Witam!
Mam ogromny, problem. Od kilku dni walczylem z wirusami. Usunalem duzo
infekcji. Nie moglem uporac sie z plikiem svchost.exe( w moim przypadku jest to
wirus a nie plik systemowy!!!) Nie mam juz pojecia czym go usunac, jesli skasuje
go z dysku zaraz sie pojawia spowrotem. Po uzyciu NOD32 i skasowaniu wszystkiego
co bylo zainfekowane, nie dziala ani siec, ani karta dzwiekowa. Nie moge znalezc
zadnego patcha na necie. Brak mi juz pomyslow, a wirus dalej siedzi i nod32 w
kolko go wykrywa :-/
Znalazlem taki artykul na necie,

http://www.thinkweird.info/710/svcho...-with-a-virus/

dokladnie ta sama historia, ale ja nie mam drugiego systemu, chyba zostaje mi
tylko killbox, albo jakies inne narzedzie, co o tym sadzicie?

Użytkownik "stabillo" <casio0> napisał w wiadomości
news:ff44
> Witam!
> Mam ogromny, problem. Od kilku dni walczylem z wirusami. Usunalem duzo
> infekcji. Nie moglem uporac sie z plikiem svchost.exe( w moim przypadku jest
> to
> wirus a nie plik systemowy!!!) Nie mam juz pojecia czym go usunac, jesli
> skasuje
> go z dysku zaraz sie pojawia spowrotem. Po uzyciu NOD32 i skasowaniu
> wszystkiego
> co bylo zainfekowane, nie dziala ani siec, ani karta dzwiekowa. Nie moge
> znalezc
> zadnego patcha na necie. Brak mi juz pomyslow, a wirus dalej siedzi i nod32 w
> kolko go wykrywa :-/
> Znalazlem taki artykul na necie,
>
> [..]
>
> dokladnie ta sama historia, ale ja nie mam drugiego systemu, chyba zostaje mi
> tylko killbox, albo jakies inne narzedzie, co o tym sadzicie?

W takim przypadku nie ma co walczyć, tylko usunąć ten system, zainstalować
nowy, założyć sobie konto użytkownika, a przede wszystkim korzystać
z Windows Update i cieszyć sie bezpiecznym systemem. Oczywiście
instalacja jakiegoś dobrego rezydentnego antywirusa pomoże w utrzymaniu
'czystości' systemu.

Piciu

Użytkownik "stabillo" <casio0> napisał w wiadomości
news:ff44
> infekcji. Nie moglem uporac sie z plikiem svchost.exe( w moim
> przypadku jest to
> wirus a nie plik systemowy!!!) Nie mam juz pojecia czym go usunac,
> jesli skasuje
> go z dysku zaraz sie pojawia spowrotem. Po uzyciu NOD32 i skasowaniu
> wszystkiego
> co bylo zainfekowane, nie dziala ani siec, ani karta dzwiekowa. Nie
> moge znalezc

Ale spróbuj jednak to zrobić.
A plik svchost.exe dograć z płyty instalacyjnej. To samo z innymi
plikami, które zostaną usunięte.
Można czasowo zapisać je na dysku pod inną nazwą, by potem spod konsoli
odzyskiwania zmienić na właściwą, po usunięciu starych.

Acha, jeśli pousuwasz infekcje spod systemu, to nie restartuj go, tylko
ewentualnie odczekaj ok. minuty, na zrzut buforów na dysk, a następnie
naciśnij przycisk RESET. To brutalne, ale jest remedium na wszystkie
wirusy, których sposobem na ponowne wypłynięcie na wierzch jest
skorzystanie z zapisów w Rejestrze - niektóre ponownie dopisują swoje
uruchomienie, gdy zamyka się system.

> zadnego patcha na necie. Brak mi juz pomyslow, a wirus dalej siedzi i
> nod32 w
> kolko go wykrywa :-/

Spróbuj wyrżnąć maksimum, ile się da, a oryginalny svchost (i te
wyrżnięte) dasz z płytki instalacyjnej, do
poinstalowania/przeinstalowania także sterowniki. Przygotuj sobie jego
kopię gdzieś na dysku, pod inną nazwą i rozszerzeniem, np.
serwischost.run, czy dowolną inną, o rozszerzeniu w miarę nie z tych
systemowych, bibliotecznych, wykonywalnych.

> Znalazlem taki artykul na necie,
>
> [..]
>
> dokladnie ta sama historia, ale ja nie mam drugiego systemu, chyba
> zostaje mi
> tylko killbox, albo jakies inne narzedzie, co o tym sadzicie?

Ja załatałem system u babki, mozoląc się z tym niesamowicie, gdzie rzecz
polegała na dogłębnym skanowaniu antywirusem (tu był Avast) w trakcie
startu systemu, gdy jeszcze nie pouruchamiają się usługi, pokasowaniu
czego się da, w razie potrzeby przygotować na dysku kopie zdrowych, spod
K.O. podmienić... i tak wkoło... w międzyczasie b. mozolne ręczne
czyszczenie Rejestru, nieraz z koniecznością ponadawania sobie uprawnień
do gałęzi i pousuwaniu ich (ostrożnie, to niebezpieczna robota). W
międzyczasie, sieć była odłączona, jeśli tylko nie było absolutnej
konieczności dociągnięcia czegoś z netu (wirus wyplywał przy czynnym
połączeniu z siecią i od nowa polka...). Poblokowałem na FW (KPF215pl)
wszystkie porty, które nie były używane przez zainstalowane programy -
przeglądarkę WWW, program pocztowy, ewentualnie FTP, Skype i GG. Reszta
szlaban, o ile nie miała uzasadnionych potrzeb na inny z portów. Taka
kombinacja maksymalnego czyszczenia, odłączania od sieci, wymuszenia w
GPO startu i działania zapory systemowej (bo normalnie po kilku
sekundach wyłączała się), w końcu dała efekt - wirus przestal wypływać,
może nawet go ubiłem, bo antyrootkit, skan antywirem i antyszpiegiem nic
już nie wykazuje, mimo nawet połączenia z siecią, no, ale trzymam
poblokowane porty usług systemowych. Jak pani wróci, bo wyjechała, to
reinstalka, po zabezpieczeniu danych.
Żadne narzędzia do usuwania trojanów (bo to trojan był) nic nie dawały.
Antyrootkity takowoż. Dopiero mozolne czyszczenie ręczne... Nie policzę,
ile macałem Google, mało to dało...

Użytkownik "Piotr Krzyżański" <piciu> napisał w wiadomości
news:dvb1
> W takim przypadku nie ma co walczyć, tylko usunąć ten system,
> zainstalować
> nowy, założyć sobie konto użytkownika, a przede wszystkim korzystać
> z Windows Update i cieszyć sie bezpiecznym systemem. Oczywiście
> instalacja jakiegoś dobrego rezydentnego antywirusa pomoże w
> utrzymaniu
> 'czystości' systemu.

To chyba by było najlepsze... ale tak mi sie jakoś... że czasem warto
uratować to, co jest...
Ale oczywiście, jeśli nic z tego, to reinstal, po zbackupowaniu danych i
żegnaj wirek...
Tylko, że ja bym jeszcze przeczyścił zerowy cylinder dysku... A
przynajmniej MBR i superblok.

Użytkownik "Sempiterna" <rzopa> napisał w wiadomości
news:e0c1
>
> Użytkownik "Piotr Krzyżański" <piciu> napisał w wiadomości
> news:dvb1
>> W takim przypadku nie ma co walczyć, tylko usunąć ten system, zainstalować
>> nowy, założyć sobie konto użytkownika, a przede wszystkim korzystać
>> z Windows Update i cieszyć sie bezpiecznym systemem. Oczywiście
>> instalacja jakiegoś dobrego rezydentnego antywirusa pomoże w utrzymaniu
>> 'czystości' systemu.
>
> To chyba by było najlepsze... ale tak mi sie jakoś... że czasem warto uratować
> to, co jest...

Nie warto - nigdy nie będziesz miał pewności, że ten system jest Twój.
Skoro pracował na koncie admina, to może mieć "coś głębiej zaszyte",
czego antywirusy nie wyłapią. Po co ma ktoś mu wyczyścić konto bankowe,
czytać listy do dziewczyny, ewentulanie zrobić z niego zombie? ;-)

Piciu

Użytkownik "Piotr Krzyżański" <piciu> napisał w wiadomości
news:et01
>> To chyba by było najlepsze... ale tak mi sie jakoś... że czasem warto
>> uratować to, co jest...
>
> Nie warto - nigdy nie będziesz miał pewności, że ten system jest Twój.
> Skoro pracował na koncie admina, to może mieć "coś głębiej zaszyte",
> czego antywirusy nie wyłapią. Po co ma ktoś mu wyczyścić konto
> bankowe,
> czytać listy do dziewczyny, ewentulanie zrobić z niego zombie? ;-)

Też w sumie tak myślę, choć sentyment pozostaje :)
Wspominanej przez siebie pani dawno bym zrobił reinstalkę i nie było by
bujania worów, gdyby nie fakt, że ma parę programów, których nie miałbym
jak zainstalować ponownie. Stąd moje zabiegi, by uratować jej system.
Co do ww spraw, na razie nic takiego nie ma... Zombie - był, pchał tyle,
że avast natychmiast alarmował masowy mailing, usługa, która to robiła,
też dostała bana na wyjście w sieć. Teraz już ozdrowiała, ale blokady
nie zdejmuję, czuję bowiem, że uszkodzenia pozostały i nie chcę ich
ponownie wystawiać na świat. Jak pani wróci, to się zajmę jej systemem
na dobre. A do jej programu spróbuję znaleźć jakąś dobrą alternatywę.

stabillo pisze:
> Witam!
> Mam ogromny, problem. Od kilku dni walczylem z wirusami. Usunalem duzo
> infekcji. Nie moglem uporac sie z plikiem svchost.exe( w moim przypadku jest to
> wirus a nie plik systemowy!!!) Nie mam juz pojecia czym go usunac, jesli skasuje
> go z dysku zaraz sie pojawia spowrotem.

> Po uzyciu NOD32
NOD ma ostatnio straszne tyły jeśli chodzi o aktualność baz. Spróbuj np. kasperskim. Avast ma
funkcję skanowania przed startem systemu - wypróbuj to. Oprócz tego process explorer, autoruns z
sysinternals - powinno się dać.
PS. W jakim katalogu jest ten wirusowy svchost.exe?

Użytkownik "Tomek" <x> napisał w wiadomości
news:ifa1
> NOD ma ostatnio straszne tyły jeśli chodzi o aktualność baz. Spróbuj
> np. kasperskim. Avast ma funkcję skanowania przed startem systemu -
> wypróbuj to. Oprócz tego process explorer, autoruns z sysinternals -
> powinno się dać.
> PS. W jakim katalogu jest ten wirusowy svchost.exe?

Najprawdopodobniej we właściwym, ale to różnie bywa i temat pozostawiam
otwarty... Ja tak miałem, jak mi Welchia zaraziła svchost, jeszcze w W2k
stawianym na SDI - nie umiałem jeszcze wtedy tak dobrze podmieniać
plików systemowych i szybciej poszłą reinstalacja. Plik, zarażony, był
we właściwym katalogu i dalej aktywnie zarządzał niektórymi usługami.
Wykryłem przypadkowo - jak zrobiłem Netstat i zobaczyłem, że na systemie
gdzie nic się nie dzieje mam c.a. 100 aktywnych i szybko zmieniających
się połączeń.
Od tamtego momentu przy instalacji najpierw kombinacja wyłączenia
zbędnych usług i firewall, potem dopiero wyjście w sieć.

stabillo napisał(a):

> dokladnie ta sama historia, ale ja nie mam drugiego systemu, chyba zostaje mi

Podstawa- nie uruchamiaj antywirusów z poziomu zainfekowanego systemu.
Wystartuj system z czystej płyty, np. ClamAV livecd
(http://www.volatileminds.net/projects/clamav/) czy Avira LiveCD
(http://www.free-av.com/en/tools/12/a...ue_system.html)

Jak system po odwirusowaniu nie wstanie, zrób instalację naprawczą.

Ktoś tu wspomniał o windows update.... nie będę komentował - to
śmieszne.

Dlaczego nikt nie wspomniał o antywirusie działającym pod dosem -
bodajże karspersky cos takiego darmowego kiedyś wypuścił - już
niestety nie pamiętam nazwy.
Poza tym: Narzędzie do usuwania złośliwego oprogramowania microsoftu
jest stosunkowo skuteczne.

Zalecałbym uruchomienie sysa w trybie normalnym, BEZWZGLĘDNE
odłączenie sieci, zerknięcie i wyłączenie wszelkich podejrzanych
procesów, odpalenie msconfig - rewizja autostartu i po krzyku. Robicie
jakiś gigantyczny problem z tego...
Prawdopodobnie jest to jakieś gówno w stylu botneta, które rozsyła
masowo spam. Można to bezproblemowo usunąć nie ruszając plików
systemowych takich jak svchost - ten plik napewno nie jest plikiem
wirusa, tylko wirus wykorzystał go i dokompilował do niego nakładkę, w
żadnym wypadku nie powinieneś go usuwać.

Poza tym - jak się korzysta z z konta admina,używa IE i nie ma ochrony
rezydentnej to ja dziękuję bardzo...

Jak Ci się nie uda nic z tym zrobić (skoro masz taką świadomość
użytkownika, to pewnie Ci się nie uda) to zainwestuj chociaż w ghosta,
nie będzie zgrzytania zębów przy kolejnej reinstalce.

Mój XP chodzi od 3 latek i nie narzekam, nie mam antywirusa, nie
używam IE. Wierz mi, że można. Mam łącze sześcio megowe i wierzmi -
intensywnie korzystam z internetu.

> Ktoś tu wspomniał o windows update.... nie będę komentował - to
> śmieszne.
> Mój XP chodzi od 3 latek i nie narzekam, nie mam antywirusa, nie
> używam IE. Wierz mi, że można. Mam łącze sześcio megowe i wierz mi -
> intensywnie korzystam z internetu.


ok, dziekuje za wszystkie odpowiedzi.
Wirus ktorego posiadam to virus.win32.virut.e , w moim przypadku duplikowal on
svchost, nod32 go nie potrafi usunac, poddal pliki kwarantannie i przestal
dzialac dzwiek i siec... Wyjalem wiec je spod kwarantanny ale to nic nie dalo a
dzwieku i sieci dalej niema :-/
Mam pytanie, zrobilem backup na dysku przenosnym, ale co mi z tego , skoro po
formacie i zainstalowaniu windy wirus znow przeskoczy na swierzy system? Jaki
soft mam zainstalowac, aby skutecznie bronil mnie przed tym wirusem?
Moja drugie pytanie to jak wyczyscic MBR.

st.

Sempiterna nabazgrał:
> Użytkownik "Tomek" <x> napisał w wiadomości
> news:ifa1
>> NOD ma ostatnio straszne tyły jeśli chodzi o aktualność baz. Spróbuj
>> np. kasperskim. Avast ma funkcję skanowania przed startem systemu -
>> wypróbuj to. Oprócz tego process explorer, autoruns z sysinternals -
>> powinno się dać.
>> PS. W jakim katalogu jest ten wirusowy svchost.exe?
>
> Najprawdopodobniej we właściwym, ale to różnie bywa i temat pozostawiam
> otwarty... Ja tak miałem, jak mi Welchia zaraziła svchost, jeszcze w W2k
> stawianym na SDI - nie umiałem jeszcze wtedy tak dobrze podmieniać
> plików systemowych i szybciej poszłą reinstalacja. Plik, zarażony, był
> we właściwym katalogu i dalej aktywnie zarządzał niektórymi usługami.

Ależ wcale nie musi być zarażony ani podmieniony. Wystarczy, że złośliwa
dllka zostanie dopisana do HKLM\SYSTEM\CurrentControlSet\Services, by
oryginalny svchost rozsyłał spam. Swoją drogą darmowy Windows Defender
skutecznie takie hece wykrywa i usuwa.

Użytkownik "Skrypëk" <škrypëk> napisał w wiadomości
news:8da3
> Sempiterna nabazgrał:
>
> Ależ wcale nie musi być zarażony ani podmieniony. Wystarczy, że
> złośliwa

No, teraz, to jestem mądrzejszy, niż wówczas :)

> dllka zostanie dopisana do HKLM\SYSTEM\CurrentControlSet\Services, by
> oryginalny svchost rozsyłał spam. Swoją drogą darmowy Windows Defender
> skutecznie takie hece wykrywa i usuwa.

Aale... OIDP, chyyyba zapuściłem jakiegoś testera i w SVCHOST jednak coś
wykrył... to jeszcze był rok, gdzie o rootkitach niewiele
mówiono/wiedziano.
Dzisiaj jestem mądrzejszy i choćby robię tak, ze jeśli nie mam ani
antywira, ani FW (zwłaszcza po świeżej instalce, która nb mnie czeka po
tym, jak instalator Visty rozpierdzielił mi system w drobny mak, dwa dni
do kupy go zbierałem i oto jestem), to wyłączam jakie się da usługi,
natychmiast ściągam FW i instaluję, a po restarcie włączam ewentualnie
potrzebne usługi, coby chociaż FW regułek nauczyć i działam dalej.
Przypuszczam, że dzisiaj bym skuteczniej takie badziewie usunął... wtedy
to jednak raczej dialery działały i usunąć je było względnie łatwo,
nawet sobie takie treningi urządzałem, że zakażałem system dialerem,
nawet pozwalałem mu "wyjść" w świat, coby kolejną regułkę na FW dodać
(dwa, trzy tak mialem, żaden nie ominął FW), oraz pośmiać się, jak
bezsilnie usiłuje przez SDI :) połączyć się z gołymi cipami :P Choć
trafił mi się dialer, który wykrywał, czy idzie normalnie przez modem,
czy przez SDI! Pytał wtedy, czy chcę się połączyć z jakimś ruchańskiem
online i nawet podawał numer 0700, pod który "zadzwoń, a doznasz
niezapomnianej rozkoszy" :)) Taki cwany był :)
Na w pełni połatanym NT4 nieco ponad miesiąc działałem z gołym (bez FW i
AV) systemem wystawionym na świat, nie wlazło nic, zresztą, regularnie
to kontrolowałem. Ale sam system był w pełni poaktualizowany.