Problem z plikami svchost.exe - zainfekowany system

[Private_Arti]

Opiszę swój problem: Pewnego dnia mój kumpel wszedł na pewną stronę i avast! wyświetlił mu komunikat o zagrożeniach w folderze C:\Windows\System32\Drivers a dokładnie w pliku svchost.exe. Po restarcie, a po podłączeniu się do Internetu, avast! wyświetlił komunikat, że zablokowano zainfekowaną usługę svchost.exe ale nie trzeba z tym nic robić bo plik jest w kwarantannie. Niestety w tym samym momencie z jednego wpisu zrobiło się ok. 40 - które od razu zostały przeniesione do kwarantanny. Po ponownym restarcie siadł pasek zadań - po próbie wybrania czegokolwiek na nim pojawia się klepsydra. To samo przy próbie dostępu do dysków czy uruchomienia czegokolwiek z menu start. Podobnie gdy chce wejść na dyski z mojego komputera - klepsydra i koniec. Przy próbie połączenia z Internetem, pojawia się komunikat, że nie wykryto komponentów programu dostępowego (Internet w TP). Prawdopodobnie komputer podłapał wirusa lub rootkita. Nie mam dostępu do komputera kumpla, nie mogę wykonać mu logów itp.

Ja poprosiłem aby kumpel wykonał:

- skanowanie całego komputera (znaleziono kilka plików typu trojan w folderze temp na dysku C),

- sprawdzenie programów uruchamianych podczas rozruchu komputera,

- usunięcie wszelkich nieużywanych i niepotrzebnych programów,

- włączenie komputera w trybie awaryjnym i usunięcie plików svchost.exe (poza tym niezbędnym systemowi z C:\Windows\System32),

Niestety nic to nie pomogło, zdecydowałem więc że pozostają trzy opcje: zabawa w podmienianie programu i czyszczenie rejestru, format dysku albo.... skorzystanie z przywracania systemu. I o dziwo przywracanie pomogło - brak komunikatów o svchost.exe, pasek zadań śmiga, to samo cały komputer, nawet szybciej się uruchamia. Tylko, że zepsuł się avast!, więc poprosiłem kumpla aby go odinstalował. Teraz moje pytanie, co zrobić aby nie powtórzyła się opisana sytuacja? Czy wykonać loga z programu Malwarebytes i wkleić go na forum bo może się zdarzyć, że wirus dalej siedzi w systemie tylko jest ukryty?

Proszę również o poradę w sprawie wyboru programu antywirusowego. Bardzo bym prosił, aby nie był on za mocno obciążający dla systemu (kumpel ma procesor 2.0 GHz i 512 MB RAM), posiadał polski interfejs i co najważniejsze był darmowy. Dodam jeszcze, że przed tymi problemami, w systemie pracował program NOD, ale była to wersja trial, po której został zainstalowany program Alca Vir (bez deinstalacji poprzedniego), który nie działał jak należy - nie aktualizowały się bazy wirusów itp., potem dopiero, poprosiłem o deinstalację tych softów i zainstalowanie nowego antryvira - avasta! 5.0.418 który ładnie działał aż do wystąpienia problemów. Pamiętam, że kumpel chciał instalować Avirę ale też się nie aktualizował a avast! spodobał mu się, bo jest szybki i bezproblemowo się aktualizuje. Wydaje mi się jednak, że z avastem! drugi raz nie zaryzykujemy. Co polecacie?

[Stillborn]

Avast! jest znany z tego, że lubi wywoływać fałszywe alarmy, więc wcale nie jest powiedziane, że masz zainfekowany system. Choć z drugiej strony, mając Avasta! jestem pewien, że masz jednak trochę śmiecia.

Przeskanuj komputer za pomącą Malwarebytes' Anti-Malware i pozwól mu wyleczyć to, co znajdzie. Log wklej na forum.

No i najważniejsze: pozbądź się Avasta!. Użyj np. Avirę lub pakietu antivir + firewall od COMODO.

[Private_Arti]

Dziękuję za porady.

Wklejam pliki .log z komputera. Czy możemy bezpiecznie usunąć te wykryte zagrożenia?

Zainfekowane procesy w pamięci: 0

Zainfekowane moduły pamięci: 0

Zainfekowane klucze rejestru: 0

Zainfekowane wartości rejestru: 0

Zainfekowane pliki rejestru: 4

Zainfekowane foldery: 2

Zainfekowane pliki: 9

Zainfekowane procesy w pamięci:

(Nie wykryto groźnych plików)

Zainfekowane moduły pamięci:

(Nie wykryto groźnych plików)

Zainfekowane klucze rejestru:

(Nie wykryto groźnych plików)

Zainfekowane wartości rejestru:

(Nie wykryto groźnych plików)

Zainfekowane pliki rejestru:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BITS\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemRoot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> No action taken.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemroot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> No action taken.

Zainfekowane foldery:

C:\Program Files\RelevantKnowledge (Spyware.MarketScore) -> No action taken.

C:\WINDOWS\system32\AdCache (AdWare.Cydoor) -> No action taken.

Zainfekowane pliki:

C:\WINDOWS\system32\AdCache\B_164900.htm (AdWare.Cydoor) -> No action taken.

C:\WINDOWS\system32\AdCache\B_356300.htm (AdWare.Cydoor) -> No action taken.

C:\WINDOWS\system32\AdCache\B_434_2_0_127200.gif (AdWare.Cydoor) -> No action taken.

C:\WINDOWS\system32\AdCache\B_434_2_0_127200.htm (AdWare.Cydoor) -> No action taken.

C:\WINDOWS\system32\AdCache\B_434_2_4_207400.htm (AdWare.Cydoor) -> No action taken.

C:\WINDOWS\system32\AdCache\B_434_2_4_207400.swf (AdWare.Cydoor) -> No action taken.

C:\Documents and Settings\XP\Dane aplikacji\wiaserva.log (Malware.Trace) -> No action taken.

C:\Documents and Settings\XP\Ulubione\Mp3 Downloads - -.url (Rogue.Link) -> No action taken.

C:\Documents and Settings\XP\Dane aplikacji\avdrn.dat (Malware.Trace) -> No action taken.

Widzę, że pierwszy wpis zawiera coś takiego: AntiVirusDisableNotify. Czy może to być przyczyna tego, że avast! nie chciał się uruchomić?

[Sevard]

Nie, przyczyną jest to, że Avasta jest bardzo łatwo zablokować. AntiVirusDisableNotify przestawione na 1 oznacza, że centrum zabezpieczeń nie informuje o tym, że antywirus jest nieaktywny, lub nieaktualny.

To co zostało znalezione napraw. Następnie wykonaj jeszcze jeden pełny skan za pomocą Malwarebytes' Anti-Malware i daj log powstały po zakończeniu skanowania. Następnie przeskanuj kompa za pomocą a-squared Free odpalonym w trybie awaryjnym i z niego również daj loga. Na koniec wygeneruj log za pomocą programu RSIT i wklej go na forum.

Tu mała uwaga, a mianowicie AdWare.Cydoor, czyli jeden ze szkodników, które znalazł Malwarebytes', jest częścią niektórych programów, które bez niego nie będą działać (np. część programów P2P, zdaje się, że również FlashGet). Jest to program dostarczający reklamy do Twojego kompa i ta funkcja jest jeszcze znośna, niestety jednak są to reklamy spersonalizowane, a co za tym idzie program wysyła w sieć informacje o Tobie, więc należy się tych programów pozbyć.

Kolejna rzecz, czy na ekranie pojawiają się jakieś dziwne komunikaty?

[Private_Arti]

Pełne skanowanie wykonam i zaprezentuję log-a. Wpisy odnalezione do tej pory już usunęliśmy. Mam tyloko pytanie, czy z kwarantanny też usunąć te wpisy? Czy jak one są w kwarantannie to tak jakby wciąż były aktywne? Zauważylismy też, że te wpisy:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BITS\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemRoot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> No action taken.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemroot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> No action taken.

Pojawiają się nawet, jak wybierzemy ich usunięcie. Czy to normalne bo to jest ważny składnik systemu?

Ponieważ obsługa tych dwóch programów (RSIT, a-squared Free) jest trochę czasochłonna, czy mogę zastąpić je programem Hijack this? Żadnych programów P2P nie ma zainstalowanych na komputerze, podobnie jak menadżerów pobierania itp., jedynie nowe GG. Na szczęście żadne podejrzane komunikaty się nie wyświetlają.

Odnośnie programów antywirusowych, mam na oku trzy do wyboru: Avira AntiVir Personal, Microsoft Security Essentials lub Dr.WEB CureIt!, czy różnią się one znacząco od siebie pod względem funkcjonalności? Czy np. Dr. WEB może sam pracować bez instalacji niczego innego, czy też nie, bo to jedynie skaner? Znalazłem również na dysku programik Stinger - warto go od czasu do czasu używać, gdy już będzie działał sobie antywirus?

[Sevard]

Wpisy w kwarantannie są już nieszkodliwe, w systemie już ich nie ma. Jeśli chodzi o te dwa wymienione wpisy, to nie jest to normalne. Jest podmieniona jedna literka, co sprawia, że aktualizacje automatyczne nie działają. Ale skoro to wraca, to zaczynam się zastanawiać, czy to nie jest coś bardziej wrednego.

Generowanie loga z RSITa trwa chwilę, a zawiera kilka rzeczy więcej niż log z HJT. a-squared Free jest natomiast zupełnie inaczej działającym programem, można go zastąpić SpyBotem S&D, AdAware, lub SUPERAntiSpyware.

Jeśli chodzi o antywirusy, to Avira jest ok, poza tym mogę polecić Comodo Internet Security (tego sam używam), o antywirusie od MS sporo dobrego słyszałem, ale niestety nie miałem okazji go przetestować. Dr.Web CureIt! to niestety sam skaner, całkiem niezły i warto go co jakiś czasu użyć, ale nie zapewnia on aktywnej ochrony, więc należy mieć coś jeszcze. Jeśli zaś chodzi o Stingera, to ja wolę Dr.Web, ma większą bazę wirusów i tak jakoś się do niego przyzwyczaiłem.

[Private_Arti]

Log z programu RSIT postaram się zaprezentować po weekendzie. Wykonaliśmy pełne skanowanie w programie Mallware, oto log:

Zainfekowane procesy w pamięci: 0

Zainfekowane moduły pamięci: 0

Zainfekowane klucze rejestru: 0

Zainfekowane wartości rejestru: 0

Zainfekowane pliki rejestru: 2

Zainfekowane foldery: 0

Zainfekowane pliki: 3

Zainfekowane procesy w pamięci:

(Nie wykryto groźnych plików)

Zainfekowane moduły pamięci:

(Nie wykryto groźnych plików)

Zainfekowane klucze rejestru:

(Nie wykryto groźnych plików)

Zainfekowane wartości rejestru:

(Nie wykryto groźnych plików)

Zainfekowane pliki rejestru:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BITS\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemRoot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> No action taken.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemroot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> No action taken.

Zainfekowane foldery:

(Nie wykryto groźnych plików)

Zainfekowane pliki:

C:\System Volume Information\_restore{671D787D-5A98-4CA7-8208-8BF3181FC8A7}\RP768\A0097630.sys (Rootkit.Agent) -> No action taken.

C:\System Volume Information\_restore{671D787D-5A98-4CA7-8208-8BF3181FC8A7}\RP773\A0102261.exe (Trojan.Dropper) -> No action taken.

C:\System Volume Information\_restore{671D787D-5A98-4CA7-8208-8BF3181FC8A7}\RP774\A0105311.exe (Trojan.Dropper) -> No action taken.

Czy można bezpiecznie usunąć te zainfekowane pliki? System Volume Information - to chyba, nie oznacza nic dobrego ;/

[Sevard]

Można je usunąć. System Volume Information to tak naprawdę punkty przywracania, więc bez obaw można usuwać.

[Private_Arti]

Specjalnie odczekałem tydzień, aby sprawdzić czy coś w systemie się popsuje ale nic złego się nie dzieje, poza jedną rzeczą: system nie chciał się zamknąć w ogóle. Poczytałem w sieci i dowidziałem się, że winę za to może ponosić albo zaśmiecony system albo rejestr. Zmieniłem dwie wartości rejestru (PowerOffActive oraz ClearPageFileAtShutdown) ale nic to nie dało. Wykonałem czyszczenie dysków, usunąłem zbędne aplikacje (właściwie wszystko poza MS Office, kodekami i programami do czyszczenia) ? nic. Sprawdziłem dyski Scandiskiem, skanowanie pełne wykonywało się koszmarnie długo, ale po skończeniu na szczęście nie doszukałem się żadnych uszkodzeń ani błędów w systemie plików. W końcu zdecydowałem się na defragmentację i to pomogło ? system zamyka się piorunem, ale uruchamia się bardzo długo, prawie 2 minuty. Dodam, że wcześniej, przy ogromnej ilości programów trwało to max. 15 sekund. Co zrobić? Czy wkleić znowu jakieś logi? W autostarcie wyłączyłem prawie wszystko, zacząłem kombinować także z usługami. Czy mogło to wpłynąć na szybkość uruchamiania?

[Sevard]

Tak, mogło. Spróbuj użyć programu BootVis w celu zoptymalizowania startu systemu. Przeinstalowanie antywirusa też może pomóc.

[Private_Arti]

Dzięki za odpowiedź.

Mamy nowy kłopot - kumpel przeczyścił rejestr programem RegSupreme i wykazało mu, że ma ponad 700 błędnych wpisów. Usunął je i teraz często po załadowaniu się systemu i pojawieniu tapety, pojawia się blue screen, że wystąpił problem z plikiem Win32k.sys. Co mogło się stać? Czy ten program coś namieszał? Kumpel wykonał jedynie kopię rejestru w reg edicie. Przywrócić ją?

[Sevard]

BSOD z tym konkretnym plikiem nie mówi zupełnie nic (przyczyną może być wszystko, sam plik jest zazwyczaj niewinny). Proponuję przywrócić rejestr i sprawdzić, czy działa. Rejestr należy czyścić z głową, tzn. sprawdzić co jest naprawiane.

[Private_Arti]

Zainstalowaliśmy ten program BootVis i po restarcie pojawił się komunikat, że jeden z plików zawierających dane rejestru musiał zostać odzyskany z oryginalnego dziennika i że proces ten zakończył się pomyślnie. Komunikat ten pojawia się przy każdym restarcie. Zauważyłem również, że uruchamiana jest usługa dumprep 0 -k więc odhaczyliśmy ją. Dalej przywrócić rejestr?

[Sevard]

Jeśli system działa, to być może nie będzie to konieczne. Jeśli problem ze startem występuje nadal, to wyłącz na chwilę automatyczne aktualizacje i zobacz jak wtedy to będzie wyglądać.

Chyba, że info o tym wpisie nie zniknie, wtedy przywróć rejestr i zobacz co się będzie działo wtedy.

[Private_Arti]

Jak na razie wszystko działa stabilnie (bez przywracania rejestru). Zastanawia tylko to, że system wciąż ładuje się prawie minutę. Co ciekawe, od momentu restartu do pojawienia się logo Windows mija dosłownie 5 sekund i ekran gaśnie, po czym od razu powinno pojawić się okno logowania, a tu nic tylko czarny ekran i taki stan jest przez ok. 25 sekund.