Dziwny problem z svchost.exe i avast!


(Merfarba) #1

Witam. Od razu przepraszam, jeśli taki temat już się pojawił, bądź umieściłem go w złym dziale.

Mam problem z svchost.exe. Szukałem w necie podobnych wątków, ale większość opierała się o problem zamulania systemu przez te procesy. Ja sprawdzałem wielokrotnie i samego mulenia kompa nie zauważyłem, nie zauważyłem też zżerania ramu przez te procesy. Mój problem polega na tym, że dziwne rzeczy dzieją się z moim netem:

  • po pierwsze strasznie zamula mi neta tak, że na załadowanie strony trzeba czekać wiele minut

  • po drugie co jakieś 10-15 minut automatycznie otwiera mi się firefox, wskakują linki: albo http://94.75.229.139/web.php?q=4022.4022.1001.1048576.0.12b6e111d249cda8c3a30966dd476dea7a822f9a3562a9be294315b5dbcba494.1.3497375 albo coś z http://www2.megawebfind.com/web.php (i coś tam dalej) i rozpoczyna mi się pobieranie jakiegoś pliku web.php

  • po trzecie, dlaczego uważam, że to wina svchost.exe, na pasku w prawym dolnym rogu pulpitu jest ikonka z włączonym skanerem poczty Avast!. Gdy najadę na nią kursorem pokazuje mi się napis: avast! - Skaner poczty [svchost.exe->(i tutaj wiele jakichś adresów internetowych serwerów i mailowych). Gdy wszedłem do skanera dostępowego avast w opcję "Poczta", to pokazujA mi się dane: Ostanie skanowanie: (i tutaj wiele dziwnych i nieznanych adresów email), Ostatnia infekcja, Liczba przeskanowanych: 250( !!

Po przeczytaniu kilku postów, dochodzę do wniosku, że jakiś syf(robak, wirus) podszył lub zainstalował mi się w svchost.exe i wysyła i odbiera jakieś badziewie. Nie wiem co to może być i jak się tego pozbyć bez reinstalki systemu. Pomóżcie! !!


(deFco247) #2

Skoro piszesz w tym dziale i masz problem z infekcją, to należy wstawić obowiązkowe w takim wypadku logi.

Przed uruchomieniem poniższych narzędzi odinstaluj (jeśli posiadasz) wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń instalowany przez nie sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

Pokaż logi z narzędzi OTL + System Repair Engineer + GMER.

W OTL przestawiasz Processes i Modules na All oraz wklejasz w dolne białe okienko Custom Scans/Fixes :

Klikasz Run Scan.

(Na Windows Vista i 7 uruchamiamy programy z menu Uruchom jako Administrator... ).

Zawartość logów wklejasz na wklej.org, wklej.to lub nopaste.pl, a w poście dajesz link.


(Merfarba) #3

Oto logi:

z GMER nie mam loga bo 2 razy mi skanował i 2 razy mi padł po czym wyskakuje niebieski ekran windowsa z błędem.


(deFco247) #4

Mam poważne podejrzenia, iż masz viruta ze względu na ten bardzo charakterystyczny w przypadku tej infekcji plik:

Na razie się zobaczy, czy on powróci po jego usunięciu.

W białe dolne okno Custom Scans/Fixes w OTL wklej:

Run Fix. Restart, jeśli będzie potrzebny.

Potem log z usuwania oraz nowy log robiony opcją Run Scan.


(Merfarba) #5

Oto log z Run Fix: http://wklej.org/id/281746/

Ze skanowaniem Run Scan miałem wątpliwości czy wpisać dane, które podałeś w pierwszym Twoim poście, więc mam 2 wersje:

Widzę, że spam nadal jest wysyłany z mojego komputera

I ciągle w przeglądarce otwierane są te strony do pobierania jakiegoś pliku web.php na zmianę:

http://www2.megawebfind.com/web.php?q=4022.4022.1001.1048576.0.12b6e111d249cda8c3a30966dd476dea7a822f9a3562a9be294315b5dbcba494.1.169484 i

http://94.75.229.139/web.php?q=4022.4022.1001.1048576.0.12b6e111d249cda8c3a30966dd476dea7a822f9a3562a9be294315b5dbcba494.1.3497375


(Katalonczyk97) #6

niestety infekcja jest w tle co potwierdza świeżo modyfikowany plik ndis.sys orginał waży 178kb a twój aż 182kb.

zapwene jest też przystosowany do spamowania prędko stosuj się do tego usuwanie-znanych-wirusow-sality-jeefo-parite-virut-itp-t370365.html VIrut


(deFco247) #7

Decos20 , ten plik ma prawidłowy rozmiar, gdyż 182,656/1024 = 178,375 http://www.google.pl/search?q=182656%2F1024 ;]

Poza tym to jednak wygląda na infekcję Vundo , więc zastosuj Combofix.

Przed uruchomieniem odinstaluj wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle.

Pokaż log.


(Katalonczyk97) #8

defco ale dalej się będę upierał gdyż stoi jako świeżo modyfikowany chyba że kolega robił aktualizacje Service Packiem.


(Merfarba) #9

przeskanowałem komputer Dr.Web LiveCD i wykryło mi trochę świństwa. Mam rozumieć że muszę usunąć to wszystko. Bo szczerze mówiąc, od pierwszego postu Decos20 nie zaglądałem tutaj. Widzę że pojawiła się inna diagnoza deFco247. Nie jestem zatem pewien co teraz zrobić, gdy obserwuję waszą dyskusję.


(deFco247) #10

Pamiętasz może jak to "świństwo" się nazywało?


(Merfarba) #11

Świństwem nazwałem wielką ilość różnego rodzaju plików. A klasyfikuję to jako "świństwo", po coś się podszywa pod pliki, a szczerze mówiąc ja nie nie potrafię ocenić który jest zainfekowany a który nie. Myślę, że jeśli DR Web wyświetlił nazwy tych plików to coś musi być z nimi nie tak. Więc co, usuwać je jak kazano w linku od decos20?? http://forum.dobreprogramy.pl/usuwanie-znanych-wirusow-sality-jeefo-parite-virut-itp-t370365.html


(deFco247) #12

Sami nie wiemy, czy jeszcze cokolwiek szkodliwego masz w systemie, więc pokaż nowy log z OTL.


(Merfarba) #13

tylko że obecnie jestem na poziomie biosu i pracuję na płytce z DR WEBem, jak polecili w linku. A teraz piszę z innego komputera


(deFco247) #14

No to czekamy na koniec skanu i nowy log OTL. :slight_smile:

Na poziomie BIOS-u jesteś, gdy klikniesz Del przy starcie komputera. ;]


(Merfarba) #15

Z tym biosem to przesadziłem. Przepraszam za moje pytania, ale skanowanie się zakończyło, więc teraz wykasować wyświetlone pliki, czy po prostu wyjść i nic nie robić?


(deFco247) #16

Najlepiej wylecz - jeśli będą niewyleczalne, to skaner je usunie.


(Merfarba) #17

Logi z OTL:

Dodam, że chyba niewiele to dało, bo nadal wysyłany jest spam.


(deFco247) #18

W OTL wklej:

Run FIx. Po tym klikasz CleanUp , gdyż nie widać w logu już niczego szkodliwego.

Wyczyść rejestr i dysk CCleaner.

PS. No i usuń zbędnik Bonjour: http://www.searchengines.pl/Jak-usunac- ... 03177.html (post 7)


(Merfarba) #19

Zrobiłem jak kazałeś, ale problem do końca nie zniknął. Cały czas wysyłany jest spam. Dodaję screen, może to coś pomoże. http://www.fotosik.pl/pokaz_obrazek/8757899e3a2d0570.html

Może dać log z innego programu??


(deFco247) #20

To jest dosyć dziwne - skan był wykonywany spoza systemu, więc nie powinno być już takich kwiatków, a i logi są czyste.

Wykonaj pełny skan Malwarebytes' Anti-Malware - znalezione obiekty usuń.

Gdy będą wirusy pokaż raport po usuwaniu.

Pokaż log z GMER.

Przed uruchomieniem powyższych narzędzi odinstaluj (jeśli posiadasz) wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń instalowany przez nie sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).