- Что это?
- CompPkgSrv.exe — вирус?
- Trojan.DownLoader33.29160
- Trojan.Inject3.42237
- Заключение
Приветствую друзья! Сегодня моя задача — узнать информацию о процессе CompPkgSrv.exe, это может быть как системный компонент так и опасный процесс, например вирус троян или майнер.
CompPkgSrv.exe — что это такое?
Системный компонент Windows, который необходим для работы некоторых программ (например Chrome, WinPcap).
В описании процесса может быть сказано что это сервер поддержки пакетов компонентов.
Процесс может появиться после обновления Windows до билда 1809.
Процесс запускается из системной папки:
C:\Windows\System32
Свойства файла CompPkgSrv.exe:
У некоторых пользователей процесс появляется при запуске браузера Google Chrome, а точнее во время просмотра Ютуба или Фейсбука. Также процесс может появиться при использовании Steam (игровая платформа) и причина видима в том, что в Steam есть встроенный браузер.
Вот вкладка Подробности (Details) где видим — все указывает на то, что файл от Microsoft Corporation:
Другой пользователь начал замечать процесс CompPkgSrv.exe после установки WinPcap.
CompPkgSrv.exe — вирус?
Как мы выяснили — нет, не вирус, это просто новый компонент Windows, раньше его не было. То есть это один из системных процесс, как например и svchost.exe, поэтому его трогать не стоит.
Проверил — у меня стоит Windows 10 билд 2004 и в папке System32 присутствует файл CompPkgSrv.exe:
Однако для интереса — проверю данный файл на VirusTotal — нажал по Choose File, выбрал файл и вот результат:
PS: рекомендую вам тоже проверить файл на VirusTotal.
Trojan.DownLoader33.29160
Оказывается под CompPkgSrv.exe может маскироваться вирус Trojan.DownLoader33.29160, он запускается не из папки System32, а из %PROGRAMDATA%. Поэтому проверьте откуда у вас запускается CompPkgSrv.exe!
Этот вирусный CompPkgSrv.exe еще коннектится с интернетом, вероятно может даже отправлять какие-то данные.
Также вирус создает непонятный файл:
%APPDATA%\microsoft\windows\start menu\programs\startup\ed98bbf13769247f752360fb362550e4.exe
И запускает команду, судя по всему это команд чтобы добавить вирус в исключения встроенного брандмауэра:
'
Тип вируса — троян. Это в первую очередь значит что вирус может лезть в интернет, что-то отправлять, принимать данные и даже скачать другие вирусы на ПК.
Что делать? Думаю что ответ очевиден — при малейших подозрениях просканируйте ПК утилитой Dr.Web CureIt!.
Trojan.Inject3.42237
Я писал что кроме процесса есть еще библиотека с похожим названием — CompPkgSup.dll, оказывается под это название может маскироваться вирус Trojan.Inject3.42237, только будет расширение не библиотеки (dll), а исполняемого файла — CompPkgSup.exe. Сам файл может быть расположен здесь:
%PROGRAMDATA%\componentpackagesupport\
Файл может быть скрытым. При этом непонятно — сам файл вирусный или системный, но в который вирус может внедрять свой код.
Кроме всего Trojan.Inject3.42237 вроде еще создает задание в планировщике под названием wmi services, а также файлы ins.exe и out.exe в %APPDATA%. Также создает папку deedwwww в %LOCALAPPDATA%.
Какой вывод можно сделать? Все очень просто — при малейших подозрениях нужно проверить ПК утилитой Dr.Web CureIt!.
Заключение
- CompPkgSrv.exe — системный компонент, необходимый для работы некоторого ПО.
- CompPkgSrv.exe не должен грузить ПК, использовать много оперативки.
- Найдена информация, что под процессы CompPkgSrv.exe, а также CompPkgSup.exe могут маскироваться вирусы (трояны). Я рекомендую в любом случае просканировать компьютер утилитой Dr.Web CureIt!.
Также советую проверить ПК утилитами против рекламного и шпионского ПО — AdwCleaner и HitmanPro. При отсутствии антивируса рекомендую бесплатную версию Kaspersky Security Cloud Free.
Удачи.