AV. In effetti, gli aggiornamenti sono in genere più importanti di AV nella protezione di una macchina e ho riscontrato problemi che continuavano a tornare dopo le scansioni AV, ma che sono stati neutralizzati con successo dopo l'installazione di aggiornamenti e hotfix.

In terzo luogo, non continuare a scaricare ogni piccola app per cercare di combatterla poiché quelle possono essere versioni di altri virus abilmente mascherate o semplicemente non funzionano e ti lasciano con spyware o altri inconvenienti. Allo stesso modo, fai attenzione a ciò che fai su quella macchina in quanto potrebbe nascondere altri malware che potrebbero fare di più che riprodurre musica in momenti inopportuni (ad esempio, registrare le tue password, ecc.).

Ci sono interi capitoli di libri scritti sulla gestione di virus e altri malware, quindi è un po 'oltre lo scopo di questo post. Ma puoi iniziare con questo.

Controlla il processo genitore (albero dei processi) e terminalo. Assicurati di scaricare applicazioni solo da siti attendibili e SEMPRE hanno un antivirus aggiornato.