Problem z wejściem na partycje i plikiem svrhost.exe


(oprych) #1

Witam

Mam dziwyny problem, podejrzewam wirusa, ale nic go nie wykrywa ;(

Otóż gdy próbuje wejść na którąś z partycji pojawia mi się komunikat o blędzie: (0xc000007b) oraz jakaś informacja o plik svrhost.exe

aby wejść na dysk musze ręcznie wpisywać adres, albo prawym przyciskiem i "otwórz". zauważyłem, iż wtedy domyślną opcją zamiast "otwórz" jest "auto"

sformatowałem partycje systemową i po pierwszym uruchomieniu ona działała, pozostałe nie. po drugim i ona miała zmienioną domyślną opcje na auto

kilku moich znajomych ma podobny problem, tylko że u nich po prostu nie można wejść na dysk, bez komunikatów o błędzie. (oni mają XP, a ja mam XP 64)

wrzucam log

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 01:34:13, on 2007-11-29

Platform: Windows 2003 SP2 (WinNT 5.02.3790)

MSIE: Internet Explorer v6.00 SP2 (6.00.3790.1830)

Boot mode: Normal


Running processes:

C:\WINDOWS\SysWOW64\ctfmon.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\cmd.exe

C:\Program Files (x86)\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\cmd.exe

C:\Program Files (x86)\Tlen.pl\tlen.exe

C:\Program Files (x86)\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\cmd.exe

C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

F2 - REG:system.ini: UserInit=userinit

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Komunikator] C:\Program Files (x86)\Tlen.pl\tlen.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C35303B6-6706-4D8B-8408-94BC0708616D}: NameServer = 212.14.14.36,212.14.14.37

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe (file missing)

O23 - Service: Event Log (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe (file missing)

O23 - Service: HTTP SSL (HTTPFilter) - Unknown owner - C:\WINDOWS\System32\lsass.exe (file missing)

O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe (file missing)

O23 - Service: Distributed Transaction Coordinator (MSDTC) - Unknown owner - C:\WINDOWS\system32\msdtc.exe (file missing)

O23 - Service: Net Logon (Netlogon) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)

O23 - Service: NT LM Security Support Provider (NtLmSsp) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe (file missing)

O23 - Service: IPSEC Services (PolicyAgent) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)

O23 - Service: Protected Storage (ProtectedStorage) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)

O23 - Service: Remote Desktop Help Session Manager (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe (file missing)

O23 - Service: Security Accounts Manager (SamSs) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)

O23 - Service: Windows WorkGroup (svrhost) - Unknown owner - C:\Program Files\Common Files\Microsoft Shared\MSINFO\svrhost.exe

O23 - Service: Virtual Disk Service (vds) - Unknown owner - C:\WINDOWS\System32\vds.exe (file missing)

O23 - Service: Volume Shadow Copy (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe (file missing)

O23 - Service: WMI Performance Adapter (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe (file missing)


--

End of file - 4110 bytes

(system) #2

Uruchom komputer w trybie awaryjnym.

Wejdź na dyski z którymi masz problemy, odkryj pliki ukryte a następnie skasuj 'autorun.inf'.

Być może będziesz musiał zabić proces 'svrhost.exe'.

Przy okazji skasuj ten plik z katalogu 'Windows' lub 'Windows\System32'


(oprych) #3

miałem racje, to był wirus. W nocy Avast po aktualizacji zaczął go wykrywać.

Teraz juz wszystko okej.

Mam tylko pytanie, jedna z partycji nadal po kliknięciu ma fukncje "auto" zamiast otwórz jako domyślną i przez to nie chce mi się otworzyć. Pamięta ktoś jak zmienić w rejestrze, to aby domyślną opcją było otwórz??


(Duncaen) #4

Zobacz tu bo miałem podobne problemy w Xp prof:

http://forum.dobreprogramy.pl/viewtopic.php?t=197466

i to możesz przejrzeć:

http://forum.dobreprogramy.pl/viewtopic ... t=#1322571

Poiwinienes z tym rozwiązac problem


(Gutek) #5

usuń wpisy HJT, ale

Otwórz Notatnik i wklej do niego:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.BAT >>>

kliknij dwa razy na utworzony plik FIX.BAT >>> restart.

Po tym usuń plik ręcznie w trybie awaryjnym.


(Ptak83) #6

mam ten sam problem tylko inny log

wrzucam ten log

tylko prosze krok po kroku bo jestem laikiem :frowning:


(Leon$) #7

Pobierz Combofix Przeskanuj system daj log na forum

:slight_smile:


(Ptak83) #8

log z programu combofix

mam nadzieje ze uda ci sie mi pomoc probowalem przez hijackthis ale nie wiem czy wszystko zrobilem poprawnie :frowning:


(Leon$) #9

ptaq82

Otwórz notatnik i wklej

File::

C:\WINDOWS\system32\_svrhost.exe


Driver::

svrhost


Registry:: 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

zapisz jako CFScript (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe ) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

na pytanie "1 or 2" - to wpisz 1 i naciśnij ENTER

Powinno rozpocząć się usuwanie

Po restarcie usuń ręcznie folder C: \Qoobox

:slight_smile: