Pilne, svchost.exe

Dla specjalistów Bezpieczeństwo
#1

JUŻ NA WSTĘPIE PROSZĘ MODERATORÓW O NIE USUWIANIE TEGO TEMATU, JESTEM (lekko) ZDESPEROWANY, A NIE MOGŁEM ZNALEŹĆ TEMATÓW GDZIE SĄ OPISANE TAKIE SAME PROBLEMY. PROSZĘ O PILNĄ POMOC OSOBY DOŚWIADCZONEJ I ZNAJĄCEJ SIĘ NA RZECZY!

Witam, mam wielki problem, gdyż pojawiło mi się strasznie dużo w menadżerze zadań “svchost.exe” któe powodują “zmulanie komputera”. Największym problem jest to, że nie moge otworzyć worda, a musze napisać prace. Kolejnym problem jest stacja dyskietek otóż. po każdym uruchomieniu jakiejś strony, programy, zawsze “burczy” tak jakby chciała coś przeczytać z dyskietki. To “burczenie” zaczęło się pojawiać, po tym jak skanowałem dysk C “NODEM”.

Widziałem, że wiele osób na innych forach podowało Log Hijack This. O to i log poniżej, prosze o pilną pomoc

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:47:16, on 2008-11-21

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\System32\rs32net.exe

C:\WINDOWS\System32\reader.exe

C:\WINDOWS\system32\cssrss.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\System32\rs32net.exe

C:\DOCUME~1\AK\USTAWI~1\Temp\F.tmp.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\taskmgr.exe

C:\Program Files\Opera\Opera.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\System32\msxml71.dll

O2 - BHO: HelloWorldBHO - {D88E1558-7C2D-407A-953A-C044F5607CEA} - C:\Program Files\Mjcore\Mjcore.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM…\Run: [internat.exe] internat.exe

O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe”

O4 - HKLM…\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe

O4 - HKLM…\Run: [advap32] .\5.tmp/r

O4 - HKLM…\Run: [Movie Maker] C:\WINDOWS\vmmreg32.exe

O4 - HKLM…\Run: [WindowsUpdate] C:\WINDOWS\system32\head-22-10-2.exe

O4 - HKLM…\Run: [NvSvc] C:\WINDOWS\System32\nvsvc32.exe

O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM…\Run: [kibbjjrr] %systemroot%\kibbjjrr.exe

O4 - HKLM…\Run: [iDBAATZQ] %systemroot%\IDBAATZQ.exe

O4 - HKLM…\Run: [piaeloog] %systemroot%\piaeloog.exe

O4 - HKLM…\Run: [oljchenm] %systemroot%\oljchenm.exe

O4 - HKLM…\Run: [reader] C:\WINDOWS\System32\reader.exe

O4 - HKLM…\Run: [WMDM PMSP Service] C:\WINDOWS\system32\cssrss.exe

O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background

O4 - HKCU…\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe

O4 - HKCU…\Run: [Cognac] C:\DOCUME~1\AK\USTAWI~1\Temp\F.tmp.exe

O4 - HKUS\S-1-5-18…\Run: [Facegame] “C:\Documents and Settings\AK\Dane aplikacji\Facegame\Facegame.exe” 61A847B5BBF72813329B39577AFF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310 (User ‘SYSTEM’)

O4 - HKUS\S-1-5-18…\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe (User ‘SYSTEM’)

O4 - HKUS\S-1-5-18…\Run: [nttnzpfv.exe] C:\WINDOWS\nttnzpfv.exe (User ‘SYSTEM’)

O4 - HKUS\S-1-5-18…\Run: copy /Y “C:\WINDOWS\System32\msxml71.dll.upd” “C:\WINDOWS\System32\msxml71.dll” (User ‘SYSTEM’)

O4 - HKUS.DEFAULT…\Run: [Facegame] “C:\Documents and Settings\AK\Dane aplikacji\Facegame\Facegame.exe” 61A847B5BBF72813329B39577AFF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310 (User ‘Default user’)

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab

O17 - HKLM\System\CCS\Services\Tcpip…{14F7902E-AD49-4732-9FDB-7849915395F0}: NameServer = 194.204.159.1,194.204.152.34

O17 - HKLM\System\CS1\Services\Tcpip…{14F7902E-AD49-4732-9FDB-7849915395F0}: NameServer = 194.204.159.1,194.204.152.34

O17 - HKLM\System\CS2\Services\Tcpip…{14F7902E-AD49-4732-9FDB-7849915395F0}: NameServer = 194.204.159.1,194.204.152.34

O17 - HKLM\System\CS3\Services\Tcpip…{14F7902E-AD49-4732-9FDB-7849915395F0}: NameServer = 194.204.159.1,194.204.152.34

O17 - HKLM\System\CS4\Services\Tcpip…{14F7902E-AD49-4732-9FDB-7849915395F0}: NameServer = 194.204.159.1,194.204.152.34

O20 - AppInit_DLLs: ??%???

O20 - Winlogon Notify: crypt - C:\WINDOWS\

O20 - Winlogon Notify: fvlnrhg - C:\WINDOWS\SYSTEM32\fvlnrhg.dll

O20 - Winlogon Notify: prswxlox - C:\WINDOWS\SYSTEM32\prswxlox32.dll

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: FCI - Unknown owner - C:\WINDOWS\System32\fci.exe.exe:ext.exe (file missing)

O23 - Service: ICF - Unknown owner - C:\WINDOWS\System32\icf.exe.exe:ext.exe (file missing)

O23 - Service: Harmonogram zadań ScheduleSCardDrv (ScheduleSCardDrv) - Unknown owner - C:\WINDOWS\system32\28.tmp.exe (file missing)

End of file - 5472 bytes

#2

dawno już nie widziałem tak zasyfionego systemu na początek

Zastosuj Malwarebytes’ Anti-Malware http://cybertrash.pl/Tata/MBAM/Malwarebytes_%20Anti-Malware.html pełny skan - jak coś znajdzie to usuń - pokaż log

Pobierz Combofix http://www.searchengines.pl/index.php?s … ntry395642 uruchom dwuklikiem

Podczas pobierania i skanu Combofixem proszę wyłączyć wszelkie zapory i antywirusy

teraz dopiero nowy HijackThis 2.02 daj log

kolejność skanów jak podałem (ważne)

:slight_smile:

#3

gizmo1992 , popraw tytuł tematu, używając przycisku ac7a4cd89050aa6e.gif

#4

Witam,

zrobiłem tak jak mówiłeś. Zainstalowalem Malwarebytes’ Anti-Malware, dałem skanowanie pełne, wybrałem dyski i zaczęło się skanowanie. W trakcie tego skanowania po pewnym czasie pojawia się komunikat z naglówkiem logon.scr, a poniżej pisze “wystąpił problem z aplikacją logon.scr i zostanie ona zamknięta. Przepraszamy za kłopoty.” Można wybrać dwie opcje, napisz raport lub nie wysyłaj, jednak na nic nie nacisnąłem pozostawiłem to okienko i dysk D był nadal skanowany. Niestety skanowanie doszło do penwego miejsca i program się zawiesił. Następnie uruchomiłem go jeszcze raz i znów powtórzyła się sytuacja. Co zrobić z tym fantem, może zeskanowac tylko dysk C ?

#5

Proszę pobrać Combofix już w trakcie pobierania zapisać go pod jakąś losową nazwą np 124.exe

Następnie wejdź w tryb awaryjny windows opis http://forum.pcformat.pl/showthread.php?tid=13358 spróbuj uruchomić Combofix

Jeśli się uda niech przeskanuje system po zakończeniu daj log na forum

Loga wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj tylko linka