Przenosi ciągle pliki systemowe do katalogu bad

api · 20 Maj 2007 08:45

Już mnie coś bierze przy tym kompie :evil:

Po uruchomieniu kompa nie załadował mi się explorer i nie było paska i żadnej ikony, no to sprawdzam co jest grane. Patrze a tu katalog c:\windows wolny od plików se myśl ki diabeł, patrze a one są w c:\windows\bad no to ja je copy do c:\windows i luzik. Patrzę a one po kolei giną i lecą znowu do c:\windows\bad no to szukam co nie tego.

Patrzę a tu svchost.exe za… jak szalony. W zasadzie C:\WINDOWS\System32\svchost.exe -k netsvcs

Włażę na tego dziada i patrzę a tam wątek advapi32.dll!CryptVerifyignatureW+0x17 w kilku kopiach a ten pierwszy dostaje białej gorączki no to ja go KILLem walę i sprawdzam copy do c:\windows i jest spox. Po resecie kompa to samo.

Jeszcze jedno mi się przypomniało wczoraj pokazał mi się komunikat SFC o wykryciu zmian w systemie zignorowałem go. Dzisiaj mam ten problem i znowu mi się pokazał więc wsadziłem cedeka windy i potwierdziłem jednak nic to nie pomogło.

Co jest grane??? bo mnie już normalnie trafia!! :evil:

Log wygląda na czysty, antywirus tez nic nie wykrywa

Logfile of HijackThis v1.99.1 Scan saved at 09:50:20, on 2007-05-20 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16441) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Eset\nod32krn.exe C:\Program Files\Eset\nod32kui.exe F:\INSTALKI\WINTERNALS\PROCESSEXPLORER\PROCEXP.EXE C:\Program Files\Mozilla Firefox\firefox.exe F:\Instalki\Security\HijackThis\HijackThis 1.99.1.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ O2 - BHO: IE7pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Program Files\IE7pro\IE7Pro.dll O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\ANTYWI~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201 O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204 O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203 O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202 O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IE7pro\IE7Pro.dll O9 - Extra ‘Tools’ menuitem: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IE7pro\IE7Pro.dll O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan … asinst.cab O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

advapi32.dll - rozmiar 670KB (686 080 bajtów)

svchost.exe - rozmiar 14 KB (14 336 bajtów)

Złączono Posta : 20.05.2007 (Nie) 12:37

Że mam na starym dysku czysty XP bez zadnych SP to se z niego kompa odpaliłem i probowałem podmieniać pliki svchost.exe, advapi32.dll i sfc_os.dll nic mi to jednak nie dało co najwyżej system się wieszał. Po powrocie do aktualnych dalej wywala mi pliki

Nod mi nic nie wykrył kasperski tez nic i spybot też czysty.

Ratujcie!!

goomish · 20 Maj 2007 14:09

Na temat znikających z C:\Windows plików oraz alarmów podnoszonych przez SFC niewiele napiszę, bo nie wiem co może być przyczyną. Log HT jest czysty (wręcz unikatowo skromny w porównaniu z przeciętnym logiem wklejanym na to i inne forum :))

Inna możliwość, to np. padający dysk twardy lub problem z pamięcią RAM. Sprawdź gruntownie dysk (a przynajmniej partycję systemową) poleceniem chkdsk /f (albo chkdsk /r uruchomionym z Konsoli Odzyskiwania). Pamięć RAM sprawdzisz np. programem memtest86. Miarodajny test powinien trwać co najmniej kilkanaście godzin.

Jeżeli chodzi o szalejący i zużywający cały czas procesora svchost.exe - wyłącz (tymczasowo, do czasu aż Microsoft opracuje działającą poprawkę) Microsoft Update i korzystaj z Windows Update. Link

grzegorzch · 21 Maj 2007 04:54

api wszystko wskazuje na jakiegoś rootkita.

api · 21 Maj 2007 05:41

Ram i dysk są jak najbardziej ok

chkdsk też robiłem i sfc/scannow i wyłączałem WFS i plik wymiany inic

Nie dotyczy to problemu autoupdate a szaleje tylko gdy przenosi pliki do /bad, czasem też przenosi niektóre spowrotem do /windows by chwilę puxniej znowu je przenieść do /bad

Przeskanowałem wszystkim, nod32, kaspersky,panda,spybot,ad-aware,avg anti-spyware, sophos antirootkit, panda antirootkit i nic nie wykryły

gmer pokazał tylko

więc sam już niewiem co mam począć

chyba reinstal mi pozostał, ale męczy mnie to ze niewiem co jest grame.

artur21 · 21 Maj 2007 15:28

sądząc po wszystkich twoich probach tylko to zostalo… mowi sie trudno i zyje sie dalej ( z lepszym Windowsem)