Scvhost.exe - brakujący plik


(Ulrichlyoko03) #1

Po zalogowaniu się do win xp, pisze że nie ma pliku scvhost.exe.

Jak to naprawić ?

PS> Gdy uruchomić menadrzera zadań > procesy, to jest tam proces scvhost.exe ?

O co w tym chodzi? :slight_smile:


(JNJN) #2

Nazwa jego to na pewno taka?

Prawidłowy plik systemowy to svchost.exe.

Sprawdź dokładnie szkodniki,poczytaj w dziale bezpieczeństwo i wklej tu loga.


(Ulrichlyoko03) #3

racja sorki.

A czym mam zrobić loga ?


(sdar) #4

TUTAJ znajdziesz instrukcje wklejania logów HijackThis i Silent Runners.


(Ulrichlyoko03) #5

Oto log:

Logfile of HijackThis v1.99.1

Scan saved at 14:51:43, on 2007-01-03

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\pavsrv51.exe

D:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\AVENGINE.EXE

D:\WINDOWS\system32\svchost.exe

D:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\TPSrv.exe

d:\program files\panda software\panda antivirus + firewall 2007\firewall\PNMSRV.EXE

D:\WINDOWS\system32\spoolsv.exe

D:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

D:\WINDOWS\Explorer.exe

C:\Program Files\Cheetah Burner\Cheetah DVD Burner\NMSAccess.exe

D:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\PavFnSvr.exe

D:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe

D:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\PsImSvc.exe

D:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

D:\Program Files\VMware\VMware Workstation\vmware-authd.exe

D:\WINDOWS\system32\vmnat.exe

D:\WINDOWS\system32\vmnetdhcp.exe

D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

D:\Program Files\HP\hpcoretech\hpcmpmgr.exe

D:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

D:\Program Files\Nokia\6280\Nokia PC Suite 6\LaunchApplication.exe

D:\Program Files\LClock\LClock.exe

D:\WINDOWS\system32\ctfmon.exe

D:\Program Files\PC Connectivity Solution\ServiceLayer.exe

D:\Program Files\Mozilla Firefox 2 Beta 2\firefox.exe

D:\WINDOWS\system32\wscntfy.exe

D:\Documents and Settings\Adam\Pulpit\hijackthis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: Shell=Explorer.exe D:\WINDOWS\system32\scvhost.exe

O2 - BHO: Octh Class - {000123B4-9B42-4900-B3F7-F4B073EFC214} - D:\Program Files\Orbit\orbitcth.dll (file missing)

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - D:\PROGRA~1\FlashGet\jccatch.dll

O2 - BHO: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - D:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: IeMonitorBho Class - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - D:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll

O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - D:\PROGRA~1\FlashGet\getflash.dll

O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - D:\PROGRA~1\STARDO~1\SDIEInt.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\fgiebar.dll

O3 - Toolbar: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - D:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - D:\Program Files\StylerS\TB\StylerTB.dll

O4 - HKLM\..\Run: [ATIPTA] D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [APVXDWIN] "D:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [HP Component Manager] "D:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe

O4 - HKLM\..\Run: [HP Software Update] "D:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\Program Files\Nokia\6280\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKLM\..\Run: [AVPDWIN] "D:\Program Files\Panda Software\Panda Demo\pandasft.exe"

O4 - HKLM\..\Run: [LClock] D:\Program Files\LClock\LClock.exe

O4 - HKLM\..\Run: [Glass2k] D:\Vista Pliki\Glass2K\Glass2K.exe

O4 - HKLM\..\Run: [Vistadrv] D:\Vista Pliki\HDD Status\HDD Status\Vista\systool\Vistadrive\vsdrv.exe

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [LClock] D:\Program Files\LClock\lclock.exe

O4 - HKCU\..\RunOnce: [FFTI] D:\Documents and Settings\Adam\Dane aplikacji\Mozilla\Firefox\Profiles\l9w5veky.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\ffti.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART /DestPath="D:\Documents and Settings\Adam\Dane aplikacji\Mozilla\Firefox\Profiles/l9w5veky.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}"

O4 - Startup: Windows Welcome Center.lnk = D:\Vista Pliki\Windows Welcome Center\Windows Welcome Center.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: vsdrv.lnk = D:\Vista Pliki\HDD Status\HDD Status\Vista\systool\Vistadrive\vsdrv.exe

O8 - Extra context menu item: &Download all by Orbit - res://D:\Program Files\Orbit\orbitmxt.dll/202

O8 - Extra context menu item: &Download by Orbit - res://D:\Program Files\Orbit\orbitmxt.dll/201

O8 - Extra context menu item: &Download selected by Orbit - res://D:\Program Files\Orbit\orbitmxt.dll/203

O8 - Extra context menu item: &Grab video by Orbit - res://D:\Program Files\Orbit\orbitmxt.dll/204

O8 - Extra context menu item: Download with Star Downloader - D:\Program Files\Star Downloader\sdie.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - D:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - D:\Program Files\FlashGet\jc_all.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\Program Files\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\Program Files\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (DownloadManager Control) - http://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.6.0.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{107D23D6-3D82-4715-B5AF-4885468AE0E2}: NameServer = 212.2.96.51 212.2.96.52

O17 - HKLM\System\CS1\Services\Tcpip\..\{107D23D6-3D82-4715-B5AF-4885468AE0E2}: NameServer = 212.2.96.51 212.2.96.52

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: avldr - D:\WINDOWS\SYSTEM32\avldr.dll

O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: NMSAccess - Unknown owner - C:\Program Files\Cheetah Burner\Cheetah DVD Burner\NMSAccess.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - D:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\PavFnSvr.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - D:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - D:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\pavsrv51.exe

O23 - Service: Panda Network Manager (PNMSRV) - Panda Software International - d:\program files\panda software\panda antivirus + firewall 2007\firewall\PNMSRV.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - D:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\PsImSvc.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: ServiceLayer - Nokia. - D:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - D:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Panda TPSrv (TPSrv) - Panda Software - D:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\TPSrv.exe

O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - D:\Program Files\VMware\VMware Workstation\vmware-authd.exe

O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - D:\WINDOWS\system32\vmnetdhcp.exe

O23 - Service: VMware NAT Service - VMware, Inc. - D:\WINDOWS\system32\vmnat.exe

Złączono Posta : 03.01.2007 (Sro) 15:32

Wie ktoś o co chodzi?


(De Niro) #6

czy instalowałeś tą aplikacje :?:

pokaż co pokazuje podgląd zdarzeń, start-> uruchom-> eventvwr.msc


(Ulrichlyoko03) #7

tak instalowałem WinPcap, bo bez tego by mi iPlus (Internet nie chodził)


(Ferdek31) #8

a masz włączone wszystkie usługi?, jeżeli nie to włącz bo któraś mogła zatrzymać proces svchost


(Edlib) #9

masz przecież to - scvhost.exe - w system32; prawidłowa nazwa

hosta usług to svc(SerViCes)host, więc to wirus!!

wirus zarejestrowany jest jako W32/Agobot-S virus albo W32.HLLW.Gaobot - jak się zdaje, ma wiele wcieleń;

ten drugi szerzy się przez współdzielone gry i pliki, zwłaszcza

Kylie Minogue is very horny atm - XXX.exe

Cameron Diaz's webcam - cracked access - no cost - XXX.exe

Hoyle Card Games 2003 crack (all versions).exe

Warcraft 3 - Cable Modem Playfix.exe

Delta Force Black Hawk Down - Item Hack.exe

moze wpisywać się do kluczy

'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run'

Delete the value 'Config Loader %sysdir%\sysldr32.exe'

Browse to the key:

'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce'

Delete the value 'Config Loader %sysdir%\sysldr32.exe'

Browse to the key:

'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices'

Delete the value 'Config Loader %sysdir%\sysldr32.exe'

oczywiście powinieneś szukać wpisów scvhost.exe a nie sysldr - wirus

używa róznych nazw plików wykonawczych

sprawdż zwłaszcza klucz run services, ale sprawdż i wszystkie usługi

w HKLM, system,services, czy nie ma tam jakiejś dziwnej usługi,

bo moze startować stamtąd z wpisem autoload


(Ulrichlyoko03) #10

a nie mógłbyś mi wpisać tekst który wkleje do notatnika i zapisze z z rozszerzeniem reg i uruchomić ?


(Edlib) #11

wpisz w uruchom system.ini - enter; sprawdż, czy nie ma tam wpisu

Shell=Explorer.exe D:\WINDOWS\system32\scvhost.exe,

jeśli będzie zostaw tylko Shell=Explorer.exe , resztę usuń i zapisz plik

(właśnie z powodu tego wpisu pojawia się ten komunikat podczas startu)

sprawdz jeszcze, czy scvhost.exe jest w system32, ale z logu wynika, ze go nie ma, został wpis, i sprawdż na wszelki wypadek rejestr - wpisz

regedit do uruchom, enter, sprawdz podane klucze, to nic trudnego, są

obok siebie, wszystkie wpisane po prawej stronie programy powinny ci być znane, jeśli będzie KernelFaultCheck to zostaw, jeśli bedzie nieznany-

prawy klik na nim i usuń- żadne ważne procesy systemowe nie startują z tych kluczy, więc systemowi nie zrobisz krzywdy;

sprawdż jeszcze ten klucz HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

jeśli będzie ctfmon.exe to zostaw

gdyby w system.ini nie było takiego wpisu otwórz w rejestrze klucz

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - po prawej stronie w panelu wyszukaj

wpis shell, kliknij prawym przyciskiem i modyfikuj - sprawdż, co jest

w dane wartosci- powinno być explorer.exe, jeśli jest coś innego

wymaż i wpisz explorer.exe(sprawdż nawet, jeśli po prawej stronie

jest już explorer. exe, drugi wpis moze byc widoczny dopiero po kliknięciu modyfikuj)


(Ulrichlyoko03) #12

rxx od porady 2 to...

START > Wysukaj scvhost.exe ---------

NIE MAM TAKIEGO PLIKU ! :o

SKĄD GO WZIĄŚĆ ?!


(De Niro) #13

jeżeli nie ma takiego pliku to dobrze, a to dlatego że ten plik jest wirusem, ale mogę pocieszyć że LOG nic nie od nalazł, być może jest to literówka.

svchost.exe -> plik systemowy, który musi się znajdować w %windir%\system32

scvhost.exe -> jest to wirus, bez względu na lokalizacje ten plik jest wirusem :!: :!: :!:

EDIT: sorry że nie zauważyłem tego syfu :frowning:


(Joan Sunshine) #14

Na wszelki w bo w logu widać:

Ściągasz narzędzie KillBox, zaznaczasz Delete on Reboot, potem klikasz All Files i wklejasz do pola Full Path of File to Delete ścieżkę:

D:\WINDOWS\system32\scvhost.exe

Klikasz X i reset sysa.

W HJT zaznaczasz wpisy i klikasz na dole "Fix checked" :

Po zabiegach nowe logi z HiJacka oraz Silent Runners (zaznaczasz No i czekasz aż skończy pracować w tle). :slight_smile:


(Edlib) #15

ale sprawdzałeś plik system.ini, czy był tam ten wpis? jestem ciekaw,

bo wiadomo ze xp w ogóle nie używa system.ini; podobnie, czy sprawdziłeś klucz winlogon - shell( u mnie kiedyś wirus się tam wpisał);

co do orbitmxt.dll to jest to biblioteka downladera, który też był

podejrzany, ale z informacji w google wynikało, że jedynie nadużywa

reklamy


(Ulrichlyoko03) #16

UWAGA !

Gdy włączam KillBox , i robię jak mi kazał Joan, wyskakuje coś takiego: problemzdj1jr1.jpg


(adam9870) #17

Nie kazał tylko kazała.

Pliku może już nie ma na dysku, a tylko resztka w rejestrze dlatego usuń w hjt wpisy, które podała Joan, a następnie wklej nowy log z hjt oraz SilentRunners. Jeżeli podczas uruchamiania silenta pokaże się jakiś błąd, to proszę podać jego dokładną treść.