Svchost.exe пытается получить доступ к зараженному файлу в _restore {…}

0

Я получил следующее предупреждение от моего антивируса:

введите описание изображения здесь

Перевод:

 Warning
 Potential threat found

 Object: 
 C:\System Volume Information\restore{ .....\A00009511.exe

 Threat:
  Win32/HackAV.GV potentially dangerous application

 Comment
 The event happened during an intent to access a file from the
 application: C:\WINDOWS\system32\svchost.exe

Что здесь происходит?
Svchost заражает какую-то dll, вызванную?
Почему он пытается получить доступ к _restoreфайлу?

Доктор белисарий
источник

Ответы:

3

Служба обнаружения заражения, размещаемая в svchost, вероятно, является службой ekrn (служба сканирования ESET).

Обычно это означает, что он обнаружил зараженный файл в старой точке восстановления системы.

Чтобы «очистить» это, я обычно отключаю Восстановление системы, чтобы уничтожить все точки восстановления, повторно включить его, а затем создать новую точку восстановления.

Ƭᴇcʜιᴇ007
источник
Я уже делал это несколько дней назад, но это вновь появилось, так что, думаю, происходит что-то худшее. Вы знаете, как проверить, пытается ли ekrn получить доступ к файлу?
Доктор Белизарий
@belisarius - да, это немного странно (что это вернулось). Вы сделали полную проверку компьютера? Вы, вероятно, можете использовать Process Monitor от MS (google it) и фильтровать записи в системную папку с томами. В настоящее время мне нравится использовать HitmanPro для быстрого сканирования «второго мнения».
Ƭᴇcʜιᴇ007
Полное сканирование сообщает только о _restore файле, но я ему не доверяю, потому что это не объясняет, почему он возвращается и почему svchost.exe обращается к нему. Я постараюсь удалить точки восстановления и вести мониторинг записи информации о томе. Хорошая идея.
Доктор Белизарий