Nimelt täna hakkas arvuti trikitama.
Viiruse kaitse pold uuendatud.
Tegin selle ära ja skännisin ära.
Leidis suht palju saasta.
Avastasin et midagi on halvasti kui mängides world of warcrafti tuli nö popup window mis sisaldas erinevat texti.
1 tekst: You have played wow long time wold you like to taje a break.Valikud: Yes, No ja X
2 tekst: world of warcraft king wants to speak to you
3 text you made world of warcraft king angry

Kolmas text tuli peale seda kui tegin NOD-ile uuenduse ja panin skännima
Sain aru et ollakse remotes mu arvutis.
Tõmbasin võrgujuhtme peale uuendusi tagant ja tägin full skänni nii nodi kui ka spy bot search and destry-ga.
Ma pole kindel et arvuti sellest saastast puhas on.



Lisa fail: hijackthis.log (10kB)
Seda faili on alla laaditud 611 korda

O4 - HKCU\..\Run: [HKCU] C:\Users\Tann\AppData\Roaming\system32\scvhost.exe
O4 - Startup: 57471808_newcrytped.exe
O4 - Startup: license.dll

Nende asjade kohta ei oska mina küll midagi arvata. Esimene on üsna tõenäoline pahalasekandidaat, aga need teised?

mul on ka scvhost.exe , viirus `?

On sul sama koha peal, st. mitte Windowsi kaustas?
Või peabki x64 opsüsteemil kasutaja all ka scvhost.exe olema?

Leidsin sellist infot:

http://www.neuber.com/taskmanager/process/svchost.exe.html

Leidsin ka sellist infot:

Svchost.exe is the most mysterious process in Windows XP/Vista. Svchost.exe is a generic host process name for services that run from dynamic-link libraries (DLLs). The authentic svchost.exe file is located in C:\Windows\System32, but numerous viruses and trojans use the same file and process name to hide their activities.

http://www.neuber.com/free/svchost-analyzer/

Nagu näete on osadel protsessidel Description puudu kas see on õige?

Niimoodi kirjutas: Scorps

Description puudu kas see on õige?

Kui Windowsi omadel puudu, siis on vist veidi pahasti.
Näiteks see csrss.exe peaks olema 'Client Server Runtime Process' ja winlogon. exe 'Windows Logon Application'.
Või on seal probleemiks mingite õiguste puudumine?

Scorps, ära aja segamini svchost.exe (wini enda protsess) ja scvhost.exe (mis on viirus)!
Ma logi ei uurinud aga eelmistest postidest näha, et sul istub seal selline asi:

O4 - HKCU\..\Run: [HKCU] C:\Users\Tann\AppData\Roaming\system32\scvhost.exe

eemaldasin selle Trend Micro Hijack This (v2.0.4)-ga

Kui palju neid svchost'e olema peaks, et asi normaalne veel oleks? Mul on neid 12.

Mul on 14, see number ei näita midagi, afaik.

Gals, küsimus pole selles, kui palju - küsimus on selles, kuskohast nad käivitatud on ja mis teenuseid jooksutavad. Käivitamise kohta võid näha samast Task Managerist (Vista ja uuemad), kui paned protsesside vaates command line veeru nähtavale. (Mul Vista all neid ka 12, XP all 5 - aga mõlemad on pisut konfitud ehk tavaliselt on XP all rohkem ja Vista all vist ka. W7 kohta ei oska praegu midagi öelda.)

Autoruns koos signatuuri kontrolli ja Windows/MS asjade peitmisega annab üldiselt palju adekvaatsema pildi kui HJT.

Arvuti tuleks veel üle lasta uuendatud MBAM'iga ja Hitman Pro'ga.