Проблем със svchost.exe!

simona_bankova · Февруари 16, 2009

Пак се появява грешката на Svchost.exe. Другата програма не откри вируси, затова не съм копирала лог-а.

goshonski · Февруари 16, 2009

Запази го в архив, като следвах точните ти инструкции. Надявам се така да свърши работа.

Night_Raven · Февруари 16, 2009

Пак се появява грешката на Svchost.exe. Другата програма не откри вируси, затова не съм копирала лог-а.

Аз ти казах да сканираш с 2 програми. Коя е тази, чиято лог поместваш, че да има "друга", чиято лог не поместваш?

Запази го в архив, като следвах точните ти инструкции. Надявам се така да свърши работа.

Изтегли GMER. Разархивирай и стартирай програмата. Тя ще направи начално сканиране за секунди. След като то приключи НЕ кликай бутон Scan, а кликни бутон Copy и после пейстни съдържанието тук (Ctrl+V).

goshonski · Февруари 16, 2009

Направих каквото ми каза. Свалих и разархивирах програмата. Тя стартира наистина за няколко секунди след което изведе съобщение дали да сканирам системата. Да натисна NO и след това Copy? Или да я оставя да досканира и тогава?

Предположих, че не трябва да сканирам, ако съм те разбрал правилно. Ето файла.

Междудругото вирусите скоро не са се показвали. Дали не сам ги премахнал с Malwarebyte?

New_Text_Document.txt

Night_Raven · Февруари 16, 2009

Изтегли ComboFix и го запази на десктопа. Спри всички ненужни програми. Меню Start -> Run -> напиши/пейстни следния текст:

"%userprofile%\desktop\combofix.exe" /killall

Потвърди с Yes на прозорците, които се появяват. Изчакай да сканира докрай и не закачай прозореца.. По всяка вероятност ще поиска рестарт, на което се съгласи. След това пейстни съдържанието на текстовия файл C:\ComboFix.txt тук или прикачи файла към коментара си.

simona_bankova · Февруари 16, 2009

SUPERAntiSpyware Scan Log

http://www.superantispyware.com

Generated 02/16/2009 at 12:20 PM

Application Version : 4.25.1012

Core Rules Database Version : 3760

Trace Rules Database Version: 1722

Scan type : Complete Scan

Total Scan Time : 00:24:09

Memory items scanned : 410

Memory threats detected : 0

Registry items scanned : 5918

Registry threats detected : 10

File items scanned : 14258

File threats detected : 231

Adware.Vundo Variant

HKLM\Software\Classes\CLSID\{9018F6A8-2495-45DF-9F16-C738F8F3C8FF}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9018F6A8-2495-45DF-9F16-C738F8F3C8FF}

HKU\S-1-5-21-1957994488-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9018F6A8-2495-45DF-9F16-C738F8F3C8FF}

HKCR\CLSID\{9018F6A8-2495-45DF-9F16-C738F8F3C8FF}

HKCR\CLSID\{9018F6A8-2495-45DF-9F16-C738F8F3C8FF}\InprocServer32

HKCR\CLSID\{9018F6A8-2495-45DF-9F16-C738F8F3C8FF}\InprocServer32#ThreadingModel

HKCR\CLSID\{9018F6A8-2495-45DF-9F16-C738F8F3C8FF}\ProgID

HKCR\CLSID\{9018F6A8-2495-45DF-9F16-C738F8F3C8FF}\Programmable

HKCR\CLSID\{9018F6A8-2495-45DF-9F16-C738F8F3C8FF}\TypeLib

HKCR\CLSID\{9018F6A8-2495-45DF-9F16-C738F8F3C8FF}\VersionIndependentProgID

Adware.Tracking Cookie

C:\Documents and Settings\vision\Cookies\vision@warezreleases[1].txt

C:\Documents and Settings\vision\Cookies\vision@maxis.112.2o7[1].txt

C:\Documents and Settings\vision\Cookies\vision@adserver.easyad[1].txt

C:\Documents and Settings\vision\Cookies\vision@crackserialkeygen[1].txt

C:\Documents and Settings\vision\Cookies\vision@2o7[2].txt

C:\Documents and Settings\vision\Cookies\vision@questionmarket[2].txt

C:\Documents and Settings\vision\Cookies\vision@adbrite[1].txt

C:\Documents and Settings\vision\Cookies\vision@atdmt[1].txt

C:\Documents and Settings\vision\Cookies\vision@www.thrixxx[1].txt

C:\Documents and Settings\vision\Cookies\vision@specificclick[1].txt

C:\Documents and Settings\vision\Cookies\vision@xiti[1].txt

C:\Documents and Settings\vision\Cookies\vision@bwincom.122.2o7[1].txt

C:\Documents and Settings\vision\Cookies\vision@ad.yieldmanager[2].txt

C:\Documents and Settings\vision\Cookies\vision@imrworldwide[2].txt

C:\Documents and Settings\vision\Cookies\vision@adecn[1].txt

C:\Documents and Settings\vision\Cookies\vision@atwola[1].txt

C:\Documents and Settings\vision\Cookies\vision@msnportal.112.2o7[1].txt

C:\Documents and Settings\vision\Cookies\vision@doubleclick[1].txt

C:\Documents and Settings\vision\Cookies\vision@cogaccounts.codemasters[2].txt

.ad.yieldmanager.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.richmedia.yahoo.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

ad.yieldmanager.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

counter.search.bg [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.fls.doubleclick.net [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.doubleclick.net [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.fls.doubleclick.net [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.overture.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.game-advertising-online.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

www.googleadservices.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.revenue.net [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

www.googleadservices.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.mediaplex.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.2o7.net [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.bwincom.122.2o7.net [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.2o7.net [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.questionmarket.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.atdmt.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.daimlerag.122.2o7.net [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.specificclick.net [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.tacoda.net [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.specificmedia.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.tribalfusion.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.at.atwola.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.advertising.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.at.atwola.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.ads.pointroll.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.imrworldwide.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.content.yieldmanager.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

www.googleadservices.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

server.cpmstar.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.fastclick.net [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

www.googleadservices.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.paphosfinder.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.casalemedia.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

server.lon.liveperson.net [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.hitbox.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.ehg-autotrader.hitbox.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

www2.addfreestats.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

www.3dstats.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

server.iad.liveperson.net [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.adopt.euroclick.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.adtech.de [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.adopt.euroclick.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.msnportal.112.2o7.net [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.chitika.net [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.bs.serving-sys.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.serving-sys.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

eas.apm.emediate.eu [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.statcounter.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

counter.hitslink.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.indigio.122.2o7.net [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

statse.webtrendslive.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.revsci.net [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.adultfriendfinder.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.adviva.net [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.adecn.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.adrevolver.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

media.adrevolver.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.adrevolver.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

www.click4cars.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.click4cars.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

www.click4cars.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

www.ufindus.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.ufindus.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.tradedoubler.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.burstnet.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.yadro.ru [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.cb.adbureau.net [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

server.iad.liveperson.net [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.advertisingcyprus.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.findit.gr [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

www.findit.gr [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

fr.sitestat.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.adinterax.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.clickaider.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.xiti.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

www.worldlingomedia.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

worldlingomedia.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

media.exchange.bg [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.kontera.com [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

.eaeacom.112.2o7.net [ C:\Documents and Settings\vision\Application Data\Mozilla\Firefox\Profiles\irg9ktno.default\cookies.txt ]

Malwarebytes' Anti-Malware 1.34

Версия на базата от данни: 1749

Windows 5.1.2600 Service Pack 2

16.2.2009 г. 13:49:44

mbam-log-2009-02-16 (13-49-44).txt

Тип сканиране: Бързо сканиране

Сканирани обекти: 77055

Изминало време: 8 minute(s), 45 second(s)

Заразени процеси в паметта: 0

Заразени модули в паметта: 0

Заразени ключове в регистратурата: 0

Заразени стойности в регистратурата: 0

Заразени информационни обекти в регистратурата: 0

Заразени папки: 0

Заразени файлове: 0

Заразени процеси в паметта:

(Не бяха открити заплахи)

Заразени модули в паметта:

(Не бяха открити заплахи)

Заразени ключове в регистратурата:

(Не бяха открити заплахи)

Заразени стойности в регистратурата:

(Не бяха открити заплахи)

Заразени информационни обекти в регистратурата:

(Не бяха открити заплахи)

Заразени папки:

(Не бяха открити заплахи)

Заразени файлове:

(Не бяха открити заплахи)

goshonski · Февруари 16, 2009

Това е резултата от Combofix.

ComboFix.txt

Night_Raven · Февруари 16, 2009

Първо кажи дали лично си спрял вградената стена на Windows.

Изтегли The Avenger. Разархивирай и стартирай програмата. Потвърди с OK. Копирай следния скрипт, като го маркираш и натиснеш Ctrl+C, след което в The Avenger кликни третия бутон (Paste Script from Clipboard):

Files to delete:
c:\windows\eSellerateEngine.dll
c:\windows\eSellerateControl350.dll
c:\windows\wciactrl.exe
c:\windows\switch.inf
c:\windows\system32\frnscli32.dll
c:\windows\system32\txsocm32.dll
c:\windows\system32\gy.exe
c:\windows\system32\38.scr
c:\windows\system32\48.scr
c:\windows\system32\62.scr
c:\windows\system32\32.scr
c:\windows\system32\46.scr
c:\windows\system32\wd.exe
c:\windows\system32\xi.exe
c:\windows\system32\64.scr
c:\windows\system32\ui.exe
c:\windows\system32\71.scr
c:\windows\system32\oj.exe
c:\windows\system32\kz.exe
c:\windows\system32\zi.exe
c:\windows\system32\ja.exe

Drivers to delete:
aicvfvl
tyqmbovl
SYSDRV32

Кликни Execute, потвърди с Yes и на двата въпроса, което ще рестартира компютъра. След като се стартира отново ще се изведе текстов файл. Копирай съдържанието му тук.

Можеш и след това да дадеш още един лог от ComboFix.

B-boy/StyLe/ · Февруари 16, 2009

След като изпълниш съветите на колегата (Night_Raven), отвори Notepad и въведи:

Killall::

Rootkit::
c:\windows\system32\[u]0[/u]2.tmp 

NetSvc::
aicvfvl

Registry::
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Intel Physical Address Aventis 1.3"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\System32\\71.scr"=-
"c:\\WINDOWS\\System32\\64.scr"=-
"c:\\WINDOWS\\System32\\46.scr"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4202:TCP"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\Intel Physical Address Aventis 1.3]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\tyqmbovl]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\aicvfvl]

Запази файла с име CFScript и го провлачи в иконата на ComboFix.

http://img522.imageshack.us/img522/482/cfscriptyr1.gif

Копирай лог файла в следващия си пост.

Night_Raven · Февруари 16, 2009

Според мен няма нужда от тези действия на този етап, но ако държиш, ги извърши.

goshonski · Февруари 16, 2009

Направих, каквото ми каза. Ето лога от Avenger:

Ето и лог от ComboFix:

avenger1.txt

ComboFix_log.txt

Night_Raven · Февруари 16, 2009

Да не си рестартирал системата преди да пейстнеш текста в The Avenger? Т.е. откакто съм ти дал тези инструкции до стартирането на The Avenger компютърът рестартиран ли е?

goshonski · Февруари 16, 2009

Да. Съжалявам. А и .. след първото пускане на програмата не запазих лога и я пуснах повторно. Това е лога от второто пускане. :S

B-boy/StyLe/ · Февруари 16, 2009

Ако колегата разреши да се включа

Отвори Notepad и въведи:

Killall::

Rootkit::
c:\windows\system32\[u]0[/u]1.tmp
c:\windows\system32\owqwv.dll

Driver::
wlptdo
lbjis

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4202:TCP"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\Intel Physical Address Aventis 1.3]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wlptdo]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lbjis]

NetSvc::
aicvfvl
lbjis

Запази файла с име CFScript и го провлачи в иконата на ComboFix.

http://img522.imageshack.us/img522/482/cfscriptyr1.gif

Night_Raven · Февруари 16, 2009

OK, предавам щафетата на B-boy/StyLe/, който явно няма да миряса иначе.

Проблем със svchost.exe!

Препоръчан пост

Link to comment

Сподели другаде

ТОП потребители в тази тема

Популярни дни

ТОП потребители в тази тема

Популярни дни

Публикувани изображения

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Join the conversation