Heur.Suspicious - svhost.exe i registry.exe

[Andziorka]

Witam,

 

dziś mój antywirus zaczął mi wysyłać komunikaty o zakażonych plikach svchost i registry.. niby je wyleczyłam, ale ten z svchost pojawia się dalej, wygląda to tak:

 

Logi z OTL:

http://wklej.org/id/563690/

http://wklej.org/id/563691/

[picasso]

Ta podróbka pliku "svchost.exe" jest w Autostarcie, podobnie jak podróbka Windows Update, a na dysku w tym samym czasie są utworzone dwa falsyfikaty folderów w Program files (x86). Poza tym, widzę tu jakieś uszczerbki w Winsock:

 

O10:64bit: - NameSpace_Catalog5\Catalog_Entries\000000000007 [] -  File not found
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] -  File not found

 

1. Uruchom OTL i w polu Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [svhost] C:\Program Files (x86)\Microsoft\svhost.exe ()
O4 - Startup: C:\Users\Andziorka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Update.lnk = C:\Program Files (x86)\WindowsUpdate\WindowsUpdate.exe ()
[2011-07-19 00:53:31 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Microsoft
[2011-07-19 00:53:25 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\WindowsUpdate
O3 - HKU\S-1-5-21-323844321-131135771-1060400797-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
 
:Commands
[emptyflash]
[emptytemp]

 

Klik w Wykonaj skrypt.

 

2. Wytwórz nowy log z OTL na warunku dostosowanym, tzn. w polu Własne opcje skanowania / skrypt wklej co podane niżej i klik w Skanuj:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000007

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000007

 

Dołącz też log powstały z usuwania OTL w punkcie 1.

 

 

 

 

.

[Andziorka]

Log z usuwania: http://wklej.org/id/563723/

 

Nowe:

http://wklej.org/id/563735/

http://wklej.org/id/563741/

[picasso]

1. Problem przy usuwaniu folderu jako takiego:

 

Folder move failed. C:\Program Files (x86)\Microsoft scheduled to be moved on reboot.

 

Po pierwsze: sprawdź czy nie blokuje go COMODO. Po drugie: sprawdź uprawnienia do tego katalogu: KLIK.

 

2. Klucz w Winsock z "not found" pochodzi od Bonjour, czyli można to usuwać. Wykonaj kroki rozpisane w spoilerze: KLIK. Jako, że u Ciebie Bonjour to numer 7, kasujesz klucze o nazwach 000000000007 oraz obie wartości Num_Catalog_Entries64 + Num_Catalog_Entries cofasz do liczby 6.

 

 

 

.

[Andziorka]

1.Folder C:\Program Files (x86)\Microsoft usunęłam po uzyskaniu uprawnień.

2.Wykonane.

 

Jakieś logi czy coś jeszcze podawać?

[picasso]

Na wszelki wypadek zresetuj komputer i pokaż mi nowy log z OTL (Extras nie jest już potrzebne). Jeśli wszystko będzie OK, kwalifikuje się finalizacja tematu.

[Andziorka]

Proszę, oto log wykonany po restarcie: http://wklej.org/id/563935/

[picasso]

Problem z głowy. Zapewne wiesz co teraz, ale rozpisuję:

 

1. Sprzątanie w OTL.

 

2. Aktualizacje:

 

64bit- Ultimate Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.5 - Polish
"{E633D396-5188-4E9D-8F6B-BFB8BF3467E8}" = Skype™ 5.0
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"ffdshow_is1" = ffdshow [rev 2754] [2009-03-10]
"Gadu-Gadu" = Gadu-Gadu 6.1
"Mozilla Firefox 4.0 (x86 pl)" = Mozilla Firefox 4.0 (x86 pl)

 

- System uzupełnij o SP1+IE9 (instalacja niezależna od użytkowania alternatywy typu Firefox), a pozostałe zakreślone zaktualizuj: KLIK.

- Gadu-Gadu 6.1 rozumiem, że to już niebyłe, bo w raporcie widzę składniki WTW. Posprzątaj jednak po tym gniocie....

 

3. Czyszczenie folderów Przywracania systemu: KLIK. Co także zaadresuje ten błąd z Dziennika:

 

Error - 2011-07-17 06:48:45 | Computer Name = Hell | Source = volsnap | ID = 393252
Description = Wykonywanie kopii w tle woluminu C: zostało przerwane, ponieważ nie
 można powiększyć magazynu kopii w tle z powodu limitu wprowadzonego przez użytkownika.

 

Nawiasem: należy się zastanowić jak to się stało, że ta infekcja się przedarła (a CIS reagował w sposób limitowany post factum), czy aby to nie jest pochodna jakiegoś dodatku ściągniętego w dobrej wierze.

 

 

.

[Andziorka]

Gadu-Gadu 6.1 rozumiem, że to już niebyłe, bo w raporcie widzę składniki WTW. Posprzątaj jednak po tym gniocie....

Używam gg 6.1 właśnie, wiem że stary, ale przyzwyczajenie

 

Nawiasem: należy się zastanowić jak to się stało, że ta infekcja się przedarła (a CIS reagował w sposób limitowany post factum), czy aby to nie jest pochodna jakiegoś dodatku ściągniętego w dobrej wierze.

Pobierałam klienta League of Legends + jakieś modyfikacje, bo nie chciał odpalić i chyba stąd, bo po tym się zaczęło..

[picasso]

Używam gg 6.1 właśnie, wiem że stary, ale przyzwyczajenie

 

No tu się dziwię Andziorka, zwłaszcza w zestawieniu z WTW. Brak szyfrowania i "otwarty profil", nie wspominając o niemożności obsługi własnej sieci / braku zgodności protokołowej. A tu już GG11 na widoku, więc dedukcja rysuje kolejne zmiany w proto / serwerowe.

 

 

Pobierałam klienta League of Legends + jakieś modyfikacje, bo nie chciał odpalić i chyba stąd, bo po tym się zaczęło..

 

Właśnie dlatego pytam, bo w raporcie te foldery infekcji są utworzone tak jakby po folderze LolClient, co nasuwa pewne skojarzenia.

 

 

 

.

[Andziorka]

Wszystko uaktualniłam już Dziękuję za pomoc.