Svchost.exe koń trojański

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
Michal1

Użytkownik
Posty: 19
Rejestracja: 29 paź 2011, 16:35

Svchost.exe koń trojański

Post14 gru 2012, 16:02

Witam.
Wlaczajac komputer za kazdym razem nod32 wykrywa wirusa, konkretnie:
Pamięć operacyjna » C:\WINDOWS\system32\svchost.exe
odmiana zagrożenia Win32/Agent.OBA koń trojański, nie można wyleczyć.
Prosilbym o pomoc w pozbyciu sie tego czegos.

Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:

Svchost.exe koń trojański

Post14 gru 2012, 20:06

Michal1 pisze:Witam.
Wlaczajac komputer za kazdym razem nod32 wykrywa wirusa, konkretnie:
Pamięć operacyjna » C:\WINDOWS\system32\svchost.exe
odmiana zagrożenia Win32/Agent.OBA koń trojański, nie można wyleczyć.
Prosilbym o pomoc w pozbyciu sie tego czegos.


Zapraszam -> bezpieczenstwo/regulamin-bezpiecze-stwa-t19001.html.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.


Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:

Svchost.exe koń trojański

Post15 gru 2012, 17:11

"InstallShield_{758C8301-2696-4855-AF45-534B1200980A}" = Samsung Kies
"UnityWebPlayer" = Unity Web Player


Odinstaluj to oprogramowanie.

O33 - MountPoints2\{3b9bcec4-5eb5-11df-8b7d-004f6a012bff}\Shell - "" = AutoRun
O33 - MountPoints2\{3b9bcec4-5eb5-11df-8b7d-004f6a012bff}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL laqIg.Exe


Z podłączonymi pamięciami przenośnymi użyj USBFix z opcji Delete -> http://www.hotfix.pl/uzytkowanie-progra ... x-a310.htm.

Logi.


Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | Disabled | Stopped] -- C:\WINDOWS\\SystemRoot\System32\Drivers\sptd.sys -- (sptd)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\sXe Injected\ddsxei.sys -- (ddsxeiservice)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\DXG014W2.sys -- (DCamUSBDXG014)
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKU\S-1-5-21-725345543-1214440339-2146968213-500\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKU\S-1-5-21-725345543-1214440339-2146968213-500\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-725345543-1214440339-2146968213-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
FF - HKCU\Software\MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0: C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Unity\WebPlayer\loader\npUnity3D32.dll (Unity Technologies ApS)
O4 - HKU\.DEFAULT..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O4 - HKU\S-1-5-18..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O4 - HKU\S-1-5-19..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O4 - HKU\S-1-5-20..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O20 - Winlogon\Notify\dimsntfy: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
@Alternate Data Stream - 807433 bytes -> C:\WINDOWS\Temp:temp

:Files
C:\WINDOWS\tasks\*.*
C:\WINDOWS\MusiccityDownload.exe
C:\Documents and Settings\Administrator\Dane aplikacji\AgerWebEdytor
C:\Documents and Settings\Administrator\Dane aplikacji\Samsung
C:\Documents and Settings\Administrator\Dane aplikacji\Temp
C:\Documents and Settings\Administrator\Dane aplikacji\Unity
C:\Documents and Settings\All Users\Dane aplikacji\Samsung
C:\Documents and Settings\All Users\Dane aplikacji\Temp

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[resethosts]
[clearallrestorepoints]
[emptytemp]


Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z ADWCleaner (z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników + nowe logi z OTL.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.


Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:

Svchost.exe koń trojański

Post15 gru 2012, 18:42

USBFix.


Po użyciu funkcji wyskoczył log, podaj Go. Znajduje się na dysku C:\USBFix.txt .
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.

Michal1

Użytkownik
Posty: 19
Rejestracja: 29 paź 2011, 16:35

Svchost.exe koń trojański

Post15 gru 2012, 18:46


Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:

Svchost.exe koń trojański

Post15 gru 2012, 19:29

USBFix.


Uninstall.

Logi.


Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | Disabled | Unknown] -- C:\WINDOWS\\SystemRoot\System32\Drivers\sptd.sys -- (sptd)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search bar = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = Reg Error: Value error.
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-725345543-1214440339-2146968213-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-725345543-1214440339-2146968213-500\..\SearchScopes\${searchCLSID}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKU\S-1-5-21-725345543-1214440339-2146968213-500\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
O4 - HKU\S-1-5-21-725345543-1214440339-2146968213-500..\Run: [KiesPDLR] E:\Programy\Kies\External\FirmwareUpdate\KiesPDLR.exe File not found
[2012-12-15 17:40:16 | 000,000,000 | ---D | C] -- C:\UsbFix
[2012-12-15 17:36:17 | 001,257,293 | ---- | C] (El Desaparecido) -- C:\Documents and Settings\Administrator\Pulpit\UsbFix.exe
[2012-12-15 08:04:21 | 000,302,592 | ---- | M] () -- C:\Documents and Settings\Administrator\Pulpit\qrwk29uk.exe

:Files
C:\WINDOWS\tasks\*.*
RECYCLER /alldrives
C:\temp
C:\UsbFix.txt
E:\Config.Msi
C:\Config.Msi
C:\Documents and Settings\Administrator\Dane aplikacji\Azureus
C:\Documents and Settings\Administrator\Dane aplikacji\DAEMON Tools Pro
C:\Documents and Settings\Administrator\Dane aplikacji\DAEMON Tools Lite
C:\Documents and Settings\Administrator\Dane aplikacji\DAEMON Tools
C:\Documents and Settings\Administrator\Dane aplikacji\Cream Software
C:\Documents and Settings\Administrator\Dane aplikacji\Image-Line
C:\Documents and Settings\Administrator\Dane aplikacji\Octoshape
C:\Documents and Settings\Administrator\Dane aplikacji\Publish Providers
C:\Documents and Settings\Administrator\Dane aplikacji\Sony
C:\Documents and Settings\All Users\Dane aplikacji\Azureus
C:\Documents and Settings\All Users\Dane aplikacji\BVRP Software
C:\Documents and Settings\All Users\Dane aplikacji\Codemasters
C:\Documents and Settings\All Users\Dane aplikacji\DAEMON Tools Lite
C:\Documents and Settings\All Users\Dane aplikacji\Test Drive Unlimited

:Commands
[clearallrestorepoints]
[emptytemp]


Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL + log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.

Michal1

Użytkownik
Posty: 19
Rejestracja: 29 paź 2011, 16:35

Svchost.exe koń trojański

Post15 gru 2012, 20:50

Podczas wykonywania skryptu OTL wiesza sie w takim momencie:
Dostępne tylko dla zarejestrowanych użytkowników


Log z AutoRuns
Dostępne tylko dla zarejestrowanych użytkowników

Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:

Svchost.exe koń trojański

Post16 gru 2012, 18:23

Podczas wykonywania skryptu OTL wiesza sie w takim momencie:


Spróbuj w trybie awaryjnym, a następnie dorzuć nowy log z Autoruns.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.


Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:

Svchost.exe koń trojański

Post17 gru 2012, 20:55

Autoruns.


W Autoruns odznacz, a następnie usuń (co się będzie dało):

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Adobe ARM
Alcmtr
APSDaemon
BrStsMon00
ControlCenter3
Gainward
NvCplDaemon
QuickTime Task
RTHDCPL
SkyTel
Sony Ericsson PC Suite


C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart

Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk


HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Wszystko.


HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Wszystko.


HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components

Wszystko.


HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.


HKLM\Software\Microsoft\Internet Explorer\Extensions

Wszystko.


HKLM\System\CurrentControlSet\Services

BrYNSvc
FLEXnet Licensing Service
IDriverT
InCDsrv
JavaQuickStarterService
LightScribeService
MDM
Microsoft Office Groove Audit Service
NBService
nvsvc
odserv
ose
PnkBstrA
wampapache
wampmysqld
WMPNetworkSvc


HKLM\System\CurrentControlSet\Services

Wszystko z frazą -> File Not Found.


Logi.


Następnie podajesz nowe logi z OTL.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.

Michal1

Użytkownik
Posty: 19
Rejestracja: 29 paź 2011, 16:35

Svchost.exe koń trojański

Post18 gru 2012, 15:08


Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:

Svchost.exe koń trojański

Post18 gru 2012, 20:14

Logi.


Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKU\S-1-5-21-725345543-1214440339-2146968213-500\..\SearchScopes\${searchCLSID}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.

:Files
RECYCLER /alldrives
C:\WINDOWS\tasks\*.*
C:\Documents and Settings\Administrator\Moje dokumenty\AutoRuns.rar
C:\Documents and Settings\Administrator\Moje dokumenty\AutoRuns.arn

:Commands
[clearallrestorepoints]
[emptytemp]


Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL -> Sprzątanie.

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation


Zainstaluj SP3 -> Dostępne tylko dla zarejestrowanych użytkowników.

Internet Explorer (Version = 7.0.5730.11)


Zaktualizuj IE do najnowszej wersji (nawet, jeśli Go nie używasz) -> Dostępne tylko dla zarejestrowanych użytkowników.

"{26A24AE4-039D-4CA4-87B4-2F83216012FF}" = Java(TM) 6 Update 15
"{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java(TM) 6 Update 2


Odinstaluj i zainstaluj najnowszą wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

Kroki Finalizujące.


Przeczyść dysk i rejestr CCleaner`em -> Dostępne tylko dla zarejestrowanych użytkowników.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware (nie gódź się na wersję testową) -> Dostępne tylko dla zarejestrowanych użytkowników, jeśli coś znajdzie usuń i daj raport.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.

Michal1

Użytkownik
Posty: 19
Rejestracja: 29 paź 2011, 16:35

Svchost.exe koń trojański

Post19 gru 2012, 19:26

Ok zrobione,
Log z usuwania OTL:
Dostępne tylko dla zarejestrowanych użytkowników

Log Malwarebytes Anti-Malware (czysto)
Dostępne tylko dla zarejestrowanych użytkowników



  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 5 gości