Svchost.exe błąd aplikacji; programy się nie otwierają


(detri) #1

Problem przedstawia się następująco. Co około 30 sekund wyskakuje mi błąd aplikacji svchost.exe W internecie wyczytałem że to wirus niestety ale usunięcie go nie przyniosło żadnej zmiany. Do tego przy kursorze widnieje klepsydra a gdy otwieram program pojawia się on w procesach ale nie otwiera się.

Log z HijackThis: http://www.wklejto.pl/56867

Proszę o jakąś pomoc


(deFco247) #2

Jest tutaj kilka infekcji, lecz HijackThis to za mało...

Pokaż logi z narzędzi:

:arrow: OTL

Przestawiasz w nim Processes i Modules na All oraz wklejasz w dolne białe okienko Custom Scans/Fixes :

Klikasz Run Scan.

:arrow: System Repair Engineer


(detri) #3

Dwa logi mi wyskoczyły:

http://www.wklejto.pl/56892

http://www.wklejto.pl/56893


(deFco247) #4

Będzie ciężko... Tyle infekcji to ja widuję w ciągu całego tygodnia, ale na kilkunastu komputerach... :shock:

Uruchom system w trybie awaryjnym.

Pobierz Combofix, ale nie uruchamiaj.

Przed uruchomieniem odinstaluj wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle.

Otwórz Notatnik i wklej do niego bez frazy Code:

File::

C:\ecjew.exe

C:\WINDOWS\updated7.exe

C:\WINDOWS\system32\app_dll.dll

C:\WINDOWS\system32\cwmrq.dll

C:\WINDOWS\system32\drivers\KGootkit.sys

C:\WINDOWS\system\winsma32.exe

C:\WINDOWS\System32\drivers\yhcnky.sys

C:\WINDOWS\tasks\At23.job

C:\WINDOWS\tasks\At22.job

C:\lsass.exe

C:\WINDOWS\MEMORY.DMP

C:\WINDOWS\tasks\At9.job

C:\WINDOWS\tasks\At8.job

C:\WINDOWS\tasks\At7.job

C:\WINDOWS\tasks\At6.job

C:\WINDOWS\tasks\At5.job

C:\WINDOWS\tasks\At4.job

C:\WINDOWS\tasks\At3.job

C:\WINDOWS\tasks\At24.job

C:\WINDOWS\tasks\At21.job

C:\WINDOWS\tasks\At20.job

C:\WINDOWS\tasks\At2.job

C:\WINDOWS\tasks\At19.job

C:\WINDOWS\tasks\At18.job

C:\WINDOWS\tasks\At17.job

C:\WINDOWS\tasks\At16.job

C:\WINDOWS\tasks\At15.job

C:\WINDOWS\tasks\At14.job

C:\WINDOWS\tasks\At13.job

C:\WINDOWS\tasks\At12.job

C:\WINDOWS\tasks\At11.job

C:\WINDOWS\tasks\At10.job

C:\WINDOWS\tasks\At1.job

C:\WINDOWS\System32\driversx.exe

C:\rkfo.exe

C:\Documents and Settings\Ekri\oashdihasidhasuidhiasdhiashdiuasdhasd

C:\WINDOWS\System32\imPlayok.exe

C:\Documents and Settings\Ekri\imPlayok.exe

C:\abuhg.exe

C:\WINDOWS\System\winsma32.exe

C:\brhpxf.exe

C:\uipcafn.exe

C:\lhnttkix.exe

C:\xksbjacq.exe

C:\ainu.exe

C:\nkorf.exe

C:\tpywb.exe

C:\rhgnlg.exe

C:\ecjew .exe

C:\Documents and Settings\Ekri\rthdcpl.exe

C:\Documents and Settings\Ekri\rundll32.exe

C:\Documents and Settings\Ekri\nwiz.exe

C:\Documents and Settings\Ekri\rundll32 .exe

C:\WINDOWS\tbpanel.exe

C:\WINDOWS\System32\xraidsetup.exe

C:\WINDOWS\msa.exe


Folder::

C:\WINDOWS\Temp

C:\RECYCLER


Driver::

sxlndv

KGootkit

yhcnky


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Taskman"=-

"Shell"="Explorer.EXE"

"UserInit"="C:\WINDOWS\system32\userinit.exe,"

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"=-

Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe

Powinno się rozpocząć usuwanie.

_ Potem dajesz log z usuwania Combofix. _


(detri) #5

Oto log wygenerowany przez combofix: http://www.wklejto.pl/56956


(deFco247) #6

Miałeś:

Nie zrobiłeś tego i teraz mam w logu niejednoznaczne informacje. Nie wiem, czy masz kolejnego rootkita, czy nie.

Koniecznie usuń wszystko co związane z Daemon Toolsem i usuń sterownik SPTD.

Otwórz Notatnik i wklej do niego:

Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe

Powinno się rozpocząć usuwanie.

_ Potem dajesz log z usuwania Combofix. _


(detri) #7

Nie mogę odinstalować Demon Tools Lite i nie wiem co zrobić.


(deFco247) #8

No to zastosuj Defogger, a następnie wykonaj powyższy skrypt Combofixa.


(detri) #9

Taki log wygenerował combofix: http://www.wklejto.pl/57115


(deFco247) #10

Na kasację pójdą niektóre programy niestety...

Otwórz Notatnik i wklej do niego bez frazy Code:

File::

c:\program files\Adobe\Reader 9.0\Reader\reader_sl .exe

c:\program files\Common Files\Ahead\Lib\nerocheck .exe

c:\program files\Common Files\Ahead\Lib\nmbgmonitor .exe

c:\program files\Common Files\LightScribe\lightscribecontrolpanel .exe

c:\program files\Common Files\Real\Update_OB\realsched .exe

c:\program files\DAEMON Tools Lite\daemon .exe

c:\program files\GIGABYTE\GEST\run .exe

c:\program files\HP\HP Software Update\hpwuschd2 .exe

c:\program files\Java\jre6\bin\jusched .exe

c:\program files\Nokia\Nokia PC Suite 7\pcsuite .exe

c:\program files\Nowe Gadu-Gadu\gg .exe

c:\program files\Steam\steam .exe

c:\windows\RaidTool\xinside .exe


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Adobe_Reader"=-

Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe

Powinno się rozpocząć usuwanie.

_ Potem dajesz log z usuwania Combofix. _


(detri) #11

Kolejny log: http://www.wklejto.pl/57212


(deFco247) #12

W logu już nie widać niczego po Vundo.

Uruchom OTL i kliknij w nim CleanUp.

Wyłącz i włącz Przywracanie Systemu na wszystkich dyskach. Instrukcja XP.

Wykonaj pełny skan Dr.Web CureIt.

Gdy będą wirusy, pokaż raport.

Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).

No i zaktualizuj system do stanu Service Pack 3.

Reinstalacja niedziałających/uszkodzonych programów również do wykonania.


(detri) #13

Taki raport otrzymałem ze skanowania http://www.wklejto.pl/57295


(deFco247) #14

Skala infekcji była duża i do tego nie Vundo.

W każdym razie obiekty zostały wyleczone/usunięte i powinno być czysto.


(detri) #15

Dzięki wielkie za pomoc :smiley:

Pozdrawiam :slight_smile: