PDA

View Full Version : Вирус Svchost.exe



Angel_Girl
10-11-2006, 22:34
Здравейте!!!
Искам да попитам как да си махна този скапан вирус!? Значи стой ми във Local Service, Network Service и в System.
Форматирах си целия хард диск и нищо пак си стой.
Капсерски го лови, но неможе да го изтрие и незнам какво да правя.
Моля ако някой може да ми помогне да го направи, защото аз незнам и ще се побаркам.
Благодаря на всички предварително.

Psycho Realm
10-12-2006, 11:24
svchost си е процес на Windows, но както и да е... И кой е вируса, заразил този процес?

KoRn
10-12-2006, 11:58
mdaa verno 4e e process no qvno niakoi xora sa tvurde tupi :evil: :!: :!: :!: :!:

Angel_Girl
10-12-2006, 18:18
mdaa verno 4e e process no qvno niakoi xora sa tvurde tupi :evil: :!: :!: :!: :!:
Дам, разбрах вече, че е процес на Windows-а. И това, че не съм знаела не ме прави тъпа ясно ли ти е?
Ок, но да попитам като не е вирус, защо тогава Касперски го засича като такъв и защо, когато искам да го изключа от Windows Task Manager ми текът секунди и ми се рестартира компютъра!?

Forslor
10-12-2006, 21:19
mdaa verno 4e e process no qvno niakoi xora sa tvurde tupi :evil: :!: :!: :!: :!:
Дам, разбрах вече, че е процес на Windows-а. И това, че не съм знаела не ме прави тъпа ясно ли ти е?
Ок, но да попитам като не е вирус, защо тогава Касперски го засича като такъв и защо, когато искам да го изключа от Windows Task Manager ми текът секунди и ми се рестартира компютъра!?
Влез в SAFE MODE .... и пусни касперски да сканира и след като го откриe трябва да го дизинфектне....и дати реши проблема.

Angel_Girl
10-12-2006, 22:11
Влез в SAFE MODE .... и пусни касперски да сканира и след като го откриe трябва да го дизинфектне....и дати реши проблема.
Благодаря!!!
Ще пробвам и дано да стане.

niGGa
10-12-2006, 22:11
mdaa verno 4e e process no qvno niakoi xora sa tvurde tupi :evil: :!: :!: :!: :!:
ти батко колко си прост само незнам дали осъзнаваш..
пробвай сейф мод.Пробвай и друга антивирусна..Аз примерно не съм фен на руските простотии..

Angel_Girl
10-12-2006, 22:15
mdaa verno 4e e process no qvno niakoi xora sa tvurde tupi :evil: :!: :!: :!: :!:
ти батко колко си прост само незнам дали осъзнаваш..
пробвай сейф мод.Пробвай и друга антивирусна..Аз примерно не съм фен на руските простотии..
Ок и това ще пробвам и дано стане.
Svchost.exe найстина е процес към Windows-a, но незнам защо като се опитам да го спра ми се рестартира компютъра и защо Касперски го чете като вирус, а неможе да го изтрие?
Благодаря все пак ще пробвам всичко, което предложихте. При всички положение няма нищо да загубя. :)

NiKOLAN
10-12-2006, 23:24
Svchost.exe найстина е процес към Windows-a, но незнам защо като се опитам да го спра ми се рестартира компютъра и защо Касперски го чете като вирус, а неможе да го изтрие?:) [/b]не съм сигурен ама май тоя процес ти подържаше един сигнал (watchdog) дето ако не се подава през минута на процесора ти той се рестартира. останалото е сложно...
а касперски неможе да го изтрие по никакъв начин защото най малкото е отворен в момента (файла свхост.екзе), да не говорим че е системен...
общо взето там дето ти казаха сейф модове ала бала, но да ти кажа честно незнам дали ще ти помогне. успех :smt006

10-13-2006, 08:46
не съм сигурен ама май тоя процес ти подържаше един сигнал (watchdog) дето ако не се подава през минута на процесора ти той се рестартира.

watchdog (където го има в процесорите на интел и АМД) се опреснява на 4-5 секунди и не се опреснява от процес във User Mode часта на операционната система а от самото й ядро.
svchost както си пише е хост
svchost стартира и поддържа работата на множество services, някой от които критични (critical). Съответно end task на такъв процес windows-a "вижда" липсата му (как точно е организирано не мога да кажа). И дава на потребителя една минута за да си запише "работата" и се рестартира. svchost.exe поддържа RPC (Remote Procedure Call) имаше бъг във Windows XP (без SP) който водеше до крашване на този service и до рестартирането на компютъра.
По-принцип във найстройките на всеки отделен service може да се настрои как да реагира операционната система при crash на даденият service. Като възможносттите са както следва:
- рестартиране на service-а
- рестартиране на PC
- стартиране на програма

като има възможност да се оказва различна процедура за първия краш, за втория и за следващите.

Относно watchdog-a 1 минута е огромно време за нещо което трябва да следи коректността на програмата. 1 Минута са 60 секунди, при един процесор от порядака на 1-2GHz това са ти 1-2 милиона инструкции във секунда, то ва са ти 60-120 милиона инструкции в минута, това са ти толкова много инструкции, че може и атомна бомба да се задейства с тях, идеята на watchdog-a е да пази от такива неща :)

Angel_Girl
10-13-2006, 09:44
Добре. Разбрах, че това не е вирус. Тогава имам друг въпрос защо Касперски ми го чете като вирус? И защо, когато свалям нещо с BitComet почва да ми се омазва операционната система? Никога друг път, когато съм сваляла не е ставало така. Даже съм сваляла 3-4 филма наведнъж и Windows-а си е вървял отлично, а сега незнам от какво може да е това???

NiKOLAN
10-13-2006, 09:53
има една песен чуй я -> http://www.data.bg/f.php?fid=18432510

а за лочдога ис знаех че не съм прав ама тя ангела не го знаеше така че щеше да мине за някакво обяснение...

Forslor
10-13-2006, 11:13
Добре. Разбрах, че това не е вирус. Тогава имам друг въпрос защо Касперски ми го чете като вирус? И защо, когато свалям нещо с BitComet почва да ми се омазва операционната система? Никога друг път, когато съм сваляла не е ставало така. Даже съм сваляла 3-4 филма наведнъж и Windows-а си е вървял отлично, а сега незнам от какво може да е това???
1- Имаш ли инсталиран SP2 ?
2-Част ли си от локална мрежа
3- Направи един скрийншот да видим като какво точно го определя Kaspersky.
4- Изтегли HiJackThis
:arrow: DOWNLOAD (http://forpicsss.hit.bg/hijackthis.zip)След като я дръшнеш даваш Scan после Safe Log мисля ,че беше и пействаш този лог тук!

Axxxel
10-13-2006, 20:58
Отново нищо наблизо около отговора...svchost.exe наистина си е процес в уин-а...даже цели 4-5 процеса.Процеса е мрежов...това означава, че използва и локалната мрежа и интернет-а, ако има такъв...

ТУК (http://www.processlibrary.com/directory/files/svchost/) ще намериш инфо...както за самия процес така и за възможните вируси, които могат да се закачат към този процес.Ето как един проблем може да се реши, стига просто да знаеш как да търсиш решението

Angel_Girl
10-13-2006, 21:42
Добре. Разбрах, че това не е вирус. Тогава имам друг въпрос защо Касперски ми го чете като вирус? И защо, когато свалям нещо с BitComet почва да ми се омазва операционната система? Никога друг път, когато съм сваляла не е ставало така. Даже съм сваляла 3-4 филма наведнъж и Windows-а си е вървял отлично, а сега незнам от какво може да е това???
1- Имаш ли инсталиран SP2 ?
2-Част ли си от локална мрежа
3- Направи един скрийншот да видим като какво точно го определя Kaspersky.
4- Изтегли HiJackThis
:arrow: DOWNLOAD (http://forpicsss.hit.bg/hijackthis.zip)След като я дръшнеш даваш Scan после Safe Log мисля ,че беше и пействаш този лог тук!
Заповядай HijackThis (http://www.picvalley.net/u/36/35394_085.JPG)

10-13-2006, 23:14
При положение, че си уплескала компа с всевъзможни програми не очаквай да върви добре.

Forslor
10-13-2006, 23:24
Angel_Girl ДАЙ НА SAFE LOG и просто ми копирай написаното тук.

Angel_Girl
10-14-2006, 00:14
Logfile of HijackThis v1.97.7
Scan saved at 02:15:09, on 14.10.2006 г.
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\IDA\ida.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\Datecs\Flex2K.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\BitComet\BitComet.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Install\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {2A646672-9C3A-4C28-9A7A-1FB0F63F28B6} - C:\PROGRA~1\IDA\idaiehlp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: IDA Bar - {C70E30C7-140A-4166-A2E8-43557E62B41A} - C:\Program Files\IDA\idabar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Internet Download Accelerator] C:\Program Files\IDA\ida.exe -autorun
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BitComet] "C:\Program Files\BitComet\BitComet.exe"
O4 - HKCU\..\Run: [VoipBuster] "C:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe" -nosplash -minimized
O4 - Startup: BitComet.lnk = C:\Program Files\BitComet\BitComet.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: FlexType 2K.lnk = C:\WINDOWS\Datecs\Flex2K.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Add to Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: Download ALL with IDA - C:\Program Files\IDA\idaieall.htm
O8 - Extra context menu item: Download with IDA - C:\Program Files\IDA\idaie.htm
O9 - Extra button: Web Anti-Virus (HKLM)
O9 - Extra button: Internet Download Accelerator (HKLM)
O9 - Extra 'Tools' menuitem: &Internet Download Accelerator (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E45AB20B-6E1E-4220-8A5C-A8EE5D5DB23B}: NameServer = 195.149.248.30 195.149.248.1

Forslor
10-14-2006, 11:05
ida.exe или само IDA има много голяма вероятност да е това причината- Internet Download Accelerator , всмисъл този процес изобщо може да няма никаква връзка с download manager-a ти, а просто се представя за такъв . Натисни Ctrl+Alt +Del и дай End Task на IDA.EXE . Пусни пак Касперски да сканира и ако е то ще го делне/дизинфектне и т.н. Ако не стане от там може от HiJackThis да се изтрие от регистъра,но като немога да кажа със сигурност ,че е това е пролема :-k по добре не го пипай.

Виждам ,че си с SP1 , сложи SP2 по възможност. Само никъде не прочетох дали си пробвала в SAFE MODE да сканираш ?!?

Angel_Girl
10-14-2006, 14:38
Извинявам се много, но май проблема е хардуерен. Мисля, че е от перката. Нещо не работи както трябва захранването и перката на процесора и ще ги сменям.
Благодаря все пак на всички за вниманието и помоща. :wink:

Axxxel
10-14-2006, 21:29
Изнервих се на самия себе си :smt013 .Как така не съм погледнал за признаците на вируса...а ти даже не си ги описала...

az_i_ko_we
10-14-2006, 23:27
мацка подозирам че имаш бластер (той така прави)
а тва че перката ти е спряля ми яко ти стар и мръсен компа - чисти го в месеца един път поне...
ако си готина може да дойда да ти оправя компа и да ме черпиш една бира (2л)

а как се маха бластер питай чичо гугъл....

(ест може и да бъркам говоря на изуст)

NiKOLAN
10-15-2006, 12:45
а как се маха бластер питай чичо гугъл....а.к.а. дата.бг

Angel_Girl
10-15-2006, 22:27
Изнервих се на самия себе си :smt013 .Как така не съм погледнал за признаците на вируса...а ти даже не си ги описала...
Нищо не разбрах, но както и да е. Мерси на всички за помоща още веднъж :D

а тва че перката ти е спряля ми яко ти стар и мръсен компа - чисти го в месеца един път поне...
В прочем не ми е стар компютъра. На 10 месеца е :-D просто него бях почиствала до днес.

12-28-2006, 14:32
mdaa verno 4e e process no qvno niakoi xora sa tvurde tupi :evil: :!: :!: :!: :!: