Снощи Касперски ми показва че е блокиран процеса C:\WINDOWS\System32\svchost.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\PchSvc. След като изключих PCHealt от диспечъра на задачите, ми се появява през точно 10 секунди ето това:

Преди това ми се появяваше, че е блокиран и горния процес. А ето и как изглежда Касперски, докато пишех тоя пост:

Поразрових се из нета за тоя проблем, но на български не открих нищо, а само отчасти на руски, което предизвика любопитството ми. Точен превод не успях да направя, затова и пускам тема тук. Другите езици са ми малко чужди. В момента правя проверки за нередности с други програми.

Опитах се по стандартния начин да изтрия PchSvc.exe, но достъпът бе забранен. Не можах и с Unlocker да го изтрия.

AdAware 2007 ми показа стандартните 20 бисквитки за триене и нищо. Та доколкото разбрах от руския превод, PchSvc е вирус, който се маскира под сървиза за помощ или нещо подобно. А ето и на руски:

Второй - вирус, маскирующийся под службу помощи. Когда ты набираешь какое-то слово в поисковике или справочной системе, он в найденных документах меняет слова на ругательные.

А ето и това, което намерих на руски :

цък

Та какво бихте казали вие по въпроса? Имате по две бири от мен, когато се видим

Доста интерес вирус.Пробвай да го махнеш с Trend Micro HijackThis 2.0.2

Превод от руски на български:

Втория - вирус се маскира в подсказки.Когато търсиш нещо в търсачка или в справочник,в намерените документи сменя думата на цинизми.

Всъщност, не е сигурно дали е вирус. Личното ми мнение е, че няма повод за притеснение. Все пак едно сканиране с HijackThis няма да е излишно.

Ако става въпрос за PchSvc.dll не би трябвало да има основа за притеснения, но ти говориш за PchSvc.exe а това вече е съвсем друго нещо, и ако наистина има такъв файл по възможно най-бързия начин го изтривай.

Честно да ви кажа не знам за какво ми е този модул Proactive defencе.Само пищи, че става нещо странно.Кофти история!

Аз с удовоствие го изключих.Слагам, слагам в Trusted zone, но продължава да ме алармира за почти всеки процес.

Препоръчвам ти тези настройки т.е. Proactive defencе ще те предупреждава за най-опасните процеси.

Редактирано 25 октомври 200718 г. от azpeev (преглед на промените)

Не е вирус! При обновяването на дефинициите явно са променени и тези за Проактивната защита и се е получило несъответствие между тях и разпознаването на файлове подписани от Майкрософт. Очаква се скоро да го оправят и с някой от следващите ъпдейти ще го пуснат.

Не е вирус! При обновяването на дефинициите явно са променени и тези за Проактивната защита и се е получило несъответствие между тях и разпознаването на файлове подписани от Майкрософт. Очаква се скоро да го оправят и с някой от следващите ъпдейти ще го пуснат.

Благодаря ти за инфото. След рестартиране на компютъра, проблемите престанаха. Не ми се вярва да е от рестартирането, защото го рестартирах и преди това и проблемът се повтори. Предполагам съм натиснал нещо в тая ситуация, когато почваш да си мислиш какви ли не работи. За по-сигурно прерових проактивната защита и други нещица. Mахнах досадните изкачащи прозорци, като например тоя, който изкача за всяка програма, когато отворя от контексното меню нещо си. Все още се чудя, дали наистина няма нещо нередно в системата ми, защото не работи винаги като хората и по-специално от няколко мнесеца насам , все се чуди нещо, преди да отвори My Computer.

Остава и съмнението ми, че бърникането ми в системата и по-специално - използването на разни оптимизиращи програми, е довело до това.

Благодаря ти за инфото. След рестартиране на компютъра, проблемите престанаха. Не ми се вярва да е от рестартирането, защото го рестартирах и преди това и проблемът се повтори. Предполагам съм натиснал нещо в тая ситуация, когато почваш да си мислиш какви ли не работи. За по-сигурно прерових проактивната защита и други нещица. Mахнах досадните изкачащи прозорци, като например тоя, който изкача за всяка програма, когато отворя от контексното меню нещо си. Все още се чудя, дали наистина няма нещо нередно в системата ми, защото не работи винаги като хората и по-специално от няколко мнесеца насам , все се чуди нещо, преди да отвори My Computer.

Остава и съмнението ми, че бърникането ми в системата и по-специално - използването на разни оптимизиращи програми, е довело до това.

Да, не е от рестартирането на компютъра, а са оправили проблема. Ооо да - използваш ли оптимизиращи програми компютърът ти не става по-бърз а се забавя доста, особено ако използваш и такива за почистване на регистри.

Да, не е от рестартирането на компютъра, а са оправили проблема. Ооо да - използваш ли оптимизиращи програми компютърът ти не става по-бърз а се забавя доста, особено ако използваш и такива за почистване на регистри.

Надявам се да е така. Преди малко пак ми изписка, но за друго. Забраних го, но на секундата пак се повтори. После без да искам дадох разрешение за промяна на регистрите и теглих една майна Това за омацването на бозата ми е ясно, ама тая боза ще направи близо година без преинстал. За коледа ще и подаря подаръче, дано да и хареса.

Между другото файлът, който без да искам разреших е wmiadap.exe. Мнения за него? На колкото и сайта да отидох с Google, все искаше да ми сканира безплатно регистрите. Писна ми вече и ще хвърля щайгата през прозореца!

Между другото файлът, който без да искам разреших е wmiadap.exe. Мнения за него? На колкото и сайта да отидох с Google, все искаше да ми сканира безплатно регистрите. Писна ми вече и ще хвърля щайгата през прозореца!

wmiadap.exe is a process which forms a part of the Microsoft Windows Operating System. The AutoDiscovery/AutoPurge (ADAP) process transfers performance libraries to the WMI repository. wmiadap.exe is not a critical component, but this program is important for the stable and secure running of your computer and should not be terminated. It is highly recommended: wmiadap.exe should not be disabled, required for essential applications to work properly.

В превод: добре си постъпил

Редактирано 28 октомври 200718 г. от yvsot (преглед на промените)

В превод: добре си постъпил

Вече не знам какво е добре и какво не. Засякох няколко сайта, в които се задаваше въпросът точно за тоя файл. В някои се питаше, дали е троянец или шпионин. Почти навсякъде ме успокояваха, но и ми предлагаха свободно да проверя регистрите си или да кликна някъде си! Това не е ли подозрително, още повече, че тоя проблем , Касперски никога не е засичал преди? Инсталирах си седмицата, но проблемите почнаха заради регистрирането и, така, че ще я зарежа. Как може да си платя за антивирусна, след като се омацва работата почти на момента? Тествам я и това е!

Иначе, това откъде го изрови? Сайта на Microsoft или... Точно за това и пиша тия неща, защото не можах да намеря читава информация за това екзе. То даже не се появява в таскмениджъра. А може би аз съм в грешка?

Иначе, това откъде го изрови? Сайта на Microsoft или... Точно за това и пиша тия неща, защото не можах да намеря читава информация за това екзе. То даже не се появява в таскмениджъра. А може би аз съм в грешка?

Не, но ето и инфо от MSDN. Също и това:

Starting with Windows Vista, ADAP runs only when Wmiadap.exe is run at a command prompt. For more information, see Wmiadap.

Windows Server 2003 and Windows XP: ADAP is a separate process, Wmiadap.exe. ADAP detects when a user installs a new performance library or removes one. When a new performance library is found, ADAP then adds a related performance object to the root\cimv2 namespace or to the root\wmi namespace for WDM drivers. You can verify the current state of the ADAP process by examining the Status property of the __ADAPStatus system class. For more information about running ADAP from the command line, see Wmiadap.

The ADAP process compares the list of counter objects found in the performance libraries to the list of counter classes contained in WMI. Counter objects that currently do not exist in WMI are added. Existing WMI performance classes are compared to the corresponding performance library counter objects, and are replaced if differences are detected.

Вече не знам какво е добре и какво не. Засякох няколко сайта, в които се задаваше въпросът точно за тоя файл. В някои се питаше, дали е троянец или шпионин. Почти навсякъде ме успокояваха, но и ми предлагаха свободно да проверя регистрите си или да кликна някъде си! Това не е ли подозрително, още повече, че тоя проблем , Касперски никога не е засичал преди? Инсталирах си седмицата, но проблемите почнаха заради регистрирането и, така, че ще я зарежа. Как може да си платя за антивирусна, след като се омацва работата почти на момента? Тествам я и това е!

Във форума на Kaspersky Lab вчера е зададен същия въпрос, но за сега има само един съвет - да се ъпгрейдне антивирусната. Аз не я използвам и не мога да дам повече информация от тази която намирам в нета.

Редактирано 28 октомври 200718 г. от yvsot (преглед на промените)

Голяма е вероятноста да е червей!

Преди месеци имах същия проблем на моята машина, проблема беше че "наглеца" се преименуваше в подобни системни файлове за да не бъде разкрит и ми товареше процесора на 100%.Новите ъпдейти не ми помогнаха на нито една антивирусна, а трябваше да го премахна ръчно.Лошото беше че след като го изтрия и дам рестарт се излюпваше наново.

Аз му убивах процесите от таск бара, след което го триех.

Истинският файл е в различна папка, затова небеше трудно да го намеря и изтрия.

Опитай да потърсиш тоя файл в търсчката на windows (задай опцията да търси - скрити файлове ).

Дай после да видим къде го намира.

При мен лошото беше че отначалото не ми даваше да използвам антивирусна,или антишпионска програма.Дори не ме пускаше в раздел "C", веднага ми блокираше процесора на 100%.

При теб поне има шансове за изява

Вече не знам какво е добре и какво не. Засякох няколко сайта, в които се задаваше въпросът точно за тоя файл. В някои се питаше, дали е троянец или шпионин. Почти навсякъде ме успокояваха, но и ми предлагаха свободно да проверя регистрите си или да кликна някъде си! Това не е ли подозрително, още повече, че тоя проблем , Касперски никога не е засичал преди? Инсталирах си седмицата, но проблемите почнаха заради регистрирането и, така, че ще я зарежа. Как може да си платя за антивирусна, след като се омацва работата почти на момента? Тествам я и това е!

Иначе, това откъде го изрови? Сайта на Microsoft или... Точно за това и пиша тия неща, защото не можах да намеря читава информация за това екзе. То даже не се появява в таскмениджъра. А може би аз съм в грешка?

Не е вирус, нито червей! Не се притеснявай. Както вече ти казах заради новата версия 7 има промяна в сигнатурите на Проактивната защита (а и не само на нея). От там и неразпознаването на файлове, подписани от Майкрософт (а пък може и да се разпознават, но това е обяснението им) и понеже достъпът до регистрите е типичен за червеите затова и те предупреждава АВ-то. Скоро сигурно и това ще оправят, просто искат да си платим за версия 7. Решението на тези неща е, след проверка на файловете, да ги добавяш в надеждните приложения, като избереш за задача само проактивната защита (тоест да не се проверяват от нея).

Голяма е вероятноста да е червей!

Преди месеци имах същия проблем на моята машина, проблема беше че "наглеца" се преименуваше в подобни системни файлове за да не бъде разкрит и ми товареше процесора на 100%.Новите ъпдейти не ми помогнаха на нито една антивирусна, а трябваше да го премахна ръчно.Лошото беше че след като го изтрия и дам рестарт се излюпваше наново.

Аз му убивах процесите от таск бара, след което го триех.

Истинският файл е в различна папка, затова небеше трудно да го намеря и изтрия.

Опитай да потърсиш тоя файл в търсчката на windows (задай опцията да търси - скрити файлове ).

Дай после да видим къде го намира.

При мен лошото беше че отначалото не ми даваше да използвам антивирусна,или антишпионска програма.Дори не ме пускаше в раздел "C", веднага ми блокираше процесора на 100%.

При теб поне има шансове за изява

@backata - може би не си спирал System Restore че да се излюпва пак...

@Kiko един онлайн скенер няма да ти навреди - Panda TotalScan - подписа ми (само че го отвори с Internet Explorer)...Мисля си обаче че tigertron е прав и няма място за паника...а и има доста инструменти във важните теми в раздела така че ако решиш винаги можеш да ги пробваш.В обикновенните теми пък освен решения има и редица изпитани стъпки които могат да са ти от полза...Разгледай стартиращите се приложения с О.С. ,процесите в Task Manager-a, сканирай за Rootkits и т.н.Сложил ли си и всички обновления за Операционната Система, защото уязвимостите в LSASS, DCOM, SVCHOST - не са нещо ново.Колко памет заема SVCHOST ако е над нормалната стойност (някъде около 17 MB) направи това - Start => run => пиши services.msc /s => намери услугата Remote Procedure Call (RPC) (не locator а другата) = > стартираш я => отиваш на Recovery => и избери First failure, Second failure, and Subsequent failures => "Restart the Service."

Добри инструменти в този случай са:

Windows Worms Doors Cleaner v1.4.1

http://www.firewallleaktester.com/tools/wwdc.exe

Trojan Remover 6.6.3

http://www.kaldata.com/comments.php?catid=...=26857#comments

Използвам Kaspersky 6.0.2.546 Beta от официалното им FTP съм си я издърпал и инсталирал съвсем легално, ще си работи към 6 месеца и ще я сменя с нова след това. Нямам такъв .EXE файл с име pchsvc.exe

Да, има цяла директория C:\Windows\PCHealth\binaries\ в която се намира и този .DLL със същото име pchsvc.dll

pchsvc.dll - 38,912 bytes - 04 Август 2004 г., 01:56:46

АКО освен този прочут .DLL "pchsvc.dll" има и файл с такова име, обаче е .EXE - според мен това е измама, и може би маскиран червей "Worm".

По принцип е възможно при почистването с програми за Registry почистване да са били затрити някои връзки. Затова ако човек иска, може да стартира едни 5 елементарни процеса на пререгистрация на валидни Windows Services от менюто "Start" в командния ред "Run" ето тези 5 команди:

Start => Run => regsvr32 shell32.dll

Start => Run => regsvr32 comctl32.dll

Start => Run => regsvr32 rpcss.dll

Start => Run => regsvr32 msctf.dll

Start => Run => regsvr32 imm32.dll

Следва Restart, след който бих сканирал с Spybot - Search & Destroy, с Update-нати дефиниции, и други подобни - Ad-Aware, AVG-AntiSpyWare, които програми също са Free.

Искам само да ти обърна внимание, че Kaspersky си прави копия, които стигат няколко GB след време. Провери дали има много големи файлове в папка: C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Report

Ако има си изтрий тези безполезни Backup файлове от менюто на Kaspersky - "Service" табче - Data Files подменю - натискаш бутон "Clear", за да се изтрият и освободи дисково пространство.

Редактирано 28 октомври 200718 г. от Freddy (преглед на промените)

Искам само да ти обърна внимание, че Kaspersky си прави копия, които стигат няколко GB след време. Провери дали има много големи файлове в папка: C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Report

Ако има си изтрий тези безполезни Backup файлове от менюто на Kaspersky - "Service" табче - Data Files подменю - натискаш бутон "Clear", за да се изтрият и освободи дисково пространство.

че Kaspersky си прави копия, които стигат няколко GB след време

Backup файловете и Reports ,автоматично му е зададено да ги пази 30 дни,след което ги трие автоматично,може вие да си определите за колко време да ги пази,няма как да стане натрупване.

Поздрави!