Pomocy-Rootkit jako pożeracz RAM


(Henryk Pietrzak) #1

Szukam niewidzialnego szkodnika. Podpina się pod svchost.exe, który zamiast 20MB pożera 60-80 MB RAM. Efekt to brak odpowiedzi na polecenia myszy a następnie nagłe otwieranie tej samej aplikacji w 3 -krotnym powtórzeniu. Wyczyściłem wszystko co się dało za pomocą Noda32 Ksperskiego i a-squaed Free 2,1. Znalazł i oraz w C:\WINDOWS\system32\sstnnst3.exe. Trochę ulżyło ale system dalej kuleje. Zastosowałem Sophos Anti Rootkit 1,3 który po 2 nieudanych skanach, zakończonych alarmem o krytycznym błędzie wykazał istnienie zewnętrznych USERÓW. np. w aplikacji C:\PROGRA~~1\WINDOW~2\wmplayer.exe . Proszę o sprawdzenie loga z HijackThis 1.99.1

:frowning: :frowning: Z góry dziękuję i pozdrawiam forumowiczów, od których wiele się nauczyłem.


(Adarek) #2

Pod który svchost.exe ?? W systemie jet ich wiele.

Wklej jeszcze logi z :

Silent Runners oraz z programu Gmer:

:arrow: http://forum.dobreprogramy.pl/viewtopic ... hp?lang=pl

:arrow: http://forum.dobreprogramy.pl/viewtopic.php?t=101848

:arrow: http://www.searchengines.pl/phpbb203/in ... wforum=152

Czekaj na speców.


(Gutek) #3

usuń wpisy HJT, daj log z Combofix


(Henryk Pietrzak) #4

Svchost.exe wystepuje kilkakrotnie. Nie ma sensu nzywać go 4 od góry na liście Cacheman XP. Ważniejsze jest to, że jaklo jedyny z grupy zuzywa zawsze najwięcej RAM(Ok. 20MB przy normalnym zachowaniu) Pozostałe mieszczą się w przedziale 0,4-5 MB. Korzystając z waszych rad wykonałem kilka logów, które wklejam poniżej.

I. Combofix

II log gmer

Jak tego rootkita rozpoznać :o


(Gutek) #5

Nie ma rootkitów. Optymalizacja XP: http://forum.dobreprogramy.pl/viewtopic.php?t=76580


(Henryk Pietrzak) #6

Czy w takim razie usuwać to co wcześniej doradziłeś:

i czy należy to robić w trybie awaryjnym czy w którymś z proramów antyrootkit-owych ?

A swoją drogą poprawiłeś mi ekstra humor. Wielkie DZIĘKI !!


(Gutek) #7

Tak miałeś to zrobić :slight_smile:


(Henryk Pietrzak) #8

Wpisy wyczyściłem w HijakckThis bo tak jest najłatwiej. Wyrzuciłem przy okazji jeszcze jeden

Dziwne bo w pierwszym skanie nie występuje. Wyszedł w poleceniu Gdybym to przewidział wkleiłbym go do sprawdzenia. Idąc za twoją sugestią rozumiem, że wszelkie wpisy bez plików należy usuwać jako zbędny balast. W najgorszym razie czeka mnie Pozdrawiam serdecznie.