svhost - wirus, obciąża GPU?

[Glowa]

Witam. Mam następujący problem. Dzisiaj ku mojrmu zdziwieniu moja karta graficzna Radeon HD7770 nawet przy zaznaczonej opcji Graphics OverDrive w pulpicie karta miała aktywność rzędu 90%. Zdziwiło mnie to i gdyby przypadek nie doszełbym do tego. Wyskoczyło mi tak znikąd okienko błędu, że progrm svhost.exe przestał działać. Nagle karta uspokoiła się i aktywność spadła. Po restarcie po każdym świadomym zamknięci tejże aplikacji również aktywność pada i karta pracuje normalnie. Dlatego przypuszczam, że to wirus. Dołączam skany z OTLa

Extras.Txt

OTL.Txt

[picasso]

Owszem, widać ślady infekcji czyli: wpis fałszywego Adobe kierujący na plik FFFA89.vbe oraz wpis ze svhost.exe ale oznaczony jako "not found" (coś już usuwałeś?). Poza tym, należy wyczyścić też z adware.

 

1. Przez Panel sterowania odinstaluj adware 1ClickDownloader (2 wystąpienia), AVG Security Toolbar, Browser Manager, Claro Chrome Toolbar, Claro LTD toolbar, Download and Sa, Internet Explorer Toolbar 4.6 by SweetPacks, Optimizer Pro v3.0, OptimizerPro1, Search Assistant MocaFlix 1.66. Przy okazji od razu odinstaluj Driver Cleaner 3, to archaiczny program niezgodny z 64-bitowym Windows!

 

2. Google Chrome: wejdź do ustawień i w Rozszerzeniach powtórz deinstalację tego co się powtarza z w/w listy.

 

3. Firefox: wyczyść z adware poprzez menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\tasks\OptimizerPro1UpdaterTask{C6FCEA45-3F80-4A1B-A239-168811D3A522}.job
C:\Windows\assembly\GAC_32\Desktop.ini
C:\Windows\assembly\GAC_64\Desktop.ini
C:\Users\Bartosz\AppData\Roaming\Babylon
C:\Users\Bartosz\AppData\Roaming\SendSpace
C:\Users\Bartosz\AppData\Roaming\Splashtop
C:\Users\Bartosz\AppData\Roaming\TempMods
netsh advfirewall reset /C
 
:OTL
IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://websearch.mocaflix.com/?l=1&q={searchTerms}"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={CCCB7501-9386-11E1-B6D7-50E54925E395}"
IE - HKU\S-1-5-21-1984959978-1033865209-2319779004-1000\..\SearchScopes\{59F40A34-3F8E-4A71-8A61-BF5BC9F563CF}: "URL" = "http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=937811&p={searchTerms}"
IE - HKU\S-1-5-21-1984959978-1033865209-2319779004-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={678E2A87-F89D-4278-A5CE-23BA1640A48A}&mid=74d3b0a481e047d09a8c81ac0fc10a66-c1af47747609df0a3eb5d7d75e19d44b54890386&lang=pl&ds=xn011&pr=sa&d=2013-01-03 17:48:08&v=13.3.0.17&sap=dsp&q={searchTerms}"
IE - HKU\S-1-5-21-1984959978-1033865209-2319779004-1000\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://websearch.mocaflix.com/?l=1&q={searchTerms}"
IE - HKU\S-1-5-21-1984959978-1033865209-2319779004-1000\..\SearchScopes\{E6D4E8DD-B817-47b2-A07B-147B5A5B24A3}: "URL" = "http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBDSV"
IE - HKU\S-1-5-21-1984959978-1033865209-2319779004-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={CCCB7501-9386-11E1-B6D7-50E54925E395}"
IE - HKU\S-1-5-21-1984959978-1033865209-2319779004-1000\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - SOFTWARE\Classes\CLSID\{EEE6C35D-6118-11DC-9C72-001320C79847}\InprocServer32 File not found
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.118.0: C:\Program Files (x86)\Battlelog Web Plugins\1.118.0\npesnlaunch.dll File not found
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{b64982b1-d112-42b5-b1e4-d3867c4533f8}: C:\ProgramData\Browser Manager\2.3.796.11\{16cdff19-861d-48e3-a751-d99a27784753}\FirefoxExtension [2012-11-08 16:41:53 | 
O2 - BHO: (SweetPacks Browser Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found
O3 - HKLM\..\Toolbar: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found
O3 - HKU\S-1-5-21-1984959978-1033865209-2319779004-1000\..\Toolbar\WebBrowser: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found
O4 - HKLM..\Run: [Adobe] C:\ProgramData\Adobe\FFFA89.vbe ()
O4 - HKLM..\Run: [ROC_roc_ssl_v12] "C:\Program Files (x86)\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12 File not found
O4 - HKU\S-1-5-21-1984959978-1033865209-2319779004-1000..\Run: [C:\Users\Bartosz\AppData\Roaming\Piranha\Piranha.exe] C:\Users\Bartosz\AppData\Roaming\Piranha\Piranha.exe File not found
O4 - HKU\S-1-5-21-1984959978-1033865209-2319779004-1000..\Run: [service Host] C:\Users\Bartosz\AppData\Roaming\Skype\svhost.exe File not found
O4 - HKU\S-1-5-21-1984959978-1033865209-2319779004-1000..\Run: [VoiceMaster] C:\Program Files (x86)\VoiceMaster\VoiceMaster.exe File not found
O8:64bit: - Extra context menu item: Search the Web - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
O8 - Extra context menu item: Search the Web - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

5. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

6. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[Glowa]

Wszystko wykonałem. Zauważyłem, że svhost zniknął. Dorzucam logi.

AdwCleanerS2.txt

OTL.Txt

[picasso]

Wszystko zrobione i tylko drobne poprawki wymagane.

 

1. Google Chrome: Wejdź do ustawień, w zarządzaniu wyszukiwarkami ustaw Google jako domyślną, następnie z listy usuń adware WebSearch.

 

2. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"HideSCAHealth"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{88EEAEC4-5854-4FB2-8620-01351FF44890}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{88EEAEC4-5854-4FB2-8620-01351FF44890}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

3. Porządki po narzędziach: przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Masz zainstalowany MBAM, zrób w nim pełne skanowanie. Jeśli coś wykryje, przedstaw raport. Dodaj log z Farbar Service Scanner.

 

 

 

.

[Glowa]

Zrobione

FSS.txt

mbam-log-2013-01-15 (22-52-49).txt

[picasso]

Wyniki MBAM do zignorowania, fałszywe alarmy. Natomiast Farbar Service Scanner pokazuje naruszenia w usługach: brak usługi Pomoc IP (iphlpsvc), wyłączone Centrum zabezpieczeń i Zapora systemu Windows.

 

1. Skorzystaj z automatycznego narzędzia naprawczego ServicesRepair.

 

2. Zresetuj system i zrób nowy log z Farbar Service Scanner.

 

 

.

[Glowa]

Proszę:

FSS.txt

[picasso]

Usługi pomyślnie odbudowane. Przejdź do czynności końcowych:

 

1. W związku z kolejnymi zmianami konfiguracyjnymi ponów czyszczenie folderów Przywracania systemu: KLIK.

 

2. O ile coś się już nie zmieniło, poniższe programy wymagają aktualizacji: KLIK.

 

Internet Explorer (Version = 8.0.7601.17514)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8
"Mozilla Firefox 18.0 (x86 pl)" = Mozilla Firefox 18.0 (x86 pl)
"Office14.PROPLUS" = Microsoft Office Professional Plus 2010 ----> instalacja SP1
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-1984959978-1033865209-2319779004-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome 24.0.1312.52

 

 

PS. I jeszcze zainteresuj się wymianą Gadu-Gadu 10 alternatywą mniej konsumującą zasoby systemowe. Propozycje: WTW, Kadu, Miranda, AQQ. Wszystkie opisy tu: KLIK.

 

 

 

.