Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » svchost -a scrypt-jane

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

Almaziziy

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте, столкнулся с проблемой что процесс svchost с параметром командной строки -scrypt-jane грузит процессор.
 
запускается данный процесс из папки c:\windows\system32\API. понятно что это троян, и у меня возникли трудности с его искоренением - папки API скрыта и ее не видно ни через проводник ни через Total Comander. обратится через адресную строку так же не могу - нет прав доступа.
 
как я понял права доступа к этой папки есть только у пользователя "система", но назначить себе права доступа не получается
 

Код:
 
C:\Windows\system32>icacls c:\Windows\System32\API /grant ss:(F)
c:\Windows\System32\API: Отказано в доступе.
Успешно обработано 0 файлов; не удалось обработать 1 файлов  
 

пользователь ss входит в группу администраторы
Всего записей: 8 | Зарегистр. 29-10-2014 | Отправлено: 04:40 18-12-2015 | Исправлено: Almaziziy, 04:55 18-12-2015
Jon_Dow

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Almaziziy
в общей ситуации требуется загрузка с внешнего носителя.
Потом для начала сталь владельцем и потом поменять права.
Всего записей: 732 | Зарегистр. 25-11-2006 | Отправлено: 13:50 18-12-2015
Dr_Werdenhoff



Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Права надо попробовать забрать немного иначе:

Код:
 
takeown /f c:\Windows\System32\API
icacls c:\Windows\System32\API /grant administrators:F /t
 

После можно сразу cделать del c:\Windows\System32\API
Всего записей: 29 | Зарегистр. 04-11-2004 | Отправлено: 20:52 20-12-2015
Jon_Dow

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dr_Werdenhoff
а стать владельцем это не то же самое?! Иначести нет.
RTFM
Всего записей: 732 | Зарегистр. 25-11-2006 | Отправлено: 21:49 20-12-2015
Almaziziy

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Код:
 
c:\Windows\System32>takeown /f c:\Windows\System32\API
ОШИБКА: Отказано в доступе.
 
Всего записей: 8 | Зарегистр. 29-10-2014 | Отправлено: 04:01 21-12-2015
Jon_Dow

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Almaziziy
Требуется "Запуск от имени Администратора" для консоли.
Всего записей: 732 | Зарегистр. 25-11-2006 | Отправлено: 08:46 21-12-2015
pompon



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Jon_Dow
Так у него и запущено от админа
Цитата:
c:\Windows\System32

AlmaziziyА что вам мешает включить отбражение скрытых и системных файлов,в том же Total'e.
Всего записей: 882 | Зарегистр. 14-10-2007 | Отправлено: 11:02 21-12-2015 | Исправлено: pompon, 11:07 21-12-2015
thelamb

Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Almaziziy
А что вам мешает включить отбражение скрытых и системных файлов, в том же: Сервис\Параметры папок\Вид? И потом вы не пишете какая ОС? У меня в 7-ке x32 U такой папки нет. Иначе почему эти файлы типа api-ms-win-core-memory-l1-1-0.dll и прочие api открыто лежат  в C:\Windows\System32? Возможно вам и в доступе отказано просто потому, что такой папки а системе нет?
Если у вас 7-ка, откройте диспетчер задач. найдите этот процесс и проверьте есть ли у него службы. ПКМ по строке и выбрать *Перейти к службам*. Вы вообще в папке System32 Поиск по имени API Включали? А AnVir или подобная прога есть? С их помощью можно всё найти и сразу проверить на вирус тотале. Правда если зловред прячется за процессом svchost, то ничего не получится т. к. он всегда положителен. И Удалять его сложно даже с поиощью Unlocker, но с его помощью можно посмотреть, что его блокирует и тогда понять кому в действительности он принадлежит. Файл svchost.exe удалять нельзя.
Всего записей: 4968 | Зарегистр. 25-11-2004 | Отправлено: 11:52 21-12-2015
Almaziziy

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ОС Win serv 2008 R2. Включить отображение скрытых папок ни чего не мешает, но это результата ни какого не дает, папка скрыта не системой, чем - не знаю. svchost который грузит проц ни какого отношения к системному процессу отношения не имеет.
 
Открываю диспетчер задач -> показать расположения файла - тишина, ни какой реакции. там же в  диспетчере пытаюсь открыть свойства - пишет что нет прав на доступ к c:\Windows\system32\API.  
 

Код:
 
C:\Windows\system32>icacls c:\gg /grant ss:(F)
c:\gg: Не удается найти указанный файл.
Успешно обработано 0 файлов; не удалось обработать 1 файлов
 

 
папки gg не существует - ответ не найден указанный файл  
 

Код:
 
C:\Windows\system32>icacls c:\Windows\System32\API /grant ss:(F)  
c:\Windows\System32\API: Отказано в доступе.  
Успешно обработано 0 файлов; не удалось обработать 1 файлов  
 

 
в моем же случае именно "Отказано в доступе"
Всего записей: 8 | Зарегистр. 29-10-2014 | Отправлено: 04:10 22-12-2015
Valery_Sh



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Да загрузитесь с линуксового дистрибутива и убейте.
Хоть с того же диска KRD10 (Kaspersky Rescue Disk). Будет малость непривычно после win, но это преодолимо.
Всего записей: 2171 | Зарегистр. 30-06-2008 | Отправлено: 04:35 22-12-2015 | Исправлено: Valery_Sh, 04:36 22-12-2015
Almaziziy

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Да загрузитесь с линуксового дистрибутива и убейте.  
Хоть с того же диска KRD10 (Kaspersky Rescue Disk). Будет малость непривычно после win, но это преодолимо.

думал об этом, но есть трудности с физическим доступом
Всего записей: 8 | Зарегистр. 29-10-2014 | Отправлено: 05:18 22-12-2015 | Исправлено: Almaziziy, 05:19 22-12-2015
thelamb

Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Almaziziy
ввёл в гугль  

Цитата:
процесс svchost с параметром командной строки -scrypt-jane

и обнаружил, что это криптовалюта. Т. е. кто то пользуется вашим компом.  
http://forum.kaspersky.com/lofiversion/index.php/t335017.html
Всего записей: 4968 | Зарегистр. 25-11-2004 | Отправлено: 09:52 22-12-2015
Almaziziy

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
thelamb
 это я уже находил
Всего записей: 8 | Зарегистр. 29-10-2014 | Отправлено: 11:01 22-12-2015
sensei010

BANNED		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Здравствуйте, столкнулся с проблемой что процесс svchost с параметром командной строки -scrypt-jane грузит процессор.
 
запускается данный процесс из папки c:\windows\system32\API. понятно что это троян, и у меня возникли трудности с его искоренением - папки API скрыта и ее не видно ни через проводник ни через Total Comander. обратится через адресную строку так же не могу - нет прав доступа.  

Это не троян, а майрер. Попробуй установить программу Anvir Task Manager и отправь в карантин процесс. Если не поможет ознакомься с *** по удалению этого процесса средствами виндоуса.



Спам
Всего записей: 51 | Зарегистр. 18-11-2015 | Отправлено: 00:19 25-12-2015
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » svchost -a scrypt-jane


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru