Proces services.exe

system · 19 Czerwiec 2009 17:53

Pojawił się problem z procesem services.exe. Zdarzyło mu się wczoraj parę razy zapchać procesor do 100%, a i poza tym czasem na system tray’u Avast informuje, że proces ten wysyła gdzieś jakąś pocztę. Gruntowny skan Avastem nic nie dał w tym temacie(choć jednego trojana znalazł).

Log z Hijacka:

http://wklejto.pl/36637

Mam nadzieję, że znajdzie się ktoś kompetentny w tej sprawie :).

Edit: czy to normalne, że chodzą na raz 3 svchost.exe z folderu system32 (zauważyłem w logu)?

ciemnowidz · 19 Czerwiec 2009 18:25

U jednej osoby widziałem ich koło 500, ale to była infekcja. 3 to norma, może być ich więcej w zależności jakie usługi są uruchomione.

Wklej log z OTL, gmer, mbr.exe (na stronie gmer’a)

http://oldtimer.geekstogo.com/OTL.exe

http://www.gmer.net/

system · 19 Czerwiec 2009 19:57

OTL:

http://wklejto.pl/36648

gmer

http://wklejto.pl/36649

a mbr.exe się zamyka po uruchomieniu, nic nie generuje.

ciemnowidz · 20 Czerwiec 2009 06:04

Nie kazałem nic zmieniać w ustawieniach OTL.

mbr.exe na pewno wytworzył log, poszukaj, lub uruchom jeszcze raz. Działanie mbr.exe trwa około sekundy i od razu się zamyka.

W OTL wklej

:OTL PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) O4 - HKLM…\Run: [NDSTray.exe] NDSTray.exe File not found O4 - HKLM…\Run: [TFncKy] TFncKy.exe File not found O4 - HKCU…\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] “C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe” File not found O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredi … p=ZRfox000 File not found O8 - Extra context menu item: Open with WordPerfect - C:\Program Files\WordPerfect Office X3\Programs\WPLauncher.hta File not found O33 - MountPoints2{3b0f8f9e-cea7-11dd-980d-00a0d13d721c}\Shell - “” = AutoRun O33 - MountPoints2{3b0f8f9e-cea7-11dd-980d-00a0d13d721c}\Shell\AutoRun\command - “” = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn O33 - MountPoints2{9fcbf28a-3354-11de-98c8-00a0d13d721c}\Shell\AutoRun\command - “” = H:\RECYCLER32\dmgr.exe – File not found O33 - MountPoints2{9fcbf28a-3354-11de-98c8-00a0d13d721c}\Shell\open\command - “” = H:\RECYCLER32\dmgr.exe – File not found O33 - MountPoints2{af4a847c-51ee-11de-9904-00a0d13d721c}\Shell\AutoRun\command - “” = H:\RECYCLER32\dmgr.exe – File not found O33 - MountPoints2{af4a847c-51ee-11de-9904-00a0d13d721c}\Shell\open\command - “” = H:\RECYCLER32\dmgr.exe – File not found FF - prefs.js…browser.search.selectedEngine: “MyWebSearch” :Files C:\WINDOWS\System32\CF26772.exe C:\ComboFix C:\WINDOWS\System32\CF25306.exe C:\WINDOWS\System32\CF24359.exe C:\WINDOWS\System32\CF15589.exe C:\WINDOWS\System32\CF29309.exe C:\WINDOWS\System32\CF24714.exe C:\WINDOWS\System32\CF23859.exe C:\WINDOWS\System32\CF23199.exe C:\WINDOWS\ERDNT C:\WINDOWS\System32\CF21246.exe C:\Qoobox C:\WINDOWS\System32\AA0402 C:\WINDOWS\System32\A70B4D C:\WINDOWS\System32\2642CF C:\WINDOWS\System32\137C3A :Commands [emptytemp] [start explorer] [Reboot]

Klikasz Run Fix, restart. Wklej nowy log z OTL, ale nie zmieniaj ustawień programu.

Widzę, że ComboFix był uruchamiany. Mógł coś usunąć, bo tutaj śmieci nie widać oprócz resztek po spyware.

Pobierz ComboFix na nowo. Zmień mu nazwę na losową, uruchom i wklej log. Na czas pobierania i uruchomienia wyłączasz antywirusa i zapory.

Była też infekcja z pendrive’a. Do zastosowania przy podłączonym pendrivie FlashDisinfector

http://www.searchengines.pl/index.php?s … ntry369724

system · 20 Czerwiec 2009 10:16

Rzeczywiście, przeoczyłem loga z mbr, moje niedopatrzenie:

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

OTL:

log po fixie:

http://wklejto.pl/36679

Po nowym scanie:

http://wklejto.pl/36680

ComboFixa próbowałem uruchomić przed założeniem tego tematu, żeby dać Wam lepsze info, niestety jakieś śmieci po usuniętym ponad 1,5 roku temu nortonie działają i mimo czyszczenia rejestru i usuwania wszystkiego powiązanego z nortonem (choc pewnie jako laik coś przeoczyłem) nadal ComboFix jest blokowany.

FlashDisinfector użyty.

ciemnowidz · 20 Czerwiec 2009 10:52

Co do mbr.exe to jest ok, ale wolałem się upewnić.

Wklej w OTL

:OTL PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) FF - prefs.js…keyword.URL: “http://www.mywebsearch.com/jsp/cfg_redir2.jsp?id=ZRfox000&fl=0&ptb=567rgpRE25EJjfywVD7yew&url=http://search.mywebsearch.com/mywebsearch/dft_redir.jhtml&st=kwd&searchfor=” C:\Documents and Settings\Bartosh\Dane aplikacji\Mozilla\FireFox\Profiles\5oz91ntu.default\searchplugins\mywebsearch.xml O3 - HKCU…\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - Reg Error: Key error. File not found O3 - HKCU…\Toolbar\WebBrowser: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL (MyWebSearch.com) O3 - HKCU…\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - Reg Error: Key error. File not found :Files C:\Program Files\MyWebSearch :Commands [emptytemp] [start explorer] [Reboot]

Run Fix.

Nic więcej tutaj nie widać.

Wyłącz na chwilę przywracanie systemu.

Wykonaj dokładny skan Dr.WEB Cure It, jeśli coś znajdzie - lecz/usuń i wklej log.

http://dobreprogramy.pl/index.php?dz=2& … 00.4.05282

Przeczyść rejestr CCleaner’em

http://dobreprogramy.pl/index.php?dz=2& … +v2.19.901

Resztki po Nortonie usuń tym programem, potem nowy log z OTL, żeby go usunąć do końca

http://service1.symantec.com/SUPPORT/ts … 3108162039

system · 20 Czerwiec 2009 14:52

Log z Dra Weba po pełnym skanie i leczeniu wszystkiego, co wypluł:

http://wklejto.pl/36713

Rejestr przeczyszczony, Norton usunięty do końca.

Dziękuję za rady :D. Avast już nie daje sygnałów, że coś jest wysyłane, więc chyba już jest OK.

ciemnowidz · 20 Czerwiec 2009 14:59

Większość to pliki w kwarantannie OTL, usuniesz to klikając przycisk Clean up w OTL. I to chyba tyle.