Dziwny problem z svchost.exe i avast!

aniah88 · 9 Marzec 2010 11:11

Witam,

mam (prawdopodobnie) ten sam problem, co autor wątku. To znaczy wczoraj avast zaczął mi krzyczeć o całym mnóstwie wykrytych wirusów, które częściowo usunęłam, częściowo dałam na kwarantannę. Po czym zaczęłam skanować komputer avastem i zostawiłam go. Po przyjściu okazało się, że przeglądarka chrome otworzyła samoczynnie kilkanaście kart i ściągała jakiś plik web.php z adresu http://www2.megawebfind.com/web.php?q=403…. lub http://94.75.229.139/web.php?q=4030.403 … c8e8533b….

Ściągnęłam spybota i od wczoraj kilkakrotnie nim skanowałam i za każdym razem znajdywał coś co naprawiał.

Generalnie te programy antywirusowe zdają się naprawiać skutki tego czegoś co zalęgło się w moim komputerze, ale nie potrafią naprawić przyczyny, bo po skanowaniu ten śmieszny plik web.php ciągle się ściąga co jakiś czas.

Mój problem jest taki, że jako jestem dziewczynką to niestety niewiele rozumiem z tego rozwiązania, które pomogło autorowi wątku, dlatego prosiłabym o łopatologiczne wytłumaczenie mi co mam zrobić i czego użyć aby to wyleczyć.

Agaton · 9 Marzec 2010 11:33

aniah88

Nie podpinaj się do cudzych tematów - praktyki takie skutkują Koszem.

Na przeszłość - gdy będziesz miała problem - załóż w odpowiednim dziale własny temat.

Wydzielone do działu Bezpieczeństwo z tematu

dziwny-problem-svchost-exe-avast-t382447-30.html

ahonen97 · 9 Marzec 2010 11:52

Wklej logi z OTL i SRENG otl-gmer-rsit-dds-inne-instrukcje-t370405.html logi wklejasz na http://www.wklej.org a tutaj link do sklejki

aniah88 · 9 Marzec 2010 15:21

Oto log z OTL za chwilkę wkleję z sreng. Kurczę, dziś znowu avast znalazł mnóstwo wirusów, w tym pojawił się komunikat o wirusie w pamięci systemowej przez którego system nie może rzekomo funkcjonować. Avast zalecił restart i pełen skan, usunął znalezione wirusy i po włączeniu…historia się powtórzyła Toż to jakaś masakra…

OTL log:

http://wklej.org/id/293265/

Sreng Log:

http://wklej.org/id/293247/

jessica · 9 Marzec 2010 16:15

Napisz, jakie wirusy są wykrywane - być może masz wirusa zarażającego wszystkie pliki .exe.

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

:OTL FF - prefs.js…browser.search.defaultenginename: “Ask” FF - prefs.js…browser.search.order.1: “Ask” FF - prefs.js…keyword.URL: “http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=” [2009-06-29 15:22:55 | 000,000,681 | ---- | M] () – C:\Documents and Settings\KaSzaQ\Dane aplikacji\Mozilla\Firefox\Profiles\ouwcbp1p.default\searchplugins\ask.xml IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?o=13928&l=dis O3 - HKLM…\Toolbar: (no name) - - No CLSID value found. O4 - HKLM…\Run: [Adobe Reader Speed Launcher] File not found O4 - HKLM…\Run: [Adobe_Reader] File not found O4 - HKLM…\Run: [HotKeysCmds] File not found O4 - HKLM…\Run: [igfxTray] File not found O4 - HKCU…\Run: [CurseClient] File not found O4 - HKCU…\Run: [Google Update] File not found O4 - HKCU…\Run: [skype] File not found O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\KaSzaQ\csrss.exe) - C:\Documents and Settings\KaSzaQ\csrss.exe (i.Wa.oLvF) [2010-03-05 12:12:25 | 000,214,016 | RHS- | C] (i.Wa.oLvF) – C:\Documents and Settings\KaSzaQ\csrss.exe :Files C:\WINDOWS\System32\drivers\442707028.sys C:\Documents and Settings\KaSzaQ\Ustawienia lokalne\Dane aplikacji\Windows Server\qvxoob.dll C:\Documents and Settings\KaSzaQ\Ustawienia lokalne\Dane aplikacji\Windows Server :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “TaskMan”=- :Commands [emptytemp] [resethosts] [Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.

Pokaż nowy log OTL.txt oraz raport z usuwania.

aniah88 · 9 Marzec 2010 16:47

Raport z usuwania:

http://wklej.org/id/293297/

Log:

http://wklej.org/id/293303/

Przy okazji restartu po raz kolejny wyskoczyło ostrzezenie avasta o znalezieniu podejrzanego pliku

C:\WINDOWS\system32\drivers\442707028.sys

jessica · 9 Marzec 2010 17:03

Wygląda na to, że ten plik “442707028.sys” jest Rootkitem, bo się nie usunął.

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.

Pokaż nowy log OTL.txt oraz raport z usuwania.

Daj log z SRENG

jessi

aniah88 · 9 Marzec 2010 22:13

Chyba się nie udało… Avast ciągle wyskakuje z tym plikiem systemowym.

Raport:

http://wklej.org/id/293580/

OTL log:

http://wklej.org/id/293596/

SRENG log:

http://wklej.org/id/293604/

jessica · 9 Marzec 2010 22:26

Ściągnij -->Avenger.

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\system32\drivers\442707028.sys


Drivers to delete:

442707028.sys

442707028


Registry keys to delete:

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager\appcertdlls


Folders to delete:

c:\documents and settings\kaszaq\ustawienia lokalne\dane aplikacji\windows server

Kliknij w " Execute" i zatwierdź restart komputera.

Zrestartuj komputer.

Daj Raport z Avengera z C:\avenger.txt.

Oraz log z OTL.

jessi

aniah88 · 10 Marzec 2010 15:21

Dzisiaj windows mi padł, nie chciał się włączyć, musiałam startować go z płytki.

Z avengera chyba wynika, że go usunął, tylko problem jest w tym, że kiedy avast mi wyświetla że coś takiego znalazł ja go zawsze usuwam, a on ciągle się jakby tworzy na nowo czy coś.

Raport:

http://wklej.org/id/293856/

Log:

http://wklej.org/id/293866/

jessica · 10 Marzec 2010 15:44

W nowym logu tego nie widać.

W razie gdyby znów się pojawił, to w pierwszej kolejności usuniesz te powyższe pliki - zostały zmodyfikowane w momencie powstania infekcji, więc być może to właśnie infekcja je zmodyfikowała?

Potem dasz nowe logi z OTL i z GMER.

jessi

aniah88 · 10 Marzec 2010 17:14

Ok bardzo dziękuję za pomoc, na razie jest chyba w porządku. W jaki sposób mam je usunąć, jakby co? Zresztą może zgłoszę się w razie problemów. Chyba że w jakiś sposób będą one niewykrywalne.

Powinnam robić jeszcze jakieś skany, np avastem lub spybotem ?

jessica · 10 Marzec 2010 17:36

Te pliki nie mają żadnych atrybutów ochronnych, więc nie będzie problemu z ich odszukaniem.

Ale myślę, że nie będzie takiej potrzeby.

Avenger usunął zarówno plik, jak i usługę tego “442707028”, więc najprawdopodobniej już się nie odrodzi.

jessi

aniah88 · 10 Marzec 2010 21:41

Super, jak do tej pory jest wszystko w porządku, bardzo Ci dziękuję !