TORU Foorum - HJT logi palun üle vaadata.(eemaldasin äsja trooja arvutist)

HJT logi palun üle vaadata.(eemaldasin äsja trooja arvutist)

Scorps - 7.3.2011 04:56

Nimelt täna hakkas arvuti trikitama.
Viiruse kaitse pold uuendatud.
Tegin selle ära ja skännisin ära.
Leidis suht palju saasta.
Avastasin et midagi on halvasti kui mängides world of warcrafti tuli nö popup window mis sisaldas erinevat texti.
1 tekst: You have played wow long time wold you like to taje a break.Valikud: Yes, No ja X
2 tekst: world of warcraft king wants to speak to you
3 text you made world of warcraft king angry

Kolmas text tuli peale seda kui tegin NOD-ile uuenduse ja panin skännima
Sain aru et ollakse remotes mu arvutis.
Tõmbasin võrgujuhtme peale uuendusi tagant ja tägin full skänni nii nodi kui ka spy bot search and destry-ga.
Ma pole kindel et arvuti sellest saastast puhas on.

Lisa fail: hijackthis.log (10kB)
Seda faili on alla laaditud 611 korda

A.S. - 7.3.2011 10:43

O4 - HKCU\..\Run: [HKCU] C:\Users\Tann\AppData\Roaming\system32\scvhost.exe
O4 - Startup: 57471808_newcrytped.exe
O4 - Startup: license.dll

Nende asjade kohta ei oska mina küll midagi arvata. Esimene on üsna tõenäoline pahalasekandidaat, aga need teised?

s3ri0us - 7.3.2011 11:19

mul on ka scvhost.exe , viirus `?

A.S. - 7.3.2011 11:57

On sul sama koha peal, st. mitte Windowsi kaustas?
Või peabki x64 opsüsteemil kasutaja all ka scvhost.exe olema?

Scorps - 7.3.2011 12:29

Leidsin sellist infot:

http://www.neuber.com/taskmanager/process/svchost.exe.html

Leidsin ka sellist infot:

Svchost.exe is the most mysterious process in Windows XP/Vista. Svchost.exe is a generic host process name for services that run from dynamic-link libraries (DLLs). The authentic svchost.exe file is located in C:\Windows\System32, but numerous viruses and trojans use the same file and process name to hide their activities.

http://www.neuber.com/free/svchost-analyzer/

Nagu näete on osadel protsessidel Description puudu kas see on õige?

A.S. - 7.3.2011 12:52

Niimoodi kirjutas: Scorps

Description puudu kas see on õige?

Kui Windowsi omadel puudu, siis on vist veidi pahasti.
Näiteks see csrss.exe peaks olema 'Client Server Runtime Process' ja winlogon. exe 'Windows Logon Application'.
Või on seal probleemiks mingite õiguste puudumine?

DazBoot - 7.3.2011 13:17

Scorps, ära aja segamini svchost.exe (wini enda protsess) ja scvhost.exe (mis on viirus)!
Ma logi ei uurinud aga eelmistest postidest näha, et sul istub seal selline asi:

O4 - HKCU\..\Run: [HKCU] C:\Users\Tann\AppData\Roaming\system32\scvhost.exe

Scorps - 7.3.2011 13:24

eemaldasin selle Trend Micro Hijack This (v2.0.4)-ga

Gals - 7.3.2011 13:40

Kui palju neid svchost'e olema peaks, et asi normaalne veel oleks? Mul on neid 12.

Aixx - 7.3.2011 13:45

Mul on 14, see number ei näita midagi, afaik.

DonQ - 7.3.2011 13:49

Gals, küsimus pole selles, kui palju - küsimus on selles, kuskohast nad käivitatud on ja mis teenuseid jooksutavad. Käivitamise kohta võid näha samast Task Managerist (Vista ja uuemad), kui paned protsesside vaates command line veeru nähtavale. (Mul Vista all neid ka 12, XP all 5 - aga mõlemad on pisut konfitud ehk tavaliselt on XP all rohkem ja Vista all vist ka. W7 kohta ei oska praegu midagi öelda.)

Autoruns koos signatuuri kontrolli ja Windows/MS asjade peitmisega annab üldiselt palju adekvaatsema pildi kui HJT.

Lord Ami - 7.3.2011 18:05

Arvuti tuleks veel üle lasta uuendatud MBAM'iga ja Hitman Pro'ga.