Problem z servises.exe i tym podobnymi

Fubus · 4 Październik 2009 17:08

Witam!

Moj problem jest nastepujacy: ostatnio z karty pamieci wrzucilem plik na komputer i sie zaczelo. Na karcie znalazlem potem plik ufo.exe. W tej chwili warcraft 3 nie wykrywa ver. gry, polowa wczesniejszych procesow nie jest wlaczona, antywirus jest prawie “martwy” i co chwile wchdoza dziwne procesy. w logu z hijack’a znalazlem dziwne procesy servises.exe i reader_s. Znalazlem tez dziwne pliki utworzeone na dysku c z dziwnymi cyframi (usuwam je, jednak wracaja).

Ponizej wysylam log z HijackThis, jesli bedzie jeszcze cos potrzebne to napiszcie.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:06:28, on 2009-10-04

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Common Files\iS3\Anti-Spyware\SZServer.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

c:\windows\system32\svchost.exe

C:\Program Files\ArcaBit\ArcaVir\ABregmon.exe

C:\WINDOWS\system32\ctfmon.exe

I:\Program Files\Tlen.pl\tlen.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\svchost.exe

C:\Program Files\ArcaBit\Common\ArcaBit.Core.Configurator2.exe

C:\Program Files\ArcaBit\ArcaUpdate\update.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\FTRTSVC.exe

H:\Program Files\LogMeIn Hamachi\hamachi-2.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\UAService7.exe

C:\Program Files\ArcaBit\ArcaVir\NetMonSV.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\neostrada tp\neostradatp.exe

C:\Program Files\neostrada tp\ComComp.exe

C:\PROGRA~1\NEOSTR~1\Toaster.exe

C:\PROGRA~1\NEOSTR~1\Inactivity.exe

C:\PROGRA~1\NEOSTR~1\PollingModule.exe

C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

C:\Program Files\neostrada tp\Watch.exe

C:\WINDOWS\system32\Rundll32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Mozilla Firefox\firefox.exe

E:\download\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wp.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = neostrada tp

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\secpol.exe,C:\WINDOWS\system32\sdra64.exe,

O1 - Hosts: 75.126.151.179 l2testauthd.lineage2.com

O1 - Hosts: 75.126.151.179 l2authd.lineage2.com

O1 - Hosts: 216.107.250.194 nprotect.lineage2.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SITEguard BHO - {1827766b-9f49-4854-8034-f6ee26fcb1ec} - C:\Program Files\STOPzilla!\SZSG.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - E:\Program Files\GetRight\xx2gr.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {CC69F5CF-1861-4C96-8C44-6BA686249B4B} - c:\windows\system32\chvmpva.dll

O2 - BHO: STOPzilla Browser Helper Object - {e3215f20-3212-11d6-9f8b-00d0b743919d} - C:\Program Files\STOPzilla!\SZIEBHO.dll

O4 - HKLM\..\Run: [ABREGMON] C:\Program Files\ArcaBit\ArcaVir\ABregmon.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ter8m] RUNDLL32.EXE C:\WINDOWS\system32\msxm192z.dll,w

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Komunikator] I:\Program Files\Tlen.pl\tlen.exe

O4 - HKCU\..\Run: [12CFG214-K641-12SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [servises] C:\WINDOWS\system32\servises.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [servises] C:\WINDOWS\system32\servises.exe (User 'Default user')

O8 - Extra context menu item: Add to AMV Converter... - C:\Program Files\MP3 Player Utilities 4.12\AMVConverter\grab.html

O8 - Extra context menu item: Download with GetRight - E:\Program Files\GetRight\GRdownload.htm

O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Program Files\MP3 Player Utilities 4.12\MediaManager\grab.html

O8 - Extra context menu item: Open with GetRight Browser - E:\Program Files\GetRight\GRbrowse.htm

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.7.109.cab

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://www.popcap.com/webgames/popcaploader_v10.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3067B0FE-BC86-4A78-A754-DB9230A9FE33}: NameServer = 194.204.159.1 217.98.63.164

O17 - HKLM\System\CS1\Services\Tcpip\..\{3067B0FE-BC86-4A78-A754-DB9230A9FE33}: NameServer = 194.204.159.1 217.98.63.164

O17 - HKLM\System\CS2\Services\Tcpip\..\{3067B0FE-BC86-4A78-A754-DB9230A9FE33}: NameServer = 194.204.159.1 217.98.63.164

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: csbdll - C:\WINDOWS\SYSTEM32\csbdll.dll

O20 - Winlogon Notify: omzlqite - C:\WINDOWS\SYSTEM32\chvmpva.dll

O20 - Winlogon Notify: TS_LogonListener - C:\WINDOWS\SYSTEM32\TS_LogonListener.dll

O23 - Service: ArcaBit FileMonitor (ABFileMon) - ArcaBit - C:\Program Files\ArcaBit\ArcaVir\FileMonSV.exe

O23 - Service: ArcaBit NetMonitor (ABNetMon) - ArcaBit - C:\Program Files\ArcaBit\ArcaVir\NetMonSV.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: ArcaBit.Core.Configurator - ArcaBit - C:\Program Files\ArcaBit\Common\ArcaBit.Core.Configurator2.exe

O23 - Service: ArcaBit.Core.LoggingService - ArcaBit - C:\Program Files\ArcaBit\Common\ArcaBit.Core.LoggingService.exe

O23 - Service: ArcaBit.TaskScheduler - ArcaBit sp. z o.o. - C:\Program Files\ArcaBit\Common\TaskScheduler.exe

O23 - Service: ArcaBit Update Service (AVUpdate) - ArcaBit - C:\Program Files\ArcaBit\ArcaUpdate\update.exe

O23 - Service: Usługa inteligentnego transferu w tle (BITS) - Unknown owner - C:\WINDOWS\

O23 - Service: Przeglądarka komputera BrowserERSvc (BrowserERSvc) - Unknown owner - C:\WINDOWS\system32\1EB.tmp.exe (file missing)

O23 - Service: Diskeeper - Diskeeper Corporation - E:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: fastnetsrv Service (fastnetsrv) - Unknown owner - C:\WINDOWS\system32\FastNetSrv.exe (file missing)

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - H:\Program Files\LogMeIn Hamachi\hamachi-2.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe

O23 - Service: STOPzilla Service (szserver) - iS3, Inc. - C:\Program Files\Common Files\iS3\Anti-Spyware\SZServer.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

O23 - Service: Aktualizacje automatyczne (wuauserv) - Unknown owner - C:\WINDOWS\

O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/Krystian/USTAWI~1/Temp/msoclip1/01/clip_image002.jpg


--

End of file - 8813 bytes

Kaczorinax · 4 Październik 2009 17:26

C:\WINDOWS\System32\FTRTSVC.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\UAService7.exe

Jeżeli nie wiesz co to za rzeczy usuń je np. z poziomu linuksa z plyty live cd

jessica · 4 Październik 2009 17:28

W logu tego nie widać(choć są inne szkodniki), ale jeśli naprawdę to wykryłeś, to masz oogromny problem wirus zarażający wszystkie . exe.

W takim przypadku nie warto sobie zawracać głowy usuwaniem innych szkodników.

Postępuj wg opisu z tej strony:

>http://helpc.eu/usuwanie-virut-t1674.html

EDIT:

@ Kaczorinax - wszystkie wymienione przez Ciebie obiekty są prawidłowe, to nie są szkodniki!

Szkodliwe w logu są te poniższe:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\secpol.exe,C:\WIND OWS\system32\sdra64.exe, O2 - BHO: (no name) - {CC69F5CF-1861-4C96-8C44-6BA686249B4B} - c:\windows\system32\chvmpva.dll O4 - HKLM…\Run: [ter8m] RUNDLL32.EXE C:\WINDOWS\system32\msxm192z.dll,w O4 - HKCU…\Run: [12CFG214-K641-12SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe O4 - HKUS\S-1-5-18…\Run: [servises] C:\WINDOWS\system32\servises.exe (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [servises] C:\WINDOWS\system32\servises.exe (User ‘Default user’) O20 - Winlogon Notify: csbdll - C:\WINDOWS\SYSTEM32\csbdll.dll O20 - Winlogon Notify: omzlqite - C:\WINDOWS\SYSTEM32\chvmpva.dll O23 - Service: fastnetsrv Service (fastnetsrv) - Unknown owner - C:\WINDOWS\system32\FastNetSrv.exe (file missing)

jessi

Fubus · 4 Październik 2009 17:54

@ Kaczorinax:

Linuksa nie posiadam, a co do podanych przez Ciebie pozycji jestem pewny w 100%.

@Jessica:

Bardzo dziekuje za tak szybka i profesjonalna odpowiedz. O postepach w walce ze szkodnikami bede informowal na biezaco.

EDIT:

Jeszcze takie pytanie: z tego co wyczytalem, to rozumiem, ze wirus atakuje tylko pliki .exe? Czy tez moze cos zle zrozumialem i atakuje on rowniez pliki .doc i .pdf?

jessica · 4 Październik 2009 21:04

Te pliki są bezpieczne.

jessi

Fubus · 5 Październik 2009 15:27

Jeszcze jedna sprawa: czy zdjecia tez beda bezpieczne?

Jak ktos moglby podac pelna liste typow plikow, ktore on atakuje, bylbym bardzo wdzieczny, gdyz szukam juz tego drugi dzien.

Z gory dziekuje za odpowiedz.

jessica · 5 Październik 2009 16:38

To zależy od wersji wirusa, ale generalnie wszystkie pliki poza .exe , .dll , .scr są nie zarażane.

jessi

Fubus · 6 Październik 2009 14:01

No dobrze, a jak w takim razie zachowuje sie wirus w odniesieniu do plikow .exe w archiwach .zip i .rar oraz do obrazow ISO zawierajacych pliki exe?

anon53382939 · 6 Październik 2009 14:12

Przeczytaj sobie.