Błąd services.exe i logi


(Mwmb) #1

Witam. Oto mój problem.

Mam Windows2000. Zawsze loguję się jako użytkownik zaawansowany.

Od tygodnia nie daje mi spokoju automatyczny restart systemu.

Komunikat wygląda tak:

Trwa zamykanie systemu>zapiszwszystkie rozpoczęte prace i wyloguj się. Wszystkie nie zapisane zmiany zostaną utracone. Zamknięcie zostało zainicjiwane przez ZARZĄDZANIE NT\SYSTEM.

Czas do zamknięcia: (odliczanie od 1 minuty)

Wiadoość:

Proces systemowy

"C:\WINDOWS\system32\services.exe" został nieoczekiwanie zakończony z kodemstanu 128. System zostanie zamknięty i uruchomiony ponownie.

Sprawdzałem mks-em online, raz nie wykryło nic, potem trojana (usunąłem). Zainstalowałem BitDefendera. Niby jest OK, ale komunikat wyświetla mi się podczas połączenia z internetem nadal. Nie ma reguły. Czasami po minucie, czasami po półgodziny. Zdarzyło się że nie wyskoczyło.

Tak sobie myślę, że to może te usuięte trojany coś pozmieniały?

Zaobserwowałem również, że nie ma tego problemu, gdy się logowałem jako administrator

Zrobiłem logi hijackiem.

Mam logi podczas pracy pod 1*administratorem, użytkownikiem (2*kiedy jestem nie podłączony, 3*podłączony z internetem, oraz 4* kiedy wyskakuje okienko i system się zamyka). Teraz wklejam 3*. Jak będzie trzeba służę innymi (nie chcę wydłużać postu).

Za ewentualne uwagi i pomoc serdecznie dziękuję.


Logfile of HijackThis v1.99.1

Scan saved at 22:14:46, on 2005-08-22

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\devldr32.exe

C:\Program Files\Creative\SBLive2k\AudioHQ\AHQTB.EXE

C:\Program Files\Creative\ShareDLL\CtNotify.exe

C:\Program Files\Creative\ShareDLL\MediaDet.Exe

C:\WINDOWS\PowerS.exe

C:\Program Files\Logitech\iTouch\iTouch.exe

C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

C:\Program Files\FineReader\Sprint\CAgent.exe

C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\Program Files\Common Files\Logitech\QCDriver3\LVCOMS.EXE

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe

C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe

C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe

C:\Program Files\Softwin\BitDefender8\bdmcon.exe

C:\Program Files\Softwin\BitDefender8\bdnagent.exe

C:\Program Files\Softwin\BitDefender8\bdoesrv.exe

C:\WINDOWS\system32\internat.exe

C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE

C:\Program Files\Microsoft Office\Office\OSA9.EXE

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\Documents and Settings\MB.MB-PC-2002\Pulpit\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL (file missing)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\MSDXM.OCX

O4 - HKLM..\Run: [systemTray] SysTray.Exe

O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe

O4 - HKLM..\Run: [updReg] C:\WINDOWS\Updreg.exe

O4 - HKLM..\Run: [AHQInit] C:\Program Files\Creative\SBLive2k\Program\AHQInit.exe

O4 - HKLM..\Run: [AudioHQ] C:\Program Files\Creative\SBLive2k\AudioHQ\AHQTB.EXE

O4 - HKLM..\Run: [PowerS] C:\WINDOWS\PowerS.exe

O4 - HKLM..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM..\Run: [ABBYY Community Agent] C:\Program Files\FineReader\Sprint\CAgent.exe

O4 - HKLM..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM..\Run: [AdaptecDirectCD] "C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM..\Run: [LVCOMS] C:\Program Files\Common Files\Logitech\QCDriver3\LVCOMS.EXE

O4 - HKLM..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe

O4 - HKLM..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe

O4 - HKLM..\Run: [Win32] C:\WINDOWS\System32\Win32.exe

O4 - HKLM..\Run: [CMESys] "C:\Program Files\Common Files\CMEII\CMESys.exe"

O4 - HKLM..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray

O4 - HKLM..\Run: [DataLayer] C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe

O4 - HKLM..\Run: [services] C:\WINDOWS\system32\6.tmp

O4 - HKLM..\Run: [bDMCon] "C:\Program Files\Softwin\BitDefender8\bdmcon.exe"

O4 - HKLM..\Run: [bDOESRV] "C:\Program Files\Softwin\BitDefender8\bdoesrv.exe"

O4 - HKLM..\Run: [bDNewsAgent] "C:\Program Files\Softwin\BitDefender8\bdnagent.exe"

O4 - HKCU..\Run: [internat.exe] internat.exe

O4 - HKCU..\Run: [Mirabilis ICQ] C:\Program Files\ICQ\NDetect.exe

O4 - HKCU..\Run: [Komunikator] C:\PROGRA~1\Tlen.pl\tlen.exe

O4 - HKCU..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: EPSON 3 Status Monitor – sprawdzenie środowiska 2.lnk = C:\WINDOWS\SYSTEM32\spool\drivers\w32x86\3\E_SRCV02.EXE

O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: EPSON 3 Status Monitor – sprawdzenie środowiska 2.lnk = C:\WINDOWS\SYSTEM32\spool\drivers\w32x86\3\E_SRCV02.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {086243A3-2F1B-11D3-8535-080036FAEF02} (ISISView.ISISViewCtl) - http://217.153.152.210/szdf/ISISClient.CAB

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 4572103355

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab

O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file://C:\Program Files\Autodesk Architectural Desktop 3\AcDcToday.ocx

O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Program Files\Autodesk Architectural Desktop 3\InstBanr.ocx

O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) - file://C:\Program Files\Autodesk Architectural Desktop 3\InstFred.ocx

O16 - DPF: {E504EE6E-47C6-11D5-B8AB-00D0B78F3D48} (Yahoo! Webcam Viewer Wrapper) - http://chat.yahoo.com/cab/yvwrctl.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Program Files\Autodesk Architectural Desktop 3\AcPreview.ocx

O16 - DPF: {F5D98C43-DB16-11CF-8ECA-0000C0FD59C7} (ActiveCGM Control) - file://C:\Program Files\InterCAP\ActiveCGM\ActiveX\Acgm.cab

O17 - HKLM\System\CCS\Services\Tcpip..{22A9E12B-421B-46BA-B62F-87E2E71ACFA2}: NameServer = 194.204.152.34 217.98.63.164

O17 - HKLM\System\CS1\Services\Tcpip..{22A9E12B-421B-46BA-B62F-87E2E71ACFA2}: NameServer = 194.204.152.34 217.98.63.164

O17 - HKLM\System\CS2\Services\Tcpip..{22A9E12B-421B-46BA-B62F-87E2E71ACFA2}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE

O23 - Service: Usługa administracyjna Menedżera dysków logicznych (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe

O23 - Service: MySql - Unknown owner - C:/Usr/bin/mysqld-nt.exe (file missing)

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Microsoft SSL (ssl) - Unknown owner - C:\WINDOWS\system32\ssl.exe (file missing)

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe" /service (file missing)

O23 - Service: Windows Product Activation (wpa) - Unknown owner - C:\WINDOWS\system32\wpa.exe (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)


(squeet) #2

Poczytaj i zastosuj TEN TEMAT

System załapał robaka


(Mwmb) #3

Dzięki za szybką odpowiedź.

Blastera i Sassera miałem, usunąłem i się zaszczepiłem kiedyś (dawno temu). Nie miałem potem problemów. Mam BitDefendera,który miałby się rozprawić z Cycle. Sam już nie wiem.

Zrobię jeszcze raz jak napisałeś. Czy mogło się tak stać powtórnie? Czy słusznie postąpię robiąc to jeszcze raz?


(squeet) #4

Oczywiście, że mogło... Komputer to niestety nie ludzki organizm, że produkuje przeciwciała...

Nie widzę u Ciebie firewalla...

Po zaaplikowaniu sposobu z mojego porzedniego posta i łatek w nim zawartych , zrób również skanowanie:

:arrow: Panda

:arrow: mks_vir

:arrow: Trend

:arrow: Dr.Web

:arrow: PestPatrol

:arrow: Spybot S&D

:arrow: AdAware

:arrow: CWShredder


(Mwmb) #5

OK. Dzięki.

Poinformuję o preprowadzonej akcji.

Złączono Posta : 29.08.2005 (Pon) 12:46

Jak się (chyba) okazało, nie był to wirus. Moim zdaniem coś z "windą".

Skanowałem mks-em, symantec-iem, bitdefenderem, adawarem, spybotem, windowsantyspywarem -> nie pomagało. Wspomniałem, że nie było problemu pod kontem administratora. Więc teraz tak się loguję (może założę nowe konto). Użytkownika, z którego konta korzystałem - zlikwidowałem. Nie ma teraz problemu.

pozdr