Po zalogowaniu się do win xp, pisze że nie ma pliku scvhost.exe.
Jak to naprawić ?
PS> Gdy uruchomić menadrzera zadań > procesy, to jest tam proces scvhost.exe ?
O co w tym chodzi?
Po zalogowaniu się do win xp, pisze że nie ma pliku scvhost.exe.
Jak to naprawić ?
PS> Gdy uruchomić menadrzera zadań > procesy, to jest tam proces scvhost.exe ?
O co w tym chodzi?
Nazwa jego to na pewno taka?
Prawidłowy plik systemowy to svchost.exe.
Sprawdź dokładnie szkodniki,poczytaj w dziale bezpieczeństwo i wklej tu loga.
racja sorki.
A czym mam zrobić loga ?
Oto log:
Logfile of HijackThis v1.99.1
Scan saved at 14:51:43, on 2007-01-03
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\pavsrv51.exe
D:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\AVENGINE.EXE
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\TPSrv.exe
d:\program files\panda software\panda antivirus + firewall 2007\firewall\PNMSRV.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
D:\WINDOWS\Explorer.exe
C:\Program Files\Cheetah Burner\Cheetah DVD Burner\NMSAccess.exe
D:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\PavFnSvr.exe
D:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
D:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\PsImSvc.exe
D:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
D:\Program Files\VMware\VMware Workstation\vmware-authd.exe
D:\WINDOWS\system32\vmnat.exe
D:\WINDOWS\system32\vmnetdhcp.exe
D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Program Files\HP\hpcoretech\hpcmpmgr.exe
D:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
D:\Program Files\Nokia\6280\Nokia PC Suite 6\LaunchApplication.exe
D:\Program Files\LClock\LClock.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\PC Connectivity Solution\ServiceLayer.exe
D:\Program Files\Mozilla Firefox 2 Beta 2\firefox.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Documents and Settings\Adam\Pulpit\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: Shell=Explorer.exe D:\WINDOWS\system32\scvhost.exe
O2 - BHO: Octh Class - {000123B4-9B42-4900-B3F7-F4B073EFC214} - D:\Program Files\Orbit\orbitcth.dll (file missing)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - D:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - D:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: IeMonitorBho Class - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - D:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - D:\PROGRA~1\FlashGet\getflash.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - D:\PROGRA~1\STARDO~1\SDIEInt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - D:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - D:\Program Files\StylerS\TB\StylerTB.dll
O4 - HKLM\..\Run: [ATIPTA] D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [APVXDWIN] "D:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [HP Component Manager] "D:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Software Update] "D:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\Program Files\Nokia\6280\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [AVPDWIN] "D:\Program Files\Panda Software\Panda Demo\pandasft.exe"
O4 - HKLM\..\Run: [LClock] D:\Program Files\LClock\LClock.exe
O4 - HKLM\..\Run: [Glass2k] D:\Vista Pliki\Glass2K\Glass2K.exe
O4 - HKLM\..\Run: [Vistadrv] D:\Vista Pliki\HDD Status\HDD Status\Vista\systool\Vistadrive\vsdrv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [LClock] D:\Program Files\LClock\lclock.exe
O4 - HKCU\..\RunOnce: [FFTI] D:\Documents and Settings\Adam\Dane aplikacji\Mozilla\Firefox\Profiles\l9w5veky.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\ffti.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART /DestPath="D:\Documents and Settings\Adam\Dane aplikacji\Mozilla\Firefox\Profiles/l9w5veky.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}"
O4 - Startup: Windows Welcome Center.lnk = D:\Vista Pliki\Windows Welcome Center\Windows Welcome Center.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: vsdrv.lnk = D:\Vista Pliki\HDD Status\HDD Status\Vista\systool\Vistadrive\vsdrv.exe
O8 - Extra context menu item: &Download all by Orbit - res://D:\Program Files\Orbit\orbitmxt.dll/202
O8 - Extra context menu item: &Download by Orbit - res://D:\Program Files\Orbit\orbitmxt.dll/201
O8 - Extra context menu item: &Download selected by Orbit - res://D:\Program Files\Orbit\orbitmxt.dll/203
O8 - Extra context menu item: &Grab video by Orbit - res://D:\Program Files\Orbit\orbitmxt.dll/204
O8 - Extra context menu item: Download with Star Downloader - D:\Program Files\Star Downloader\sdie.htm
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - D:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - D:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (DownloadManager Control) - http://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.6.0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{107D23D6-3D82-4715-B5AF-4885468AE0E2}: NameServer = 212.2.96.51 212.2.96.52
O17 - HKLM\System\CS1\Services\Tcpip\..\{107D23D6-3D82-4715-B5AF-4885468AE0E2}: NameServer = 212.2.96.51 212.2.96.52
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avldr - D:\WINDOWS\SYSTEM32\avldr.dll
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NMSAccess - Unknown owner - C:\Program Files\Cheetah Burner\Cheetah DVD Burner\NMSAccess.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - D:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - D:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - D:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\pavsrv51.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software International - d:\program files\panda software\panda antivirus + firewall 2007\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - D:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\PsImSvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: ServiceLayer - Nokia. - D:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - D:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - D:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\TPSrv.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - D:\Program Files\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - D:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - D:\WINDOWS\system32\vmnat.exe
Złączono Posta : 03.01.2007 (Sro) 15:32
Wie ktoś o co chodzi?
czy instalowałeś tą aplikacje :?:
pokaż co pokazuje podgląd zdarzeń, start-> uruchom-> eventvwr.msc
tak instalowałem WinPcap, bo bez tego by mi iPlus (Internet nie chodził)
a masz włączone wszystkie usługi?, jeżeli nie to włącz bo któraś mogła zatrzymać proces svchost
masz przecież to - scvhost.exe - w system32; prawidłowa nazwa
hosta usług to svc(SerViCes)host, więc to wirus!!
wirus zarejestrowany jest jako W32/Agobot-S virus albo W32.HLLW.Gaobot - jak się zdaje, ma wiele wcieleń;
ten drugi szerzy się przez współdzielone gry i pliki, zwłaszcza
Kylie Minogue is very horny atm - XXX.exe
Cameron Diaz’s webcam - cracked access - no cost - XXX.exe
Hoyle Card Games 2003 crack (all versions).exe
Warcraft 3 - Cable Modem Playfix.exe
Delta Force Black Hawk Down - Item Hack.exe
moze wpisywać się do kluczy
‘HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run’
Delete the value ‘Config Loader %sysdir%\sysldr32.exe’
Browse to the key:
‘HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce’
Delete the value ‘Config Loader %sysdir%\sysldr32.exe’
Browse to the key:
‘HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices’
Delete the value ‘Config Loader %sysdir%\sysldr32.exe’
oczywiście powinieneś szukać wpisów scvhost.exe a nie sysldr - wirus
używa róznych nazw plików wykonawczych
sprawdż zwłaszcza klucz run services, ale sprawdż i wszystkie usługi
w HKLM, system,services, czy nie ma tam jakiejś dziwnej usługi,
bo moze startować stamtąd z wpisem autoload
a nie mógłbyś mi wpisać tekst który wkleje do notatnika i zapisze z z rozszerzeniem reg i uruchomić ?
wpisz w uruchom system.ini - enter; sprawdż, czy nie ma tam wpisu
Shell=Explorer.exe D:\WINDOWS\system32\scvhost.exe,
jeśli będzie zostaw tylko Shell=Explorer.exe , resztę usuń i zapisz plik
(właśnie z powodu tego wpisu pojawia się ten komunikat podczas startu)
sprawdz jeszcze, czy scvhost.exe jest w system32, ale z logu wynika, ze go nie ma, został wpis, i sprawdż na wszelki wypadek rejestr - wpisz
regedit do uruchom, enter, sprawdz podane klucze, to nic trudnego, są
obok siebie, wszystkie wpisane po prawej stronie programy powinny ci być znane, jeśli będzie KernelFaultCheck to zostaw, jeśli bedzie nieznany-
prawy klik na nim i usuń- żadne ważne procesy systemowe nie startują z tych kluczy, więc systemowi nie zrobisz krzywdy;
sprawdż jeszcze ten klucz HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
jeśli będzie ctfmon.exe to zostaw
gdyby w system.ini nie było takiego wpisu otwórz w rejestrze klucz
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - po prawej stronie w panelu wyszukaj
wpis shell, kliknij prawym przyciskiem i modyfikuj - sprawdż, co jest
w dane wartosci- powinno być explorer.exe, jeśli jest coś innego
wymaż i wpisz explorer.exe(sprawdż nawet, jeśli po prawej stronie
jest już explorer. exe, drugi wpis moze byc widoczny dopiero po kliknięciu modyfikuj)
rxx od porady 2 to…
START > Wysukaj scvhost.exe ---------
NIE MAM TAKIEGO PLIKU ! :o
SKĄD GO WZIĄŚĆ ?!
jeżeli nie ma takiego pliku to dobrze, a to dlatego że ten plik jest wirusem, ale mogę pocieszyć że LOG nic nie od nalazł, być może jest to literówka.
svchost.exe -> plik systemowy, który musi się znajdować w %windir%\system32
scvhost.exe -> jest to wirus, bez względu na lokalizacje ten plik jest wirusem :!: :!: :!:
EDIT: sorry że nie zauważyłem tego syfu
Na wszelki w bo w logu widać:
Ściągasz narzędzie KillBox, zaznaczasz Delete on Reboot, potem klikasz All Files i wklejasz do pola Full Path of File to Delete ścieżkę:
D:\WINDOWS\system32\scvhost.exe
Klikasz X i reset sysa.
W HJT zaznaczasz wpisy i klikasz na dole “Fix checked” :
Po zabiegach nowe logi z HiJacka oraz Silent Runners (zaznaczasz No i czekasz aż skończy pracować w tle).
ale sprawdzałeś plik system.ini, czy był tam ten wpis? jestem ciekaw,
bo wiadomo ze xp w ogóle nie używa system.ini; podobnie, czy sprawdziłeś klucz winlogon - shell( u mnie kiedyś wirus się tam wpisał);
co do orbitmxt.dll to jest to biblioteka downladera, który też był
podejrzany, ale z informacji w google wynikało, że jedynie nadużywa
reklamy
UWAGA !
Gdy włączam KillBox , i robię jak mi kazał Joan, wyskakuje coś takiego:
Nie kazał tylko kazała.
Pliku może już nie ma na dysku, a tylko resztka w rejestrze dlatego usuń w hjt wpisy, które podała Joan, a następnie wklej nowy log z hjt oraz SilentRunners. Jeżeli podczas uruchamiania silenta pokaże się jakiś błąd, to proszę podać jego dokładną treść.