[Dijital]

Selline probleem siis ühe masinaga.

Suht täpselt iga 5 minuti tagant tekib Windowsi TEMP kataloogi ****.tmp kataloog svchost.exe'ga
WINDOWS\TEMP\kgwj.tmp\svchost.exe
WINDOWS\TEMP\kgwj.tmp\svchost.exe
jne

Avast leiab sealt seest ka Win32:FakeAlert-FC [Trj]-nimelise eluka ning muidugi viisakalt ja tublilt küsib, mida teha, kustutada või ignoreerida või liigutada "kirstu". Kuid see on ka kõik. 5 minuti pärast jälle.

Trendnet Online Scan ei leia üldse mitte midagi
Spybot Search & Destroy leiab mõned küpsised ja ka paar registrikannet, mille ära koristab. Järgnevatel skännidel ei leia midagi.
SuperAntiSpyware ei leia üldse midagi
Malwarebytes Anti-Malware leidis küll esmakordsel skännil kaks registrikannet, mis ta ka ära kustutas. Järgnevatel skännidel ei leia midagi.

Vahepeal aga iga 5 minuti tagant tekib vapralt järjekordne kaust TEMP kataloogi svchost.exe'ga, mille Avastil lasen ära koristada.

Lihtsam on tõesti format teha ja win uuesti peale, kuid siiski tahaks teda, mis värk on ja mis järjekindel elukas see selline on

[Betamax]

Proovi Microsoft Security Essentialit, NOD32 ja/või Kaspersky't.

[Lord Ami]

http://www.ekaitse.ee/index.php?option=com_agora&task=topic&id=9&Itemid=2
Tee Prevx logi

[Dijital]

NOD32 online skänn - leidis paar nn. mittesoovitatavat programmi (Nirsoft'i MessenPass, MailPassView), aga mitte midagi asjakohast.
Prevx tuuseldas veidi SmitFraudFix'i pakis ja leidis sealt peale lahtipakkimist talle vastukarva olevat paar faili. Ühesõnaga jälle ikaldus.

[Plin500]

Panda Anti-Virus 2007

http://www.pcreview.co.uk/forums/thread-2840852.php

Siin ühel peaaegu analoogne probleem, proovi ülalmainitud viirusetõrjet, väidetavalt aitas.

[Dijital]

Eks õhtul lähme siis jälle rindele. Varsti võiks vist hakata erinevate pahavarade tõrjeprogrammide maatriksit tegema

Edit: Eile õhtused tulemused:

Arvuti käima pannes tuli jälle see .tmp kataloog ja svchost.exe seal sees. Viie minuti möödudes... uut enam ei tulnud. Ja seda kogu õhtu jooksul. Sai ka Panda online scanni jooksutatud. See leidis ka midagi, vähemalt nii ta väitis, kokku mingi 20 paha faili. Aga tulemust ta ei näidanud. Jäigi 49% peale. Siis lihtsalt killisin ta ära, kuna Cancel ei teinud midagi. Ainuke asi, mis töötas, oli link ostmise lehele. Hakkasin ka arvutisse endasse Pandat installima, aga kuna talle ei sobinud, et arvutis on Avast installitud ja tahtis seda eemaldada, siis loobusin, kuna selleks ajaks polnud veel peale esiemst alerti uusi häireid tulnud. Täna õhtul veel katsetame, kuidas masin end ülal peab. Vähemalt üks lahing on võidetud. Sõja võidu vormistan nagunii pardi formaatimisega.

[pajakas]

Võimalik , et on tegu rootkit tehnoloogiat kasutava kahjuriga, win-i tuumatasemel rootkitti ei pruugi viiruse ja nuhitõrjed leida, kui nad ei stardi puhtast süsteemist (livecd või ketas teise masinasse). Võib proovida, kas combofix-ist on abi. Kui ei siis võiks kõrvetada mõne viirusetõrje rescue disk-i ja startida süsteem plaadilt. Näiteks Kaspersky .iso saab siit

p.s. juhul, kui tegu on sellega, siis võiks esmalt proovida TDSSKillerit

[Dijital]

ComboFix'i oli plaanis päris varasemas staadiumis proovida, aga neil on mingi probleem hetkel.
Aga eks proovin, mida see TDSSKiller ka leiab. Tänud.

[Lord Ami]

http://www.surfright.nl/en/hitmanpro
Soovitan seda ka proovida

[Dijital]

TDSSKiller leidis iastor.sys'i olevat nakatanud. Ravis terveks. Sama asi ka mällu talletatud kujul. Hiljem ei näidanud enam miskit.
Hitman leidis tsk_iastor.sys'i olevat pahalase. Imelik oli muidugi see, et ta ei suutnud seda kustutada. Manuaalselt süsteemi kataloogis kustudada polnud probleemi.

Ehk siis tõesti rohujuure tasandil elukas tegutses . Vaatab, mis täna toimub.

Edit:
Nonii eilne üritus seisnes siis selles, et tuli windoosa plaat üles otsida, sest masin näitas käima pannes korra vaid windowsi logo ja läks siis uuesti restardile. Ja sedasi ringiratast. Sai väike repair-install tehtud. Eks näis, kui kaua format edasi lükkub.

[Lord Ami]

Hirman Pro'd ei proovinud?

[jossi 1]

veidi netis tuhnides tundub, et oled suutnud päris uue tripperiga nakatuda ... kõik *.tmp/svchost.exe teemad on dets algusest ja enamasti ilma konkreetse lahenduseta.

Võibolla siin on mingi asjalikum õpetus:
http://forum.avast.com/index.php?topic=51244.msg433886#msg433886

Kui on sama jama, siis veidi hirmujuttu ka:

BackDoor.Tdss.565 is a Trojan that may allow a remote attacker to gain full access on the compromised computer. BackDoor.Tdss.565 is a new modification of the backdoor program which enables cyber criminals to get full control over infected machines. What makes BackDoor.Tdss.565 unique is the rootkit technology which is used to conceal its presence in a victimized system. BackDoor.Tdss.565 files were known to be undetected by antivirus programs because of its rootkit functionalities.

Märgitakse, et Dr.Web CureIt! peaks jagu saama ja toodud ka käsitsi eemaldamise juhend, kuid teemast ei saa aru kas lõpuks sai puhtaks või mitte.

[NATAS999]

mul taskmanageris 12 svchost.exe protsessi, milledest ühel on *32 taga ehk siis 32bitine protsess. kas peaks muret tundma?

ahjaa, W7 64bit ja tundub, et kõik svchost.exe protsessid on üks ja sama fail system32 folderis

svchost.exe *32 peidab end windows/sysWOW64 kataloogis.

[rixvilll]

Minul oskas service.exe nimeline pahalane (koos oma 10 muu assistendiga) süüa 1-2gb mälumahtu päevas. Tagatipuks kuulsin läbi oma arvuti kõlarite, mida "keegi teine" oma arvutis teeb, kõik hiire klõpsud ja video helid. Läksin siis jõuga peale, kaevasin ja solberdasin nagu vesirott ja kiskusin kõik sellega seonduvad failijupid välja, Safe Modes. Ja endalegi üllatuseks sain jagu sellest. Aga kahjuks oli see oma 4a tagasi ja enam ei oska juhtnööre anda. Mäletan, et oli tõeline "pain in the ass".