Wirus w plikach temp\svchost.exe i windowsWOW64\svchost.exe

tricxs · 4 Listopad 2013 09:02

Witam,

W loklizacji ; windows\temp\svchost.exe i windowsWOW64\svchost.exe znajduje się ten plik. Jest to na pewno jakieś ustrojstwo, tylko zwracam się do was z prośbą zdezynfekowania tego badziewia. Włącza się na początku uruchamiania i “przepala” kartę graficzną temperatura dochodzi to 90 C. Sprawę rozwiązuję wyłączając proces svchost 32* i wszystko jest w porządku, ale jak siostra wejdzie pod moją nieobecność to nie wie jak to wyłączyć itd. i komputer się dusi. Proszę o pomoc.

Dziękuję i pozdrawiam.

OTL - http://www.wklejto.pl/txt180126

Ekstras - http://www.wklejto.pl/txt180126

Atis · 4 Listopad 2013 09:05

W jakim celu wkleiłeś dwa razy ten sam log Extras?

tricxs · 4 Listopad 2013 09:44

a przepraszam widocznie pomyliłem linki ;p

OTL - http://wklejto.pl/txt180133

Atis · 4 Listopad 2013 09:50

Odinstaluj SpyHunter.

Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL IE - HKCU…\SearchScopes{63ABFEC8-5C68-409C-804D-0475A74564CC}: “URL” = http://websearch.ask.com/redirect?clien … &src=kw&q={searchTerms}&locale=&apn_ptnrs=FV&apn_dtid=YYYYYYYYNL&apn_uid=4d5267f1-e668-43c3-9585-6f086748e728&apn_sauid=3E9406D6-C5CA-4F0F-A8DA-FB1F9E725DC8 O2:64bit: - BHO: (TinyBHO Class) - {00e71626-0bef-11dc-8314-0864264c9a64} - C:\Users\Kamil\AppData\Roaming\DownloaderGold\ieplug.dll () O2 - BHO: (TinyBHO Class) - {00e71626-0bef-11dc-8314-0800200c9a66} - C:\Users\Kamil\AppData\Roaming\DownloaderGold\ieplug.dll () O3:64bit: - HKLM…\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKCU…\Run: [instalki.pl] C:\Users\Kamil\AppData\Roaming\52A88F\52A88F.exe (Microsoft Corporation) [2013-11-02 20:11:13 | 000,000,000 | —D | C] – C:\Users\Kamil\Doctor Web [2013-10-21 18:57:10 | 000,000,000 | —D | C] – C:\Users\Kamil\AppData\Local_ :Files C:\Users\Kamil\AppData\Roaming\52A88F :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

tricxs · 4 Listopad 2013 19:40

OTL - http://wklejto.pl/txt180224

Po skrypcie - http://www.wklejto.pl/txt180225

Adwcleaner - http://www.wklejto.pl/txt180227

I niestety ten svchost *32 nadal się włącza…

Atis · 6 Listopad 2013 08:30

Nie widać infekcji. W jakiej lokalizacji znajduje się ten plik.

Pobierz Farbar Recovery Scan Tool 64-Bit Version

Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.

tricxs · 6 Listopad 2013 17:08

http://wklejto.pl/txt180505 - Addition

http://www.wklejto.pl/txt180507 - FRST

A i ten skan wykonywałem przy wyłączonym procesie z: temp\svchost ,jeżeli ma to jakieś znaczenie.

Atis · 6 Listopad 2013 17:36

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CHR HKLM-x32\...\Chrome\Extension: [bildoibdboopgomcbiplincneeicgipj] - C:\Program Files (x86)\StartSearch plugin\startsplg.crx

Task: {0DF1DBA5-4F31-476F-A573-0DDC5ED63DA3} - System32\Tasks\DLL-files.com Fixer_UPDATES => C:\Program Files (x86)\Dll-Files.com

Task: {155CAA50-59FE-4F98-A05B-955AA95C2193} - System32\Tasks\RDReminder => C:\Program Files (x86)\Dll-Files.com

Task: {27C7D9C5-90B8-4764-A105-AE7203217CDF} - System32\Tasks\DLL-files.com Fixer => C:\Program Files (x86)\Dll-Files.com

Task: {2BC69933-7D25-4808-82A5-E2E18D857DCD} - System32\Tasks\{F20A643F-C8A1-4872-B3F4-DB66F7219D12} => G:\Program Files\1C\Theatre of War\tow.exe

Task: {2BED9A1C-B8DD-4E68-9A32-668F16F628E3} - System32\Tasks\Games\UpdateCheck_S-1-5-21-2078367638-1207540833-1770939249-1000

Task: {3A8FF549-7D50-4167-A01B-9907B8BB1DB4} - System32\Tasks\Origin => C:\Users\Kamil\AppData\Roaming\Origin\update.vbe [2013-10-03] ()

Origin\update.vbeTask: {4132B48D-AE1D-475D-9E22-12C0792BC84F} - System32\Tasks\Go for FilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe

Task: {56058EF0-2C42-4B09-859E-468F75476A6C} - System32\Tasks\{535392FB-70E5-4A97-A7C8-17793DC3F440} => Firefox.exe http://ui.skype.com/ui/0/6.7.0.102/pl/abandoninstall?source=lightinstaller&page=tsInstall

Task: {71672A6D-F80A-48B2-8706-39F40E983411} - System32\Tasks\{F6A20259-CA7D-495E-97BF-1FAF52C656EC} => Firefox.exe http://ui.skype.com/ui/0/5.10.0.115/pl/abandoninstall?source=lightinstaller&page=tsInstall

Task: {74609A16-8E28-406A-BA37-2C611F1CF3F3} - System32\Tasks\Norton Security Scan for Kamil => C:\Program Files (x86)\Norton Security Scan\Engine\4.0.1.16\Nss.exe [2013-05-07] (Symantec Corporation)

Task: {8215D328-E9EB-4371-81AA-F350CBDA6D5F} - System32\Tasks\One-Click Optimizer => G:\Program Files (x86)\APLIKACJE\Ashampoo\Ashampoo WinOptimizer 10\WO10.exe [2013-05-15] (Ashampoo Development GmbH & Co. KG)

Task: {DADA854F-6060-469B-B2B5-54392134C0EA} - \DSite No Task File

Task: {E661EE9F-F3D2-4A64-B407-F319E6916D7D} - \YourFile Update No Task File

Task: {F7A16FCD-87C1-48E6-8BB6-3518AABB57E1} - System32\Tasks\GoforFilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe

Task: C:\Windows\Tasks\DLL-files.com Fixer_UPDATES.job => C:\Program Files (x86)\Dll-Files.com Fixer\DLLFixer.exe

Task: C:\Windows\Tasks\Norton Security Scan for Kamil.job => C:\PROGRA~2\NORTON~2\Engine\401~1.16\Nss.exe

Task: C:\Windows\Tasks\One-Click Optimizer.job => G:\Program Files (x86)\APLIKACJE\Ashampoo\Ashampoo WinOptimizer 10\WO10.exe

U3 DfSdkS; 

S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [x]

S3 xhunter1; \??\C:\Windows\xhunter1.sys [x]

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

tricxs · 6 Listopad 2013 18:21

http://wklejto.pl/txt180525 - Fixlog

http://www.wklejto.pl/txt180528 - FRST

Atis · 6 Listopad 2013 18:52

Wszystko not found, a w logu to widać. Czy masz zainstalowany program Origin?

Pobierz i uruchom Autoruns

File -> Save… -> AutoRuns.arn

Plik AutoRuns.arn wyślij na http://sendfile.pl i podaj link

tricxs · 6 Listopad 2013 19:05

http://www.sendspace.pl/file/f3428da2445eae964a5e5e3

Atis · 6 Listopad 2013 19:09

Czy masz zainstalowany program Origin?

tricxs · 6 Listopad 2013 19:11

Tak

Atis · 6 Listopad 2013 19:20

Wklej do OTL i kliknij Wykonaj skrypt:

Uruchom Autoruns i na karcie Scheduled Tasks skasuj:

\CCleanerSkipUAC

\DLL-files.com Fixer

\DLL-files.com Fixer_UPDATES

\Game_Booster_AutoUpdate

\GoforFilesUpdate

\Norton Security Scan for Kamil

\One-Click Optimizer

\RDReminder

{535392FB-70E5-4A97-A7C8-17793DC3F440}

{F20A643F-C8A1-4872-B3F4-DB66F7219D12}

{F6A20259-CA7D-495E-97BF-1FAF52C656EC}

Kliknij prawym i wybierz Delete.

Na karcie Everything skasuj wszystkie wpisy File not found.

Zrestartuj komputer i napisz czy problem nadal występuje.

tricxs · 6 Listopad 2013 19:34

Sukces 8) wszystko elegancko, tylko odpalił się znowu jeszcze ten svchost.exe w WOW64, ale on nic nie muli. Nawet komputer się szybciej uruchomił niż zwykle. Dzięki koleś

Atis · 6 Listopad 2013 19:46

svchost to jest ważny plik systemowy z którego korzysta wiele usług systemowych.

W logu widać, że pliki mają prawidłową sumę kontrolną - MD5 is legit:

Szkodliwy plik w Temp musiał mieć związek z zaplanowanym zadaniem widocznym w FRST:

Uruchom OTL i do okna Własne opcje skanowania / skrypt wklej:

Kliknij Wykonaj skrypt i zatwierdź restart.

Uruchom OTL i kliknij Sprzątanie.

Usuń stare punkty przywracania:

Aby usunąć wszystkie punkty przywracania

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.

http://wstaw.org/m/2012/12/29/2012-12-29_005346.png