Systemhost - як з ним боротися - публічні -if () - endif - каталог статей - it24 - комп’ютерна

Systemhost - як з ним боротися

В папці systemhost Avira бачить весь системний диск!

Тому-то вона і зависла!

Відмінно, перевіримо ще командним рядком:

Папки немає!
А ми її видалимо. Спочатку я перевірив можливість видалення файлів за допомогою del C: # 92; systemhost # 92; * і це спрацювало. Тепер саму папку

Ні! Папка є, віддалятися не хоче, хоч і порожня, але не порожня!
А ось вид з боку провідника (Пуск - виконати - C: # 92; systemhost):

Після деякого замішання я вирішив копати в сторону точок з'єднання Junction файлової системи NTFS. Це рідко зустрічається в практиці, в основному на контролерах домену і в серверних продуктах, причому звертатися з ними треба дуже обережно, інакше все перекоситься, і тому як з ними працювати, думаю, мало хто знає.
Інтернет швидко підказав на цей рахунок утиліту Junction від Марка Русиновича, але!

Ось так! Я спробував кілька разів. На будь-які сайти йде, сюди немає. Значить чужорідний процес в пам'яті комп'ютера і ми тут не одні.

Гаразд, швидко знайшлася заміна, штатна команда MOUNTVOL, і створює, і перераховує, у видаляє точки з'єднання NTFS. Але на жаль, для диска C: # 92; я очікував побачити що-небудь ще, крім системного томи. Варто було б ще запустити цю команду для C: # 92; systemhost. але я тоді цього не зробив.

Ні, напевно, це не точки з'єднання.
Я ще раз перезавантажив комп'ютер, і Avira знову повідомила про вірус. Він знову в цій папці. Заходжу в неї провідником через Пуск - виконати - C: # 92; systemhost. Виявляється з нею цілком можна працювати і створити в ній, наприклад, нову папку:

І контекстне меню цілком можна застосувати до exe-файлу, тому що ще залишився. Відправимо його на перевірку до антивірусу через контекстне меню:

Ясно, Avira точно не готова. Але зате тепер я пошукаю точку запуску цього файлу, адже це він, швидше за все, залишався в пам'яті. Я пошкодував, що відразу видалив його раніше, що не пошукавши в реєстрі:

Звичайно, зараз пройшло час, і я не запам'ятав всіх подробиць. Зараз за своїми ж скриншотам намагаюся їх відновити, але не можу точно сказати, чому я не помітив цього в реєстрі при першій перевірці?
Загалом, далі за допомогою заборони на запуск я заблокував цей екзешник, після перезавантаження Avira промовчала, а зачароване systemhost, нарешті, з'явився на світло:

24FC2AE39DE.exe я відправив в лабораторію Avir'и, а також завантажив і на virustotal.com. На той момент результат був таким:

Дивно, але тут він залишився непоміченим тієї ж Avir'ой.

Відповідь з лабораторії Avir'и прийшов на наступний день, два файли вони визнали, а один порахували безпечним. Даремно, щось мені підказує, що в цій таткові C: # 92; systemhost, безпечних файлів не було :)

Майже тиждень тому виявив на іншому комп'ютері такий же випадок, але без проникнення, причому спроба зараження відбувалася двома тижнями раніше:

Ось так. Таких штучок мені раніше не траплялося, можливо, і вам теж. Будь ласка, залишайте свої відгуки або питання. Ви також можете розповісти на сторінках цього сайту про свій особистий досвід.

як вилікувати цю погань?