Вирус Svchost.exe

[Angel_Girl]

Здравейте!!!
Искам да попитам как да си махна този скапан вирус!? Значи стой ми във Local Service, Network Service и в System.
Форматирах си целия хард диск и нищо пак си стой.
Капсерски го лови, но неможе да го изтрие и незнам какво да правя.
Моля ако някой може да ми помогне да го направи, защото аз незнам и ще се побаркам.
Благодаря на всички предварително.

[Psycho Realm]

svchost си е процес на Windows, но както и да е... И кой е вируса, заразил този процес?

[KoRn]

mdaa verno 4e e process no qvno niakoi xora sa tvurde tupi

[Angel_Girl]

mdaa verno 4e e process no qvno niakoi xora sa tvurde tupi

Дам, разбрах вече, че е процес на Windows-а. И това, че не съм знаела не ме прави тъпа ясно ли ти е?
Ок, но да попитам като не е вирус, защо тогава Касперски го засича като такъв и защо, когато искам да го изключа от Windows Task Manager ми текът секунди и ми се рестартира компютъра!?

[Forslor]

mdaa verno 4e e process no qvno niakoi xora sa tvurde tupi

Дам, разбрах вече, че е процес на Windows-а. И това, че не съм знаела не ме прави тъпа ясно ли ти е?
Ок, но да попитам като не е вирус, защо тогава Касперски го засича като такъв и защо, когато искам да го изключа от Windows Task Manager ми текът секунди и ми се рестартира компютъра!?

Влез в SAFE MODE .... и пусни касперски да сканира и след като го откриe трябва да го дизинфектне....и дати реши проблема.

[Angel_Girl]

Влез в SAFE MODE .... и пусни касперски да сканира и след като го откриe трябва да го дизинфектне....и дати реши проблема.

Благодаря!!!
Ще пробвам и дано да стане.

[niGGa]

mdaa verno 4e e process no qvno niakoi xora sa tvurde tupi

ти батко колко си прост само незнам дали осъзнаваш..
пробвай сейф мод.Пробвай и друга антивирусна..Аз примерно не съм фен на руските простотии..

[Angel_Girl]

mdaa verno 4e e process no qvno niakoi xora sa tvurde tupi

ти батко колко си прост само незнам дали осъзнаваш..
пробвай сейф мод.Пробвай и друга антивирусна..Аз примерно не съм фен на руските простотии..

Ок и това ще пробвам и дано стане.
Svchost.exe найстина е процес към Windows-a, но незнам защо като се опитам да го спра ми се рестартира компютъра и защо Касперски го чете като вирус, а неможе да го изтрие?
Благодаря все пак ще пробвам всичко, което предложихте. При всички положение няма нищо да загубя.

[NiKOLAN]

Svchost.exe найстина е процес към Windows-a, но незнам защо като се опитам да го спра ми се рестартира компютъра и защо Касперски го чете като вирус, а неможе да го изтрие? [/b]

не съм сигурен ама май тоя процес ти подържаше един сигнал (watchdog) дето ако не се подава през минута на процесора ти той се рестартира. останалото е сложно...
а касперски неможе да го изтрие по никакъв начин защото най малкото е отворен в момента (файла свхост.екзе), да не говорим че е системен...
общо взето там дето ти казаха сейф модове ала бала, но да ти кажа честно незнам дали ще ти помогне. успех

не съм сигурен ама май тоя процес ти подържаше един сигнал (watchdog) дето ако не се подава през минута на процесора ти той се рестартира.

watchdog (където го има в процесорите на интел и АМД) се опреснява на 4-5 секунди и не се опреснява от процес във User Mode часта на операционната система а от самото й ядро.
svchost както си пише е хост
svchost стартира и поддържа работата на множество services, някой от които критични (critical). Съответно end task на такъв процес windows-a "вижда" липсата му (как точно е организирано не мога да кажа). И дава на потребителя една минута за да си запише "работата" и се рестартира. svchost.exe поддържа RPC (Remote Procedure Call) имаше бъг във Windows XP (без SP) който водеше до крашване на този service и до рестартирането на компютъра.
По-принцип във найстройките на всеки отделен service може да се настрои как да реагира операционната система при crash на даденият service. Като възможносттите са както следва:
- рестартиране на service-а
- рестартиране на PC
- стартиране на програма

като има възможност да се оказва различна процедура за първия краш, за втория и за следващите.

Относно watchdog-a 1 минута е огромно време за нещо което трябва да следи коректността на програмата. 1 Минута са 60 секунди, при един процесор от порядака на 1-2GHz това са ти 1-2 милиона инструкции във секунда, то ва са ти 60-120 милиона инструкции в минута, това са ти толкова много инструкции, че може и атомна бомба да се задейства с тях, идеята на watchdog-a е да пази от такива неща

[Angel_Girl]

Добре. Разбрах, че това не е вирус. Тогава имам друг въпрос защо Касперски ми го чете като вирус? И защо, когато свалям нещо с BitComet почва да ми се омазва операционната система? Никога друг път, когато съм сваляла не е ставало така. Даже съм сваляла 3-4 филма наведнъж и Windows-а си е вървял отлично, а сега незнам от какво може да е това???

[NiKOLAN]

има една песен чуй я -> http://www.data.bg/f.php?fid=18432510

а за лочдога ис знаех че не съм прав ама тя ангела не го знаеше така че щеше да мине за някакво обяснение...

[Forslor]

Добре. Разбрах, че това не е вирус. Тогава имам друг въпрос защо Касперски ми го чете като вирус? И защо, когато свалям нещо с BitComet почва да ми се омазва операционната система? Никога друг път, когато съм сваляла не е ставало така. Даже съм сваляла 3-4 филма наведнъж и Windows-а си е вървял отлично, а сега незнам от какво може да е това???

1- Имаш ли инсталиран SP2 ?
2-Част ли си от локална мрежа
3- Направи един скрийншот да видим като какво точно го определя Kaspersky.
4- Изтегли HiJackThis
DOWNLOADСлед като я дръшнеш даваш Scan после Safe Log мисля ,че беше и пействаш този лог тук!

[Axxxel]

Отново нищо наблизо около отговора...svchost.exe наистина си е процес в уин-а...даже цели 4-5 процеса.Процеса е мрежов...това означава, че използва и локалната мрежа и интернет-а, ако има такъв...

ТУК ще намериш инфо...както за самия процес така и за възможните вируси, които могат да се закачат към този процес.Ето как един проблем може да се реши, стига просто да знаеш как да търсиш решението

[Angel_Girl]

Добре. Разбрах, че това не е вирус. Тогава имам друг въпрос защо Касперски ми го чете като вирус? И защо, когато свалям нещо с BitComet почва да ми се омазва операционната система? Никога друг път, когато съм сваляла не е ставало така. Даже съм сваляла 3-4 филма наведнъж и Windows-а си е вървял отлично, а сега незнам от какво може да е това???

1- Имаш ли инсталиран SP2 ?
2-Част ли си от локална мрежа
3- Направи един скрийншот да видим като какво точно го определя Kaspersky.
4- Изтегли HiJackThis
DOWNLOADСлед като я дръшнеш даваш Scan после Safe Log мисля ,че беше и пействаш този лог тук!

Заповядай HijackThis

При положение, че си уплескала компа с всевъзможни програми не очаквай да върви добре.

[Forslor]

Angel_Girl ДАЙ НА SAFE LOG и просто ми копирай написаното тук.

[Angel_Girl]

Logfile of HijackThis v1.97.7
Scan saved at 02:15:09, on 14.10.2006 г.
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\IDA\ida.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\Datecs\Flex2K.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\BitComet\BitComet.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Install\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {2A646672-9C3A-4C28-9A7A-1FB0F63F28B6} - C:\PROGRA~1\IDA\idaiehlp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: IDA Bar - {C70E30C7-140A-4166-A2E8-43557E62B41A} - C:\Program Files\IDA\idabar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Internet Download Accelerator] C:\Program Files\IDA\ida.exe -autorun
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BitComet] "C:\Program Files\BitComet\BitComet.exe"
O4 - HKCU\..\Run: [VoipBuster] "C:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe" -nosplash -minimized
O4 - Startup: BitComet.lnk = C:\Program Files\BitComet\BitComet.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: FlexType 2K.lnk = C:\WINDOWS\Datecs\Flex2K.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Add to Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: Download ALL with IDA - C:\Program Files\IDA\idaieall.htm
O8 - Extra context menu item: Download with IDA - C:\Program Files\IDA\idaie.htm
O9 - Extra button: Web Anti-Virus (HKLM)
O9 - Extra button: Internet Download Accelerator (HKLM)
O9 - Extra 'Tools' menuitem: &Internet Download Accelerator (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E45AB20B-6E1E-4220-8A5C-A8EE5D5DB23B}: NameServer = 195.149.248.30 195.149.248.1

[Forslor]

ida.exe или само IDA има много голяма вероятност да е това причината- Internet Download Accelerator , всмисъл този процес изобщо може да няма никаква връзка с download manager-a ти, а просто се представя за такъв . Натисни Ctrl+Alt +Del и дай End Task на IDA.EXE . Пусни пак Касперски да сканира и ако е то ще го делне/дизинфектне и т.н. Ако не стане от там може от HiJackThis да се изтрие от регистъра,но като немога да кажа със сигурност ,че е това е пролема по добре не го пипай.

Виждам ,че си с SP1 , сложи SP2 по възможност. Само никъде не прочетох дали си пробвала в SAFE MODE да сканираш ?!?

[Angel_Girl]

Извинявам се много, но май проблема е хардуерен. Мисля, че е от перката. Нещо не работи както трябва захранването и перката на процесора и ще ги сменям.
Благодаря все пак на всички за вниманието и помоща.

[Axxxel]

Изнервих се на самия себе си .Как така не съм погледнал за признаците на вируса...а ти даже не си ги описала...

[az_i_ko_we]

мацка подозирам че имаш бластер (той така прави)
а тва че перката ти е спряля ми яко ти стар и мръсен компа - чисти го в месеца един път поне...
ако си готина може да дойда да ти оправя компа и да ме черпиш една бира (2л)

а как се маха бластер питай чичо гугъл....

(ест може и да бъркам говоря на изуст)

[NiKOLAN]

а как се маха бластер питай чичо гугъл....

а.к.а. дата.бг

[Angel_Girl]

Изнервих се на самия себе си .Как така не съм погледнал за признаците на вируса...а ти даже не си ги описала...

Нищо не разбрах, но както и да е. Мерси на всички за помоща още веднъж

а тва че перката ти е спряля ми яко ти стар и мръсен компа - чисти го в месеца един път поне...

В прочем не ми е стар компютъра. На 10 месеца е просто него бях почиствала до днес.

mdaa verno 4e e process no qvno niakoi xora sa tvurde tupi