Proces services.exe


(system) #1

Pojawił się problem z procesem services.exe. Zdarzyło mu się wczoraj parę razy zapchać procesor do 100%, a i poza tym czasem na system tray'u Avast informuje, że proces ten wysyła gdzieś jakąś pocztę. Gruntowny skan Avastem nic nie dał w tym temacie(choć jednego trojana znalazł).

Log z Hijacka:

http://wklejto.pl/36637

Mam nadzieję, że znajdzie się ktoś kompetentny w tej sprawie :).

Edit: czy to normalne, że chodzą na raz 3 svchost.exe z folderu system32 (zauważyłem w logu)?


(Henio Mazurek) #2

U jednej osoby widziałem ich koło 500, ale to była infekcja. 3 to norma, może być ich więcej w zależności jakie usługi są uruchomione.

Wklej log z OTL, gmer, mbr.exe (na stronie gmer'a)

http://oldtimer.geekstogo.com/OTL.exe

http://www.gmer.net/


(system) #3

OTL:

http://wklejto.pl/36648

gmer

http://wklejto.pl/36649

a mbr.exe się zamyka po uruchomieniu, nic nie generuje.


(Henio Mazurek) #4

Nie kazałem nic zmieniać w ustawieniach OTL.

mbr.exe na pewno wytworzył log, poszukaj, lub uruchom jeszcze raz. Działanie mbr.exe trwa około sekundy i od razu się zamyka.

W OTL wklej

Klikasz Run Fix, restart. Wklej nowy log z OTL, ale nie zmieniaj ustawień programu.

Widzę, że ComboFix był uruchamiany. Mógł coś usunąć, bo tutaj śmieci nie widać oprócz resztek po spyware.

Pobierz ComboFix na nowo. Zmień mu nazwę na losową, uruchom i wklej log. Na czas pobierania i uruchomienia wyłączasz antywirusa i zapory.

Była też infekcja z pendrive'a. Do zastosowania przy podłączonym pendrivie FlashDisinfector

http://www.searchengines.pl/index.php?s ... ntry369724


(system) #5

Rzeczywiście, przeoczyłem loga z mbr, moje niedopatrzenie:

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

OTL:

log po fixie:

http://wklejto.pl/36679

Po nowym scanie:

http://wklejto.pl/36680

ComboFixa próbowałem uruchomić przed założeniem tego tematu, żeby dać Wam lepsze info, niestety jakieś śmieci po usuniętym ponad 1,5 roku temu nortonie działają i mimo czyszczenia rejestru i usuwania wszystkiego powiązanego z nortonem (choc pewnie jako laik coś przeoczyłem) nadal ComboFix jest blokowany.

FlashDisinfector użyty.


(Henio Mazurek) #6

Co do mbr.exe to jest ok, ale wolałem się upewnić.

Wklej w OTL

Run Fix.

Nic więcej tutaj nie widać.

Wyłącz na chwilę przywracanie systemu.

Wykonaj dokładny skan Dr.WEB Cure It, jeśli coś znajdzie - lecz/usuń i wklej log.

http://dobreprogramy.pl/index.php?dz=2& ... 00.4.05282

Przeczyść rejestr CCleaner'em

http://dobreprogramy.pl/index.php?dz=2& ... +v2.19.901

Resztki po Nortonie usuń tym programem, potem nowy log z OTL, żeby go usunąć do końca

http://service1.symantec.com/SUPPORT/ts ... 3108162039


(system) #7

Log z Dra Weba po pełnym skanie i leczeniu wszystkiego, co wypluł:

http://wklejto.pl/36713

Rejestr przeczyszczony, Norton usunięty do końca.

Dziękuję za rady :D. Avast już nie daje sygnałów, że coś jest wysyłane, więc chyba już jest OK.


(Henio Mazurek) #8

Większość to pliki w kwarantannie OTL, usuniesz to klikając przycisk Clean up w OTL. I to chyba tyle.