Svchost.exe

adamssx · 2 Kwiecień 2011 00:33

Witam

Dzisiaj napotkałem się z następującym problemem, podczas sciągania av mi zasygnalizował wirusa, ale go nie wykasował.Chwilę później zauważyłem że mi strasznie muli komputer i otworzyłem menager zadań a tam było 500 procesów svchost.exeTeraz jestem zalogowany na tym komputerze gdzie takie rzeczy się dzieją, ale na innym koncie, dokładnie brata, u niego jest wszystko ok, ale jak się zaloguje na moje to jest ten problem z namnażającymi się procesami oraz z kontem gość i nowo utworzonymi.

Mój av to ESET

System: Win XP Professional SP3

Próbowałem skanować online scanerem (ESET), ale po 1h skanowania komputer mi się zrestartował.

Takie rzeczy mi za ten czas wyskanowało:

-a variant of MSIL/TrojanDropper/Agent.BR.trojan

-Eicar test file

Ale przed tem próbowałem w trybie awaryjnym i tam wyskoczyło mi:

-Injector.FE

-C:\Windows\system32\WinDir\Svchost.exe

Oto takie rzeczy.

Bardzo bym prosił o jakąkolwiek pomoc, właśnie teraz mam zamiar skanować jakimiś skanerami, a potem może bootowanie z płyty.

Acorus · 2 Kwiecień 2011 07:19

otl-gmer-rsit-dss-inne-instrukcje-t370405.html

adamssx · 2 Kwiecień 2011 08:49

Na noc zostawiłem skanowanie po przez Virus Removal Tool z Kaspersky

Oto skan: http://wklej.to/anUox

Teraz mi skanuje przez OTL, zaraz dam raporty.

OTL: http://wklej.to/xJQ6X

– Dodane 02.04.2011 (So) 11:07 –

RSIT:

Info: http://wklej.to/JRiAu

Log: http://wklej.to/234iL

– Dodane 02.04.2011 (So) 14:13 –

W końcu użyłem ComboFix’a (wiem, że wolno tylko jak ktoś napisze mi że mam go użyć), ale w 50% combo zawsze mi pomagał, teraz też mi pomógł, oto raport:

http://wklej.to/B7FgJ

A to chyba o to chodziło: c:\windows\system32\windir

c:\windows\system32\WinDir\Svchost.exe

Lecz nie wiem czy ten syf został usunięty trwale, bardzo bym prosił o jaszcze jakieś porady.

– Dodane 02.04.2011 (So) 18:39 –

Właśnie skanuję kompa Eset online skanerem i mi wykrył to:

odmiana wirusa MSIL/Injector.FE koń trojański

Nie wiem co robić z tym.

Acorus · 2 Kwiecień 2011 16:49

Pokaż nowe logi z OTL.

adamssx · 2 Kwiecień 2011 16:55

Zaraz wrzucę log, ale dodam, że teraz mi skanuje ten skaner kompa i znalazł już 6 takich wpisów.

– Dodane 02.04.2011 (So) 18:58 –

kolejny wpis (7) - odmiana wirusa Win32/TrojanDownloader.Agent.QIY koń trojański

– Dodane 02.04.2011 (So) 19:07 –

Log z OTL: http://wklej.to/iOzg5

Acorus · 2 Kwiecień 2011 17:25

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL IE - HKLM…\URLSearchHook: - Reg Error: Key error. File not found IE - HKLM…\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - Reg Error: Key error. File not found IE - HKU.DEFAULT…\URLSearchHook: - Reg Error: Key error. File not found IE - HKU.DEFAULT…\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - Reg Error: Key error. File not found IE - HKU\S-1-5-18…\URLSearchHook: - Reg Error: Key error. File not found IE - HKU\S-1-5-18…\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - Reg Error: Key error. File not found IE - HKU\S-1-5-21-839522115-573735546-1417001333-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ IE - HKU\S-1-5-21-839522115-573735546-1417001333-1004…\URLSearchHook: - Reg Error: Key error. File not found FF - prefs.js…browser.search.defaultenginename: “ICQ Search” FF - prefs.js…browser.search.defaultthis.engineName: “Search” FF - prefs.js…browser.search.defaulturl: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}” FF - prefs.js…browser.search.selectedEngine: “search” FF - prefs.js…extensions.enabledItems: engine@conduit.com:3.3.3.2 [2010-06-19 17:16:03 | 000,000,873 | ---- | M] () – C:\Documents and Settings\AdamS\Dane aplikacji\Mozilla\Firefox\Profiles\34pd7r4w.default\searchplugins\conduit.xml [2011-04-02 15:43:56 | 000,000,944 | ---- | M] () – C:\Documents and Settings\AdamS\Dane aplikacji\Mozilla\Firefox\Profiles\34pd7r4w.default\searchplugins\icqplugin.xml [2011-03-31 08:47:11 | 000,005,035 | ---- | M] () – C:\Documents and Settings\AdamS\Dane aplikacji\Mozilla\Firefox\Profiles\34pd7r4w.default\searchplugins\search.xml O2 - BHO: (IDMIEHlprObj Class) - {0055C089-8582-441B-A0BF-17B458C2A3A8} - File not found MsConfig - StartUpReg: ctfmon.exe - hkey= - key= - File not found MsConfig - StartUpReg: PinnacleDriverCheck - hkey= - key= - File not found MsConfig - StartUpReg: Windows Defender - hkey= - key= - File not found :Commands [emptytemp] [resethosts]

Kliknij Wykonaj skrypt…Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

Odinstaluj Spybota.

adamssx · 2 Kwiecień 2011 17:35

Raport z usuwania: http://wklej.to/nicjv

Zaraz wkleję nowy z OTL:

– Dodane 02.04.2011 (So) 19:42 –

Nowy: http://wklej.to/rvzWW

Acorus · 2 Kwiecień 2011 17:48

W porządku.W OTL użyj opcji Sprzątanie.Przeskanuj progr.Malwarebytes Anti-Malware.

adamssx · 2 Kwiecień 2011 17:50

Odpaliłem sprzątnie, a potem to ten Malwarebytes Anti-Malware. normalnie av przeskanować czy jak ? Bo z tego co ja wiem to ja na kompie tego nie posiadam, chyba że coś nie wiem.

Acorus · 2 Kwiecień 2011 18:05

Pobierz ten program i przeskanuj .

adamssx · 2 Kwiecień 2011 18:05

To teraz walnę online skana i zobaczymy co pokaże.Jak będzie jakiś syf to się odezwę.

Acorus · 2 Kwiecień 2011 18:13

Nie chodzi o skan online.Masz przeskanować tym konkretnym programem.

adamssx · 2 Kwiecień 2011 18:35

Właśnie to robię i póki co znalazło 1 infekcję, ale nie pokazuje jej nazwy itd.

– Dodane 02.04.2011 (So) 21:24 –

Oto log: http://wklej.to/XBMR1

Acorus · 3 Kwiecień 2011 07:34

Wszystko usunięte.Powinno być dobrze.

adamssx · 3 Kwiecień 2011 09:58

Skanowałem jeszcze tym skanerem online i już nic nie ma, wielkie dzięki mistrzu