r3m0
(R E M O)
7 Czerwiec 2008 15:15
#1
Witam,
Po skanie Avasta wykryto kilka wirusów i robaków, jeden, siedzący w pliku system32.exe został poddany kwarantannie, po restarcie kompa pojawiło się sporo problemów, m.in. nie działa net (stałe łącze, więc nie ma możliwości pogrzebania w połączeniu), programy takie jak winamp, cały system muli, typu ikony na pulpicie ładują się pół godziny, co ciekawe - występują problemy z kopiowaniem plików, zwyczajnie nie chcą się skopiować.
Ma ktoś może pojęcie w czym tkwi problem? Podrzucam plik z HiJacka, będę wdzięczny za każdą odpowiedź.
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:59:16, on 2008-06-06 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe C:\Program Files\ULI5289\ALi5289.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Winamp\winampa.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe” O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [ALi5289] C:\Program Files\ULI5289\ALi5289.exe O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM…\Run: [WinampAgent] “C:\Program Files\Winamp\winampa.exe” O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [Konnekt] “C:\Program Files\Konnekt\konnekt.exe” /autostart O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKUS\S-1-5-21-1960408961-2139871995-839522115-1003…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User ‘?’) O4 - HKUS\S-1-5-21-1960408961-2139871995-839522115-1003…\Run: [Konnekt] “C:\Program Files\Konnekt\konnekt.exe” /autostart (User ‘?’) O4 - HKUS\S-1-5-21-1960408961-2139871995-839522115-1003…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background (User ‘?’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘?’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’) O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe – End of file - 4222 bytes
Leon1
(Leon$)
7 Czerwiec 2008 16:18
#2
Log czysty
przywróć go z kwarantanny i zobacz co się będzie działo
r3m0
(R E M O)
7 Czerwiec 2008 22:43
#3
Niestety nie ma takiej możliwości, bo przy wchodzeniu w listę plików pod kwarantanną wyskakuje błąd RPC.
Dodatkowo ze stronki uniblue:
W dniu 08.06.2008 , o godzinie 0:43 został dopisany post przez r3m0
Hehe, przeglądając loga zorientowałem się, że brakuje svchost.exe, Avast musiał go kopnąć gdzieś, albo usunąć.
Wie ktoś może jak można ten plik przywrócić bez dostępu do neta i z niedziałającym CD-ROMem?
Dodam, że w folderze system32\dllcache niestety nie ma kopii.
Gutek
(Gutek)
8 Czerwiec 2008 11:13
#4
Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=213350
Plik na pendrivie musiałbyś przenieść
r3m0
(R E M O)
8 Czerwiec 2008 11:19
#5
A mógłby ktoś podrzucić mi go z płytki na rapida, albo innego? Byłbym ogromnie wdzięczny.
Znajduje się w katalogu i386 w folderze głównym, a zwie się svchost.ex_
Ale tak się zastanawiam - skoro Avast nałożył na niego kwarantannę, to pewnie nie tylko przeniósł gdzieś sam plik, ale też zamieszał w rejestrze, czyli logicznym wnioskiem jest to, by wziąć zdrowego loga z rejestru i skopiować wpisy zawierające svchost, jak myślicie?
Gutek
(Gutek)
8 Czerwiec 2008 11:21
#6
Jeżeli jest w kwarantannnie możesz go przywrócić
r3m0
(R E M O)
8 Czerwiec 2008 12:25
#7
Jeśli znasz jakiś sposób jak to zrobić, bez użycia Avasta, to z pewnością tak…
Niestety sam program sypie się z powodu błędów RPC (w skutek błędu działania svchost, który jest odpowiedzialny za biblioteki DLL, więc tworzy się zamknięte koło… ;/)
Oprócz tego, wciąż nie mam pewności czy nie był zainfekowany.
Gutek
(Gutek)
8 Czerwiec 2008 13:31
#8
Ciężko jest naprawiać system bez płyty instalacyjnej. Nie wiadomo co jeszcze poleciało.