svchost.exe

Printable View

03.11.2006, 03:13
wonn

Вложений: 3

svchost.exe

Здраствуйте! У меня проблема в том что эти процессы сильно тормозят мой компьютер в диспечере задач их 6 штук ! Я бы хотел от них избавиться... зарание спасибо!
03.11.2006, 09:12
drongo

Пришлите как указано в правилах . И куда это нод32 смотрел ? Он у вас не обновляеться что ли ?
C:\WINDOWS\system32\sys32.exe
C:\WINDOWS\SVCHOST.EXE
C:\WINDOWS\server.exe
Reboot.exe
c:\windows\system32\xflash.exe
C:\WINDOWS\system32\shdocvw.dll
C:\WINDOWS\system32\atkcadpt.dll
C:\WINDOWS\system32\iasamsre.dll
C:\WINDOWS\system32\e1.dll
03.11.2006, 11:09
wonn

Так... отправил! Нод32 я им проверял но он ничего не находит( Скоее всего не обновлен он!
03.11.2006, 11:10
wonn

Результат загрузки
Файл сохранён как 061103_030806_virus_454af8e6a0239.zip
Размер файла 1887579
MD5 e93929f9471d0e17d3d6c1f9f136df1d
03.11.2006, 11:51
ALEX(XX)

NOD прекрасно детектит эти файлы. Кроме C:\WINDOWS\server.exe (Backdoor.Win32.Bifrose.abc по KAV)
C:\WINDOWS\system32\iasamsre.dll - Win32/Stration.NP worm
C:\WINDOWS\system32\e1.dll - Win32/Stration.NP worm
C:\WINDOWS\System32\glu3panm.dll - Win32/Stration.NP worm
C:\WINDOWS\system32\sys32.exe - probably unknown NewHeur_PE virus
C:\WINDOWS\SVCHOST.EXE - a variant of Win32/PSW.LdPinch trojan
c:\windows\system32\xflash.exe - probably unknown NewHeur_PE virus
C:\WINDOWS\system32\atkcadpt.dll - Win32/Stration.NQ worm
03.11.2006, 11:53
wonn

А мне что теперь делать?)
03.11.2006, 12:05
MOCT

[QUOTE=wonn]А мне что теперь делать?)[/QUOTE]
удалять (через отложенное удаление в AVZ) те файлы, которые указаны в последнем сообщении от ALEX(XX) как зараженные
03.11.2006, 12:13
wonn

Удалил....что дальще делать?
03.11.2006, 12:31
ALEX(XX)

Обновляйте и настраивайте антивирь, ставьте заплатки на систему.
03.11.2006, 12:32
wonn

так svchost.exe не удалился из процессов....((
03.11.2006, 13:01
Alex Plutoff

-кстати, по версии Kaspersky Online Scanner [B]C:\WINDOWS\server.exe Зараженный объект: Backdoor.Win32.Bifrose.abc[/B]
...следовательно его тоже не мешало бы пролечить, но это в том случае если вы, [B]wonn[/B], сами его устанавливали и пользуете, ну а если нет, то наверное, правельно было бы и его удалить...
-ну, и свежие логи в студию ;)
03.11.2006, 13:44
wonn

Вложений: 1

вот свежий лог :)
03.11.2006, 15:25
Alex Plutoff

-а где логи от AVZ?
...и [B]drongo[/B] просил прислать [B]C:\WINDOWS\system32\shdocvw.dll[/B] и [B]Reboot.exe[/B], а их не было, в то время, как в свежем hijackthis.log есть...
03.11.2006, 15:34
pig

[QUOTE=wonn]так svchost.exe не удалился из процессов....(([/QUOTE]
И не надо. Он обслуживает ряд жизненно важных системных служб. Так что без него никак.
03.11.2006, 15:45
wonn

C:\WINDOWS\system32\shdocvw.dll и Reboot.exe - не находит их вот и не могу прислать!(
03.11.2006, 15:52
Alex Plutoff

[quote=wonn]C:\WINDOWS\system32\shdocvw.dll и Reboot.exe - не находит их вот и не могу прислать!([/quote]
-а как Вы их ищите?.. если через AVZ "Файл" - "Добавление в карантин по списку", а они не добавляются в карантин, то это может означать, что он присутствует в базе безопасных...
03.11.2006, 16:29
wonn

Вложений: 3

[quote=Alex Plutoff]-а как Вы их ищите?.. если через AVZ "Файл" - "Добавление в карантин по списку", а они не добавляются в карантин, то это может означать, что он присутствует в базе безопасных...[/quote]
Да именно так ищю!!! Так установил KIS и зделал проверку нашел 20 угроз от всех избавился вроде и процессов svchost.exe cтало 5) Вот новые логи!
03.11.2006, 17:15
Alex Plutoff

-ну, как будто явных зверей не видно... разве вот [B]dxdllreg.exe[/B] - это, что такое?..
-а NOD и KIS нормально уживаются?.. я бы оставил что-то одно, и это скорее всего был бы KIS ;)
-кроме того, пофиксите в HijackThis строку [B]C:\WINDOWS\system32\atkcadpt.dll (file missing)[/B]
03.11.2006, 17:19
wonn

nod я удалил иначе kis не ставился! dxdllreg.exe сам не знаю)))

-кроме того, пофиксите в HijackThis строку C:\WINDOWS\system32\atkcadpt.dll (file missing) жто как?
03.11.2006, 17:44
pig

[url]http://virusinfo.info/showthread.php?t=4491[/url]
03.11.2006, 17:55
Alex Plutoff

[quote=wonn]nod я удалил иначе kis не ставился! dxdllreg.exe сам не знаю)))

-кроме того, пофиксите в HijackThis строку C:\WINDOWS\system32\atkcadpt.dll (file missing) жто как?[/quote] -судя по логам, NOD удалился некорректно... а следовательно пофиксить придётся чуточку побольше строк:[quote]O23 - Service: NOD32 Control Center Service (NOD32ControlCenter) - Unknown owner - C:\WINDOWS\system32\nod32cc.exe" -service (file missing)
O23 - Service: NOD32 Service (NOD32Service) - Unknown owner - C:\WINDOWS\system32\nod32m2.exe[/quote] фиксится так как описано на странице [url]http://virusinfo.info/showthread.php?t=4491[/url]
-кроме того, удалите посредством AVZ:[quote]c:\windows\system32\nod32m2.exe
C:\Program Files\Eset\nodshex.dll[/quote]
03.11.2006, 20:52
wonn

Вложений: 3

[quote=Alex Plutoff]-судя по логам, NOD удалился некорректно... а следовательно пофиксить придётся чуточку побольше строк: фиксится так как описано на странице [URL="http://virusinfo.info/showthread.php?t=4491"]http://virusinfo.info/showthread.php?t=4491[/URL]
-кроме того, удалите посредством AVZ:[/quote]
Все сделал как говорили все удалил и фиксицию сделал...:)
03.11.2006, 23:46
Alex Plutoff

[quote=wonn]Все сделал как говорили все удалил и фиксицию сделал...:)[/quote] -с "фиксицией" посредством HijackThis у Вас получилось не очень ...все NODовские строки остались на месте, хотя файлы какбудто и удалены, странно что не сработала эвристическая чистка ссылок... давайте ещё раз с самого начала, но уже при помощи AVZ, итак:
1. AVZ > Сервис > Менеджер автозапуска > выделяем строки:
"C:\Program Files\Eset\amon.exe"
"C:\WINDOWS\system32\nod32cc.exe"
и удаляем их, нажав на соответствующую кнопку на панели инструментов;
2. AVZ > Сервис > Менеджер расширений проводника > выделяем строку:
C:\Program Files\Eset\nodshex.dll
и тоже удаляем её, также нажав на соответствующую кнопку на панели инструментов;
3. AVZ > Сервис > Диспетчер служб и драйверов > Сервисы(по анализу реестра) > выделяем строки, в которых в колонке Файл указаны:
C:\WINDOWS\system32\nod32cc.exe
C:\WINDOWS\system32\nod32m2.exe
и удаляем их нажатием на всё туже кнопку на панели инструментов;
4. перегружаем ПК.
04.11.2006, 00:36
wonn

[quote=Alex Plutoff]-с "фиксицией" посредством HijackThis у Вас получилось не очень ...все NODовские строки остались на месте, хотя файлы какбудто и удалены, странно что не сработала эвристическая чистка ссылок... давайте ещё раз с самого начала, но уже при помощи AVZ, итак:
1. AVZ > Сервис > Менеджер автозапуска > выделяем строки:
"C:\Program Files\Eset\amon.exe"
"C:\WINDOWS\system32\nod32cc.exe"
и удаляем их, нажав на соответствующую кнопку на панели инструментов;
2. AVZ > Сервис > Менеджер расширений проводника > выделяем строку:
C:\Program Files\Eset\nodshex.dll
и тоже удаляем её, также нажав на соответствующую кнопку на панели инструментов;
3. AVZ > Сервис > Диспетчер служб и драйверов > Сервисы(по анализу реестра) > выделяем строки, в которых в колонке Файл указаны:
C:\WINDOWS\system32\nod32cc.exe
C:\WINDOWS\system32\nod32m2.exe
и удаляем их нажатием на всё туже кнопку на панели инструментов;
4. перегружаем ПК.[/quote]
Так с 1 пунктом все норм!!
А вот со 2 врорым начались проблемы несмог удалить файл не удалялся нажимал на крестик и ничего не происходило!
С 3 пунктом вообще даже значек удаления был не активен на него нельзя было нажать!
04.11.2006, 01:29
Alex Plutoff

[quote=wonn]Так с 1 пунктом все норм!![/quote]-ну и ладно :)
[quote=wonn] А вот со 2 врорым начались проблемы несмог удалить файл не удалялся нажимал на крестик и ничего не происходило![/quote]-можно, конечно, и руками реестр почистить от {B089FE88-FB52-11d3-BDF1-0050DA34150D}, но лучше пускай остаётся как есть, а то руками в реестре можно такого натворить, что и система рухнет, на фиг :P

[quote=wonn] С 3 пунктом вообще даже значек удаления был не активен на него нельзя было нажать![/quote]-ну и ладно... поступим так: Пуск > Панель управления > Администрирование > Службы > NOD32 Control Center Service (NOD32ControlCenter) > правый клик мыша > Свойства > Стоп > Тип запуска: Отключено > Применить > ОК
и аналогично с NOD32 Service (NOD32Service)
04.11.2006, 02:08
wonn

[quote=Alex Plutoff]-ну и ладно :)
-можно, конечно, и руками реестр почистить от {B089FE88-FB52-11d3-BDF1-0050DA34150D}, но лучше пускай остаётся как есть, а то руками в реестре можно такого натворить, что и система рухнет, на фиг :P

-ну и ладно... поступим так: Пуск > Панель управления > Администрирование > Службы > NOD32 Control Center Service (NOD32ControlCenter) > правый клик мыша > Свойства > Стоп > Тип запуска: Отключено > Применить > ОК
и аналогично с NOD32 Service (NOD32Service)[/quote]
Все зделал тип запуска: отключено!:)
04.11.2006, 13:30
wonn

Так а что мне делать дальше сделатьновые логи??
04.11.2006, 13:58
Alex Plutoff

[quote=wonn]Так а что мне делать дальше сделатьновые логи??[/quote]
-то над чем мы с Вами тут бьемся, так всего лишь хвосты подчищаем после не корректного удаления NOD`а и главное в этом деле поудалять файлы или не дать им запускаться и прибить службы в то время когда работают аналогичные процессы от KIS, дабы избежать серьёзных конфликтов... на сколько я понял из Ваших ответов нам это удалось... ну, может не всё, но основного добились - конфликта не будет...
-если остались сомнения, можно логи повторить :)