Проблем с svchost-процес

[bradataaaaa]

Здравейте! Пак имам нужда от помощ, защото ми "мирише" на нещо нередно в моето компче :( От известно време имах някои дребни проблеми, които си мислех, че са от замазването на системата, която не съм пипала от доста време, че не ми се занима. Днес, обаче, положението стана малко по-гадно - постоянно един процес ми "яде" 50% от процесора и колкото и пъти да рестартирах, все се включва след известно време и товари процесора. В ProcessExplorer ми дава като път C:\WINDOWS\system32\svchost -k DcomLaunch и като се опитам да убия процеса, моментално ми излиза прозорец, уведомяващ ме, че заради това ще ми се рестартира системата след 1 минута. След това пак е същото

Пуснах EsetSysInspector, Autoruns i HiJack и ето логовете от тях:

SysInspector-NIKOLAI-091210-1604.zip

AutoRuns.txt

hijackthis.txt

[Night_Raven]

Не е желателно да спираш системни процеси, за които не знаеш какво правят. DcomLaunch инстанцията на svchost е напълно редовна и нужна на операционната система за правилно функциониране.

 

Иначе виждам гадинка в логовете, но би трябвало да е по-лесно и пълноценно премахването й (а и евентуално на други гадинки) чрез сканиращи програми.

 

Сканирай с Malwarebytes' Anti-Malware и SUPERAntiSpyware Free. Ако вече имаш програмите, провери дали имаш последните версии и ако нямаш, премахни твоите и инсталирай най-новите. Ако тепърва инсталираш програмите, след инсталацията те ще предложат да се обновят автоматично, съгласи се. В противен случай обнови дефинициите им ръчно.

 

За Malwarebytes' Anti-Malware:

- стартирай програмата;

- избери Perform quick scan (Бързо сканиране) и кликни бутон Scan (Сканирай);

- като приключи сканирането кликни бутон OK и после Show results (Покажи резултатите);

- кликни бутон Remove Selected (Премахни избраните);

- ще се появи текстов файл (лог), копирай съдържанието му тук.

 

За SUPERAntiSpyware:

- стартирай програмата;

- кликни бутон Scan your Computer (Сканиране на компютъра);

- вляво избери само дял C:, а вдясно избери Perform Complete Scan (Извърши пълно сканиране);

- кликни Next и изчакай програмата да сканира;

- ако има засечени заплахи, кликни OK на съобщението;

- кликни Next, за да се премахнат гадинките, OK на потвърждението и накрая Finish;

- кликни бутон Preferences... (Настройки) и иди на подпрозорец Statistics/Logs (Дневници), маркирай последния лог по дата и кликни бутон View Log... (Покажи дневника);

- копирай съдържанието му тук.

 

Ако е нужен рестарт при някое от сканиранията, се съгласи и рестартирай веднага.

 

След евентуалните рестартирания дай логовете от сканиранията + пресен лог от HijackThis и кажи дали има проблеми някакви.

[bradataaaaa]

Така - сканирах и с двете, като и двете пооткриха нещица и искаха рестарт (след всяко такова искане рестартирах, но при рестарта поискан от Malware, излезе прозорец, че програмата не отговаря и се наложи принудително затваряне, та сега пак я пуснах да видя дали е останало нещо и не откри нищо). Качвам логовете от двете програми, както и последвалия лог от HiJack . Иначе сега (засега) онзи процес си работи без да прави проблеми и да товари процесора. Надявам се, да са се оправили нещата Че имах и други проблеми, които не знам дали са от замазване или от гадинки (след 3-4 дни работа без рестарт, при няколко отворени програми автоматично си сменяше активния прозорец през няколко секунди и ако пиша примерно нещо в уордски документ при поредното премигване се оказва, че последното, което съм написала изобщо го няма, защото сега се води като активен друг прозорец на друга програма)и искрено се надявам и това да се е оправило, че хич не ми се занимава с преинсталиране или връщане на системата

mbam-log-2009-12-10 (17-10-49).txt

SUPERAntiSpyware Scan Log - 12-10-2009 - 17-59-15.txt

hijackthis1.txt

[Night_Raven]

Някои неща са премахнати, но ми се струва, че има още спотайващи си бацили.

 

Изтегли GMER. Стартирай програмата. Тя ще направи начално сканиране за секунди. След като то приключи НЕ кликай бутон Scan, а кликни бутон Copy и после пейстни съдържанието тук (Ctrl+V). Ако програмата предложи да направи пълно сканиране, откажи.

 

Изтегли DDS и:

1) я стартирай;

2) изчакай да събере информацията си;

3) ще се появят 2 текстови файла, запази ги на удобно място (на работния плот например), архивирай ги и прикачи архива към коментара си.

 

Важно: ако имаш инсталирана антивирусна програма, е желателно да спреш временно резидентната й защита, за да не попречи евентуално на нормалната работа на DDS.

[bradataaaaa]

Ето го лога от GMER:

 

GMER 1.0.15.15273 - http://www.gmer.net

Rootkit quick scan 2009-12-10 19:38:48

Windows 5.1.2600 Service Pack 3

Running: 94nrdl5h.exe; Driver: C:\DOCUME~1\NYKOLAY\LOCALS~1\Temp\pwtdqpod.sys

 

 

---- System - GMER 1.0.15 ----

 

SSDT sptd.sys ZwEnumerateKey [0xF74F2FB2]

SSDT sptd.sys ZwEnumerateValueKey [0xF74F3340]

 

---- Devices - GMER 1.0.15 ----

 

Device \FileSystem\Ntfs \Ntfs 8A7161E8

 

AttachedDevice \FileSystem\Ntfs \Ntfs amon.sys (Amon monitor/Eset )

 

Device \FileSystem\Fastfat \Fat 8A419790

 

AttachedDevice \FileSystem\Fastfat \Fat amon.sys (Amon monitor/Eset )

 

---- EOF - GMER 1.0.15 ----

И архива с двата файла от DDS (A GMER защо не се оставя да сканира? Или просто става доста бавно?)

Desktop.rar

[Night_Raven]

Ако имаш антивирусна програма инсталирана, я спри, както и всякакви други излишни програми. Изтегли ComboFix (ако случайно вече имаш някаква версия, я замени) и го запази на работния плот. При поява на прозореца за запазване на файла в браузъра, моля, преименувай "ComboFix" на "Combo-Fix" (т.е. добави тире между "Combo" и "Fix").

Стартирай ComboFix, потвърди с Yes на прозорците, които се появяват. Ако ти се предложи да се инсталира Recovery Console, се съгласи.

Изчакай да сканира докрай и не кликай по прозореца на инструмента. Ако има нужда от рестарт, компютърът ще се рестартира автоматично. След рестарта трябва да продължи сканирането. Отново не закачай прозореца, докато той не се самозатвори. След това пейстни съдържанието на текстовия файл C:\Combo-Fix.txt тук или го прикачи към коментара си.

[bradataaaaa]

Не съм сигурна, че стана както трябва Първо спрях AMON защитата на моя НОД, а после дадох Quit за да я затворя уж. Да, обаче, като стартирах Combo-Fix, ми изписа, че все още работи защитата и че продължавам на собствен риск. Опитах да спра останалия работещ nod32krn процес, но нъцки. Комбото си продължи, като почти веднага рестартира компа и след това ми поиска да инсталира въпросната конзола. Да, но за целта ми поиска да си пусна интернет-връзката, а на мен десктопа ми беше абсолютно празен и нямаше откъде (или поне аз не знам как) да пусна нета и така и не се инсталира нищо, а просто продължи да си сканира. Не знам дали изобщо е направила нещо програмата (освен, че ми е направила браузера по подразбиране да ми е IE, а аз от години си ползвам само Модзила и тя ми е подразбиращият се браузер. Дано да нямам и други неприятни изненади от променени настройки), но прикачвам лога

ComboFix.txt

[Night_Raven]

Пейстни следния текст в нов текстов документ и го запази на работния плот под името CFScript (или CFScript.txt, ако работиш с показани разширения):

File::
c:\documents and settings\NetworkService\Application Data\fvgqad.dat
c:\windows\attrtool.exe
c:\windows\system32\mlfcache.dat
c:\windows\system32\fjhdyfhsn.bat

RegLock::
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7B8E9164-324D-4A2E-A46D-0165FB2000EC}]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{4c3a999f-abb8-4b48-9a32-5a9793e9b87a}]

FCopy::
c:\windows\ServicePackFiles\i386\atapi.sys | c:\windows\System32\drivers\atapi.sys

Провлачи текстовия файл върху ComboFix, както е показано тук:

http://www.softvisia.com/users/Night_Raven/Security/cfsdnd2.gif

 

Внимание: това са инструкции за конкретния потребител. Ако сте друг потребител със същия или подобен проблем, НЕ прилагайте текущите инструкции в действие.

 

След това дай новия лог.

[bradataaaaa]

Направих го, обаче...първо пак не успях да спра НОД-а и пак бях предупредена, че това може да ми коства проблеми (как аджеба мога напълно да спра НОД-а и да няма никакви работещи процеси свързани с него). И второ - изкарва ми съобщение за грешка, след което просто си изчезва и не се случва нищо

[Night_Raven]

Моля, напиши името на скрипта точно както съм го написал аз.

[bradataaaaa]

Или аз нещо съвсем съм се смахнала, защото май името, което видях беше друго, или има редкация в поста и сега е променено, но както и да е - запаметих го вече с правилното име и в резултат на това, конзолата се свали и инсталира, след което последва сканиране и логът е следния:

ComboFix.txt

[Night_Raven]

Бях объркал името на втория файл в бързината, за което се извинявам.

 

Моля, архивирай папка Qoobox, която се намира на дял C:, с архиватор по избор и я прикачи към следващия си коментара. Ако архивът е голям, го качи на файлов хостинг и дай линка. Можеш да използваш например Rapidshare.

 

Последният лог от ComboFix изглежда чистичък. Моля, повтори сканирането с Malwarebytes' Anti-Malware и, ако ти се занимава, със SUPERAntiSpyware (втората е по желание, защото отнема повече време). За всеки случай. Дай логовете от тях след това, заедно с линка към архива на папка Qoobox.

[bradataaaaa]

Ааа, няма за какво да се извиняваш - случва се на всеки, пък и като сме ти виснали не знам колко такива като мен на главата...

 

Сканирах с Malware - не откри нищичко и затова не слагам лога, че е почти девствен откъм информация. Другата сега ще я пусна и ще я оставя да си сканира самичка - ако излезе нещо, утре ще пиша. Качвам и архивираната папка:

[Night_Raven]

Каченият файл ще го изтрия по някое време.

 

След приключване на сканирането със SUPERAntiSpyware отвори Start -> Run. В полето пейстни следния текст и кликни OK:

"%userprofile%\Desktop\Combo-Fix.exe" /u

Това ще деинсталира ComboFix.

 

След това можеш да изтриваш свалените инструменти - HijackThis, DDS, GMER и създадените от тях файлове.

 

Системата трябва да е чиста и да се държи нормално вече. Ако не е така, моля, пиши какво точно има.

[bradataaaaa]

И второто сканиране беше чисто и днес опитах да деинсталирам ComboFix по показания начин, но не се получи и просто пак се сканира системата (два пъти дори ), затова си намерих ръчно пътя към програмата и се наложи вместо с /u да деинсталирам с /uninstall и в крайна сметка стана

 

Засега системата се държи прилично (ще видя дали още го има и този проблем с примигването и сменянето на активните прозорци след 4 дни - дано и той да се е оправил, че е адски досаден) и се надявам да се задържи така. Профилактично ще гледам да пускам по едно сканиране с първите две предложени програми и ако има нещо, ще го моря пак Благодаря много за съдействието и искрено се радвам, че има такива добронамерени и знаещи хора, които да помагат на по-незапознатите индианци като мен