Wysysajacy svhost

shamblerek · 27 Sierpień 2007 07:37

Tak jak w temacie - strasznie cos żre svhost i nie tylko, ale net chodzi strasznie wolno, moze zlapalem znowu jakiegos syfa. Ostatnio usuwalem plemie vundo, ale moze tym razem znowu jest cos na neta nie wiem, prosze o sprawdzenie logow :< z gory dziekuje i odrazu mowie ze SIlentRUnner nie dziala.

Hijack

Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\ctfmon.exe D:\Program Files\DAEMON Tools\daemon.exe D:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE D:\WINDOWS\system32\nvsvc32.exe D:\WINDOWS\system32\svchost.exe D:\Program Files\SoftwareDoctor\ErrorDoctor\ErrorDoctor.exe C:\totalcmd\TOTALCMD.EXE D:\Documents and Settings\ShaM\Moje dokumenty\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM…\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU…\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [DAEMON Tools] “D:\Program Files\DAEMON Tools\daemon.exe” -lang 1033 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe

COmbofix

“ShaM” - 07-08-26 12:07:22 Dodatek Service Pack 2 ComboFix 07-01-21 - Running from: “D:\Documents and Settings\ShaM\Moje dokumenty” ((((((((((((((((((((((((((((((( Files Created from 2007-07-26 to 2007-08-26 )))))))))))))))))))))))))))))))))) 2007-08-25 11:08 2007-08-24 17:43 53,248 --a------ D:\WINDOWS\system32\ImageOle.dll 2007-08-24 17:42 2007-08-23 23:32 2,829 --a------ D:\WINDOWS\War3Unin.pif 2007-08-23 23:32 139,264 --a------ D:\WINDOWS\War3Unin.exe 2007-08-18 01:06 4,682 --a------ D:\WINDOWS\system32\npptNT2.sys 2007-08-17 10:13 2007-08-16 12:27 98,304 -ra------ D:\WINDOWS\system32\nvrsel.dll 2007-08-16 12:27 94,208 -ra------ D:\WINDOWS\system32\nvrspt.dll 2007-08-16 12:27 94,208 -ra------ D:\WINDOWS\system32\nvdmcpl.dll 2007-08-16 12:27 90,112 -ra------ D:\WINDOWS\system32\nvrstr.dll 2007-08-16 12:27 90,112 -ra------ D:\WINDOWS\system32\nvrssl.dll 2007-08-16 12:27 90,112 -ra------ D:\WINDOWS\system32\nvrssk.dll 2007-08-16 12:27 90,112 -ra------ D:\WINDOWS\system32\nvrspl.dll 2007-08-16 12:27 90,112 -ra------ D:\WINDOWS\system32\nvrshu.dll 2007-08-16 12:27 86,016 -ra------ D:\WINDOWS\system32\nvrsja.dll 2007-08-16 12:27 81,920 -ra------ D:\WINDOWS\system32\nvrsko.dll 2007-08-16 12:27 81,920 -ra------ D:\WINDOWS\system32\nvrshe.dll 2007-08-16 12:27 73,728 -ra------ D:\WINDOWS\system32\nvrszht.dll 2007-08-16 12:27 61,440 -ra------ D:\WINDOWS\system32\nvrszhc.dll 2007-08-16 12:27 114,688 -ra------ D:\WINDOWS\system32\nvrsptb.dll 2007-08-16 12:27 114,688 -ra------ D:\WINDOWS\system32\nvrsnl.dll 2007-08-16 12:27 114,688 -ra------ D:\WINDOWS\system32\nvrsit.dll 2007-08-16 12:27 114,688 -ra------ D:\WINDOWS\system32\nvrsfr.dll 2007-08-16 12:27 114,688 -ra------ D:\WINDOWS\system32\nvrses.dll 2007-08-16 12:27 110,592 -ra------ D:\WINDOWS\system32\nvrsru.dll 2007-08-16 12:27 110,592 -ra------ D:\WINDOWS\system32\nvrsde.dll 2007-08-16 12:27 110,592 -ra------ D:\WINDOWS\system32\nvqtwk.dll 2007-08-16 12:27 106,496 -ra------ D:\WINDOWS\system32\nvrssv.dll 2007-08-16 12:27 106,496 -ra------ D:\WINDOWS\system32\nvrsno.dll 2007-08-16 12:27 106,496 -ra------ D:\WINDOWS\system32\nvrsfi.dll 2007-08-16 12:27 106,496 -ra------ D:\WINDOWS\system32\nvrseng.dll 2007-08-16 12:27 106,496 -ra------ D:\WINDOWS\system32\nvrsda.dll 2007-08-16 12:27 106,496 -ra------ D:\WINDOWS\system32\nvrscs.dll 2007-08-16 12:27 102,400 -ra------ D:\WINDOWS\system32\nvrsar.dll 2007-08-16 12:27 102,400 -ra------ D:\WINDOWS\system32\nvdesk32.dll 2007-08-08 18:13 2007-08-08 10:30 2007-08-08 10:30 2007-08-08 10:02 2007-08-08 09:31 25,664 --a------ D:\WINDOWS\system32\Ui3v63do.exe 2007-08-06 23:44 80 --a------ D:\WINDOWS\gmer_uninstall.cmd 2007-08-06 23:37 464 --a------ D:\WINDOWS\system32\tmp.reg 2007-08-06 22:21 23 --ahs---- D:\WINDOWS\system32\adafaecafa_r.dll 2007-08-06 22:21 2007-08-05 21:43 2007-08-05 21:42 2007-08-05 21:41 2007-08-05 21:26 2007-08-05 20:58 2007-07-28 23:17 (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-08-24 17:43 -------- d–h----- D:\Program Files\installshield installation information 2007-08-08 18:20 -------- d—s---- D:\DOCUME~1\ShaM\Dane aplikacji\microsoft 2007-07-20 12:48 -------- d-------- D:\Program Files\alwil software 2007-07-18 20:34 -------- d-------- D:\Program Files\bitcomet 2007-07-14 06:45 -------- d-------- D:\DOCUME~1\ShaM\Dane aplikacji\zoo digital publishing 2007-07-13 22:00 -------- d-------- D:\Program Files\Common Files\adobe 2007-07-13 22:00 -------- d-------- D:\DOCUME~1\ShaM\Dane aplikacji\adobe 2007-07-12 13:33 -------- d-------- D:\Program Files\real alternative 2007-07-12 13:33 -------- d-------- D:\Program Files\media player classic 2007-07-12 13:32 -------- d-------- D:\DOCUME~1\ShaM\Dane aplikacji\real 2007-07-09 17:03 -------- d-------- D:\DOCUME~1\ShaM\Dane aplikacji\secondlife 2007-07-09 16:38 -------- d-------- D:\DOCUME~1\ShaM\Dane aplikacji\mozilla 2007-07-07 11:47 -------- d-------- D:\Program Files\softwaredoctor 2007-06-28 18:54 180224 --a------ D:\WINDOWS\system32\xvidvfw.dll 2007-06-28 18:52 765952 --a------ D:\WINDOWS\system32\xvidcore.dll 2007-06-27 17:03 -------- d-------- D:\Program Files\sagem (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] “CTFMON.EXE”=“D:\WINDOWS\system32\ctfmon.exe” “DAEMON Tools”="“D:\Program Files\DAEMON Tools\daemon.exe” -lang 1033" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] “NeroCheck”=“D:\WINDOWS\system32\NeroCheck.exe” “NvCplDaemon”=“RUNDLL32.EXE NvQTwk,NvCplDaemon initialize” “KernelFaultCheck”=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\ 65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\D:^Documents and Settings^ShaM^Menu Start^Programy^Autostart^UniSpiker-2.6.lnk] “path”=“D:\Documents and Settings\ShaM\Menu Start\Programy\Autostart\UniSpiker-2.6.lnk” “backup”=“D:\WINDOWS\pss\UniSpiker-2.6.lnkStartup” “location”=“Startup” “command”=“D:\PROGRA~1\ivo\UNISPI~1.6\UNI_SP~1.EXE " “item”=“UniSpiker-2.6” [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Komunikator] “key”=“SOFTWARE\Microsoft\Windows\CurrentVersion\Run” “item”=“tlen” “hkey”=“HKCU” “command”=“D:\Program Files\Tlen.pl\tlen.exe” “inimapping”=“0” [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load] “key”=“SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows” “item”=“watch” “hkey”=“HKCU” “command”=“D:\YDPDict\watch.exe” “inimapping”=“1” [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SystemOptimizer] “key”=“SOFTWARE\Microsoft\Windows\CurrentVersion\Run” “item”=“jhkmsskl” “hkey”=“HKLM” “inimapping”=“0” [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] “wuauserv”=dword:00000002 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] “{B6C43182-63AE-4F13-9980-714EB0A6CB3F}”=”" [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] “SecurityProviders”=“msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll” [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] HTTPFilter REG_MULTI_SZ HTTPFilter\0\0 LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 Contents of the ‘Scheduled Tasks’ folder D:\WINDOWS\tasks\At1.job D:\WINDOWS\tasks\At10.job D:\WINDOWS\tasks\At11.job D:\WINDOWS\tasks\At12.job D:\WINDOWS\tasks\At13.job D:\WINDOWS\tasks\At14.job D:\WINDOWS\tasks\At15.job D:\WINDOWS\tasks\At16.job D:\WINDOWS\tasks\At17.job D:\WINDOWS\tasks\At18.job D:\WINDOWS\tasks\At19.job D:\WINDOWS\tasks\At2.job D:\WINDOWS\tasks\At20.job D:\WINDOWS\tasks\At21.job D:\WINDOWS\tasks\At22.job D:\WINDOWS\tasks\At23.job D:\WINDOWS\tasks\At24.job D:\WINDOWS\tasks\At3.job D:\WINDOWS\tasks\At4.job D:\WINDOWS\tasks\At5.job D:\WINDOWS\tasks\At6.job D:\WINDOWS\tasks\At7.job D:\WINDOWS\tasks\At8.job D:\WINDOWS\tasks\At9.job Completion time: 07-08-26 12:11:07

jessica · 27 Sierpień 2007 08:48

Log z Hijacka wygląda na czysty, natomiast w logu ComboFixa jest klika podejrzanych rzeczy.

Ten plik jest nieznany, więc sprawdź go na http://virusscan.jotti.org/

Opis, jak korzystać z JOTTI --> http://otfans.pl/forums/showthread.php?tid=552

albo na http://www.virustotal.com/en/indexf.html

(korzysta się podobnie jak z JOTTI).

Czy to jest “AgentSpyware”? Jeśli tak, to jest to fałszywy program, który tylko udaje ochronę, a tak naprawdę, to szkodzi komputerowi:

http://www.symantec.com/de/de/security_response/writeup.jsp?docid=2006-042414-1122-99&tabid=2

oraz http://www.spywarewarrior.com/rogue_anti-spyware.htm

Masz GMER, więc:

>>>zakładka CMD >>zaznacz: REGEDIT >>w górne czarne pole wklej:

Windows Registry Editor Version 5.00


[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SystemOptimizer]


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] 

"{B6C43182-63AE-4F13-9980-714EB0A6CB3F}"=-

Kliknij z prawej na “Uruchom”.

Potem znów >>GMER>>CMD>>tym razem zaznacz CMD >>w górne czarne pole wklej:

gmer -del file D:\WINDOWS\tasks\At1.job gmer -del file D:\WINDOWS\tasks\At10.job gmer -del file D:\WINDOWS\tasks\At11.job gmer -del file D:\WINDOWS\tasks\At12.job gmer -del file D:\WINDOWS\tasks\At13.job gmer -del file D:\WINDOWS\tasks\At14.job gmer -del file D:\WINDOWS\tasks\At15.job gmer -del file D:\WINDOWS\tasks\At16.job gmer -del file D:\WINDOWS\tasks\At17.job gmer -del file D:\WINDOWS\tasks\At18.job gmer -del file D:\WINDOWS\tasks\At19.job gmer -del file D:\WINDOWS\tasks\At2.job gmer -del file D:\WINDOWS\tasks\At20.job gmer -del file D:\WINDOWS\tasks\At21.job gmer -del file D:\WINDOWS\tasks\At22.job gmer -del file D:\WINDOWS\tasks\At23.job gmer -del file D:\WINDOWS\tasks\At24.job gmer -del file D:\WINDOWS\tasks\At3.job gmer -del file D:\WINDOWS\tasks\At4.job gmer -del file D:\WINDOWS\tasks\At5.job gmer -del file D:\WINDOWS\tasks\At6.job gmer -del file D:\WINDOWS\tasks\At7.job gmer -del file D:\WINDOWS\tasks\At8.job gmer -del file D:\WINDOWS\tasks\At9.job gmer -reboot

Kliknij “Uruchom” z prawej. Komputer powinien się samoczynnie wyłączyć i włączyć.

Potem możesz jeszcze, na wszelki wypadek, użyć SDFix

Można go używać tylko w Trybie Awaryjnym!

Potem daj tu raport SDFix znajdujący się w jego folderze, log z ComboFixa oraz odpowiedzi na moje pytania z początku postu.

jessi

shamblerek · 27 Sierpień 2007 10:08

SPiesze odpowiedziec! Na poczatek jeszcze jednak dziekuje ponownie za pomoc Jessi

Trafione w dziesiątke! Plik rzeczywiscie byl zarazony, usunalem go KillBoxem (dobrze ?:P)

To sam zainstalowalem, ale zawsze znajduje jakis blad…w razie czego usunalem ^^’

Reszte zrobilem wg polecen i o to log z SDFix

SDFix: Version 1.100 Run by ShaM on 2007-08-27 at 11:44 Microsoft Windows XP [Wersja 5.1.2600] Running From: D:\SDFix Safe Mode: Checking Services: Name: DomainService ImagePath: D:\WINDOWS\system32\qwerty12.exe /service DomainService - Deleted Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting… Normal Mode: Checking Files: Trojan Files Found: D:\WINDOWS\wr.txt - Deleted Removing Temp Files… ADS Check: D:\WINDOWS No streams found. D:\WINDOWS\system32 No streams found. D:\WINDOWS\system32\svchost.exe No streams found. D:\WINDOWS\system32\ntoskrnl.exe No streams found. Final Check: Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] “%windir%\system32\sessmgr.exe”="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" “D:\Program Files\BitComet\BitComet.exe”=“D:\Program Files\BitComet\BitComet.exe:*:Enabled:BitComet - a BitTorrent Client” “D:\Documents and Settings\ShaM\Pulpit\mirc.exe”=“D:\Documents and Settings\ShaM\Pulpit\mirc.exe:*:Enabled:mirc.exe” “D:\Documents and Settings\ShaM\Pulpit\mirc\mirc.exe”=“D:\Documents and Settings\ShaM\Pulpit\mirc\mirc.exe:*:Enabled:mIRC” “D:\Warcraft III\Frozen Throne.exe”=“D:\Warcraft III\Frozen Throne.exe:*:Enabled:Warcraft III - The Frozen Throne” “D:\Program Files\uTorrent\utorrent.exe”=“D:\Program Files\uTorrent\utorrent.exe:*:Enabled:uTorrent” “D:\WINDOWS\system32\pginmrns.exe”=“D:\WINDOWS\system32\pgi” “D:\Program Files\WapSter\AQQ\AQQ.exe”=“D:\Program Files\WapSter\AQQ\AQQ.exe:*:Enabled:P2P AQQ” “D:\WINDOWS\system32\qwerty12.exe”=“D:\WINDOWS\system32\qwe” “D:\Program Files\MSN Messenger\msnmsgr.exe”=“D:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:MSN Messenger 7.5” [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] “%windir%\system32\sessmgr.exe”="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" “D:\Program Files\MSN Messenger\msnmsgr.exe”=“D:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:MSN Messenger 7.5” Remaining Files: --------------- File Backups: - D:\SDFix\backups\backups.zip Files with Hidden Attributes: D:\WINDOWS\system32\adafaecafa_r.dll Finished

jessica · 27 Sierpień 2007 10:29

No i pięknie - SDFix znalazł i “deleted” szkodliwą usługę.

Teraz powinno być dobrze.

jessi

shamblerek · 27 Sierpień 2007 10:41

Chyba niezupelnie… jedna rzecz wciaz dokucza.

Wiesz co to moze znaczyc? Kiedys tak mialem, na tym forum pomogli mi usunac problem hijackiem i svchost dzialal juz normlanie (tak sam jak net).

:C

jessica · 27 Sierpień 2007 13:43

Usługa Centrum zabezpieczeń SP2

Dopuszczalna jest możliwość deaktywacji tej usługi.

Natomiast jeśli chodzi o “svchost.exe”, to u mnie obciążenie wynosi ok. 15.000, więc jest niewiele mniejsze, niż u Ciebie.

W raporcie SDFix było napisane, że pod “svchost.exe” nie podpięło się nic szkodliwego.

jessi

shamblerek · 27 Sierpień 2007 14:51

Ok, bardzo mnie uspokoilas…dziekuje bardzo za pomoc i zycze milkego dnia