Witam
ostatnio strasznie muli mi kompa
w procesach chyba z 7 razy mam svchost.exe wogole jest chyba z 25 procesow niektóre wiem co to ale wiekszość nie, nie wiem jak zrobic screna bo moze byscie pomogli rozszyfrowac co to za procesy?
troche jestem zielony dlatego pytam i prosze sie nie śmiać pozdrawiam
Załączniki:
screen.jpg(76.43 KB)
Musisz być zalogowany, aby pobrać ten załącznik.
Twój problem to ( Worm.Win32.Raleka.) zwróc uwage na proces service.exe normalny proces windowsa nazywa sie services.exe
kasowanie nic nie daje pojawia sie ponownie. próbój wszystkiego czym mozna sie pozbyc tekiego badziewia Ad-aware ,antywirus,
svchost.exe też jest jakimś zwierzątkiem...
proponuję ściągnąć demo mks_wira dla DOS-u z www.mks.com.pl, rozpakować w katalogu np. c:\mks\, uruchomić kompa z dyskietki startowej i trybie DOS-owym przeskanować calość
(demo - bo jest bezpatne a w peni sprawne)
(DOS - żeby nie byo nic uruchomione z windozy, bo będzie mieszać, a po za tym uruchomionego procesu nie usunie)
(z dyskietki - żeby nic z win nie zostao w pamięci kompa)
- u mnie pomogo
Nie znajdziecie przyczyn spowolnienia komputera w ten sposób. Aby się nie powtarzać, podaję link: https://www.elektroda.pl/rtvforum/topic184626.html#895544 "Svchost" nie jest wirusem, ale zapis "svhost" w rejestrze jest dowodem, że w systemie zagnieździł się trojan.
Na Elektrodę wklej nie zrzut ekranu tylko log z programu Hijackthis. Uruchamiasz hijackthis, wciskasz SCAN i potem Save Log. Log jest plikiem tekstowym, więc skopiuj jego zawarość (CTRL + C) i wklej do postu (CTRL + V).
używam spy-bota, oraz skaner online mks_vir odpalany z onetu.
jesli online mi coś znajdzie co jest uruchomione i ni eda sie zkasowac to zapisuje jaki to plik i kasuje go potem w awaryjnym.
spy-botem skanuje rejestr a potem robie immunize co podobno blokuje strony z addwarem. chyba działa bo jest po tym spokój na dłuższy czas. na explorera wrzucam nakładkę avant browser.
po takich zabiegach komp zawsze nabiera chęci do zycia.
Masz problem i to przez Flashget-a. Jest to exploit TYPU BHO.
Zaznacz okienka obok wymienionych niżej wpisów i wciśnij Fix Checked.
Pest Patrol zaleca usunięcie zainfekowanego Flashgeta, więc powinieneś się z tym pogodzić. Możesz go później doinstalować, jak się stęsknisz za exploitami
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .MOV: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .MPG: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .tif: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin5.dll
Na razie tyle. Wyłącz i włącz komputer i użyj programu hijackthis jeszcze raz.
Tak jak poprzednicy - jest to typowe zagnieżdżenie się trojanu w systemie. Interesowało by mnie czy ten (XP/2000 nie wiem dokładnie który masz) jest na fat to mozna kombinować z dyskietkami z MKS'u jeśli jest na NTFS... to dyskietka startowa na niewiele się zda.
witam
sprawdziłem tym wykryło 5 zainfekowanych plikow
C:\Program Files\Norton SystemWorks\Norton AntiVirus\Quarantine\37B645DC is infected with W32.Netsky.C@mm
C:\Program Files\Norton SystemWorks\Norton AntiVirus\Quarantine\479C251D is infected with W32.Netsky.C@mm
C:\Program Files\Norton SystemWorks\Norton AntiVirus\Quarantine\479F4F1A is infected with W32.Netsky.C@mm
C:\Program Files\Norton SystemWorks\Norton AntiVirus\Quarantine\482C5C7F is infected with W32.Netsky.C@mm
C:\Program Files\Norton SystemWorks\Norton AntiVirus\Quarantine\48390471 is infected with W32.Netsky.C@mm
Pisza bodajże na stronie MkS (po polsku) , tego też miałem (za sprawa osób korzystających z mojego komputera ) i trzeba było wywalić , dlugo się męczyłem, ale w koncu system i tak padł.
A Netsky C mniej więcej taką ma charakterystyke.
po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku swoją kopię w pliku o nazwie c:\windows\winlogon.exe lub c:\winnt\winlogon.exe oraz modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.
Robak usuwa z rejestru z klucza
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
wpisy o nazwach Taskmon, Explorer, Windows Services Host, KasperskyAV, System.
Robak tworzy na dysku także szereg swoich kopii w skompresowanych archiwach zip, w plikach o nazwach takich jak możliwe nazwy załącznika powyżej z dodanym rozszerzeniem zip.
Następnie robak rozsyła własne kopie za pomocą poczty elektronicznej do wszystkich adresatów odnalezionych w plikach z rozszerzeniami: eml, txt, php, pl, htm, html, vbs, rtf, uin, asp, wab, doc, adb, tbb, dbx, sht, oft, msg, shtm, cgi, dhtm, używając do tego własnego silnika SMTP.
Na koniec robak tworzy swoje kopie we wszystkich katalogach zawierających w swojej nazwie ciąg Share (zwykle będących udostępnionymi katalogami w programach do wymiany plików w Internecie) w plikach o następujących nazwach:
Microsoft WinXP Crack.exe
Teen Porn 16.jpg.pif
Adobe Premiere 9.exe
Adobe Photoshop 9 full.exe
Best Matrix Screensaver.scr
Porno Screensaver.scr
Dark Angels.pif
XXX hardcore pic.jpg.exe
Microsoft Office 2003 Crack.exe
Serials.txt.exe
Screensaver.scr
Full album.mp3.pif
Ahead Nero 7.exe
Virii Sourcecode.scr
E-Book Archive.rtf.exe
Doom 3 Beta.exe
How to hack.doc.exe
Learn Programming.doc.exe
WinXP eBook.doc.exe
Win Longhorn Beta.exe
Dictionary English - France.doc.exe
RFC Basics Full Edition.doc.exe
1000 Sex and more.rtf.exe
3D Studio Max 3dsmax.exe
Keygen 4 all appz.exe
Windows Sourcecode.doc.exe
Norton Antivirus 2004.exe
Gimp 1.5 Full with Key.exe
Partitionsmagic 9.0.exe
Star Office 8.exe
Magix Video Deluxe 4.exe
Clone DVD 5.exe
MS Service Pack 5.exe
ACDSee 9.exe
Visual Studio Net Crack.exe
Cracks & Warez Archive.exe
WinAmp 12 full.exe
DivX 7.0 final.exe
Opera.exe
IE58.1 full setup.exe
Smashing the stack.rtf.exe
Ulead Keygen.exe
Lightwave SE Update.exe
The Sims 3 crack.exe
sleepy czy nie sleepy w kazdym razie w tym foldeze jest proces który jest moim zdaniem wirus i powod twoich klopotów .czy sie sam przyczyniles ze sie znalazl na twoim twardzielu tego nie wiem ale na to wyglada.
wyciag ze strony DR.WEB
"Podczas instalacji robak zapisuje swoją kopię java.exe w katalogu głównym Windows oraz umieszcza dany plik w kluczu autostartu w rejestrze systemowym:
[HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
[HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
"JavaVM"="%windir%/java.exe"
Następnie, w katalogu głównym Windows tworzy plik o nazwie service.exe (8 192 bajty) i umieszcza go również w rejestrze systemowym:
[HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
[HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
"Services"="%windir%/services.exe"
sprawdz czy ten plik ma (8 192 bajty) - kazdy wirus ma inna objetosc
Sober.D tworzy następujące pliki w folderze systemowym:
SERVICE.EXE. Jest to kopia robaka.
podaj w google service.exe a przekonasz sie
pozatym mozesz porównac z wieloma zrzutami tu ma forum, czy to z hijac this czy z task menadzera nie ma prawie w zadnym service.exe pomimo ze tez maja jakis virus
a wiec decyzja nalezy do ciebie
a do wylaczenia compa niepotrzebujesz programu mozesz sobie wykonac na desktopie skrót i we wlasciwosciach wpisac:
%windir%\System32\shutdown.exe -s -t 01
uruchom w: %windir%
wybierasz symbol np.( tak jak typowe oznaczenie wylacznika)
nazywasz skrót "Wyłącz kompa". to wsio
Załączniki:
Wyłącz Kompa.JPG(2.63 KB)
Musisz być zalogowany, aby pobrać ten załącznik.
✨ Użytkownik zgłasza problem z dużą liczbą procesów svchost.exe oraz ogólnym spowolnieniem komputera. W dyskusji wyjaśniono, że svchost.exe jest procesem systemowym Windows, a jego wielokrotne występowanie jest normalne. Jednak pojawiły się podejrzenia infekcji trojanem lub robakiem, zwłaszcza gdy w systemie pojawiły się podejrzane pliki takie jak service.exe i procesy w folderze Sleepy, które mogą być złośliwe i powodować zamulanie. Zalecano wykonanie skanów antywirusowych, m.in. za pomocą Norton AntiVirus, Ad-aware, Spybot, MKS Vir oraz narzędzi takich jak HijackThis do analizy logów i wykrywania infekcji. Wskazano na konieczność usunięcia zainfekowanych plików, w tym FlashGet, który był źródłem exploita typu BHO. Podkreślono, że niektóre wirusy podszywają się pod systemowe procesy, np. service.exe zamiast services.exe, oraz że robak Netsky.C infekuje pliki i modyfikuje rejestr, co wymaga kwarantanny i usunięcia. Rekomendowano także skanowanie systemu z dyskietki startowej w trybie DOS, aby uniknąć uruchomionych procesów Windows podczas czyszczenia. Wskazano na konieczność monitorowania i zamykania podejrzanych procesów w Menedżerze zadań oraz immunizację rejestru za pomocą Spybot. Podsumowując, wielokrotne procesy svchost.exe są normalne, ale obecność dodatkowych procesów service.exe i Sleepy/service.exe wskazuje na infekcję, którą należy usunąć za pomocą specjalistycznych narzędzi antywirusowych i ręcznej analizy logów. Wygenerowane przez model językowy.
screen.jpg
(76.43 KB)
Musisz być zalogowany, aby pobrać ten załącznik.
) a że chodzi w systemie to zaiste jest procesem systemowym 
) i trzeba było wywalić , dlugo się męczyłem, ale w koncu system i tak padł.
