iwosia
(Iwonapalko)
5 Czerwiec 2006 08:16
#1
Na głównym kompie jest Internet, na laptopie podlączonym do sieci - nie ma.
Już kilka razy coś takiego mi się zdarzało. Zawsze okazywało się, że wina jest pliku/wirusa, który atakuje usługi sieciowe; o nazwie svch0st.exe
Tym razem nie mogę go usunąć, próbowalam ‘normalnie’, poprzez Killbox, w trybie awaryjnym - nie da rady; (Killbox pokazuje ostatecznie, że plik taki nie istnieje. W logu z Hijacka jednak ciągle sie pojawia i nawet jak chcę zafixować, to niby go fixuje, a przy nastepnym logu znowu pokazuje
proszę o pomoc - co jeszcze moze wplywac na to, że nie ma internetu w laptopie polączonym z hostem, (jeszcze dzis rano był
I jak usunąć ten parszywy plik svch0st.exe?
p.s.1 - W tutejszym logu nie widać tego pliku, udalo sie go niby zafixować hijackiem, ale problem nadal jest
adam9870
(adam9870)
5 Czerwiec 2006 08:33
#2
Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jezeli któryś z nich bedzie na żółto to go zostaw).
W normalnym trybie pobierz KillBox .
Wyłącz przywracanie systemu
Uruchamiasz kompa w awaryjnym
Po wciśnięciu klawisza włączającego komputer szybko naciskach i trzymasz klawisz F5. W niektórych komputerach klawiszem tym nie można wejść to trzeba klawiszem F8. Potem będzie lista systemów do wyboru, wybierasz “Tryb awaryjny”, i system będzie uruchamiać się w trybie awaryjnym.
Uruchamiasz killboxa , zaznaczasz Delete on reboot , w polu full path of file wklej ścieżki:
C:\WINDOWS\System32* * vmmon32.exe**
C:\WINDOWS\System32* * njssbackmu.exe**
C:\WINDOWS\System32* * vuggfdwub.pif**
C:\WINDOWS\System32* * systemconfig32.exe**
Klikasz X czerwony i restart kompa (restart dopiero po usunięciu ostatniego pliku).
Uruchamiasz HijackThis i wybierasz “Do a system scan only”. Pokaże się lista wpisów, zaznaczasz wpisy które podałem i klikasz na “Fix checked”. Wpisy zostaną usunięte.
To by było na tyle w awaryjnym.
Pobierz program Ewido zrób update i przeskanuj.
Po wykonaniu w/w dajesz nowy log z HijackThis plus z SilentRunners .
A czemu ? Jaki błąd pojawia się ??
iwosia
(Iwonapalko)
5 Czerwiec 2006 08:44
#3
Już robię jak radzisz.
Swoją droga - bardzo dokładna i szczegółowa instrukcja. Super
W WWDC mam wszystkie kółka zielone od dawna, (nie, od NetBiosa jest tylko żółte).
A co do Silent Runnera. -> Nie mogę dać loga na razie z prostego powodu. :roll: Ten program potrafi (i tak zwykle robi) skanować system nawet przez godzinę, a chcialam najpierw wypróbować szybsze rozwiązania.
:shock: A! Jeszcze jedno - czemu musi byćwyłąćzone Przywracanie systemu? Przecież to czasem bardzo przydatna funkcja. często z niej korzystam, jako ostatniej deski ratunku i czasem pomaga. Dlaczego musi być wyłąćzona??
adam9870
(adam9870)
5 Czerwiec 2006 08:52
#4
Cieszę się, że CI się podoba. Starałem się
To dobrze jest
U Mnie robi log niecałe 2 minuty zazwyczaj. Ale czytałem na fourm przypadki w których nawet godzine robił :roll: To zrób może to co napisałem, potem zrób loga z hijacka i uruchom silenta i niech pracuje. I jak skonczy robic log to wstawisz na fourm.
Przywracanie systemu musi być wyłączone. Chocicaż na ten czas zanim nie uporasz się ze śmieciami. Potem sobie włączysz jak będziesz chciała :?
A i jak już pozbędziesz się wszystkich śmieci to radzę zainstalować dodatek Service Pack 2 . Poprawia on trochę bezpieczeństwo w systemie
iwosia
(Iwonapalko)
5 Czerwiec 2006 09:18
#5
Nie mogę usunąć tych plików z rozszerzeniem .pif (ani Killboxem ani fixowaniem hijacka).
A to nowy log:
Logfile of HijackThis v1.99.1 Scan saved at 10:14:33, on 2006-06-05 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe C:\Program Files\VIAudioi\SBADeck\ADeck.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\System32\vuggfdwub.pif C:\Program Files\Common Files\LightScribe\LSSrvc.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Opera\Opera.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\ewido anti-malware\ewidoguard.exe C:\Program Files\ewido anti-malware\ewidoctrl.exe C:\Program Files\ewido anti-malware\SecuritySuite.exe E:\narzedzia do loga\hijackthis.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://uk.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://uk.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://uk.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F2 - REG:system.ini: Shell=explorer.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM…\Run: [speedTouch USB Diagnostics] “C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon O4 - HKLM…\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1 O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [WIN prosessor] vuggfdwub.pif O4 - HKLM…\RunServices: [WIN prosessor] vuggfdwub.pif O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda … 5481322822 O17 - HKLM\System\CCS\Services\Tcpip…{9801152B-8958-4E51-ABF8-DD4F9D8A2157}: NameServer = 158.152.1.58 158.152.1.43 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
adam9870
(adam9870)
5 Czerwiec 2006 09:31
#6
Zauważyłem, że na sąsiednim forum SE dawałaś jakiś czas temu loga do sprawdzenia. I tam napisali Ci żebyś usuneła przy użyciu Gmera. Więc teraz też tak spróbuj, a , że nie chce robić plagiatu itp. to wejdź tutaj .
Robisz tak:
Wszystko dałem w cytacie jakby co :mrgreen:
Myślę, że to zadziała.
Po tym log z hijacka daj i najlepiej z silenta
iwosia
(Iwonapalko)
5 Czerwiec 2006 09:50
#7
Silent “się robi”. Zrobilam, jak mówiłeś - oto log z hijacka. Coś w nim jeszcze nie tak?
Logfile of HijackThis v1.99.1 Scan saved at 10:52:16, on 2006-06-05 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe C:\Program Files\VIAudioi\SBADeck\ADeck.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Program Files\ewido anti-malware\ewidoctrl.exe C:\Program Files\Common Files\LightScribe\LSSrvc.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\System32\WScript.exe C:\Program Files\Opera\Opera.exe E:\narzedzia do loga\hijackthis.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://uk.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://uk.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://uk.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F2 - REG:system.ini: Shell=explorer.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM…\Run: [speedTouch USB Diagnostics] “C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon O4 - HKLM…\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1 O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda … 5481322822 O17 - HKLM\System\CCS\Services\Tcpip…{9801152B-8958-4E51-ABF8-DD4F9D8A2157}: NameServer = 158.152.1.58 158.152.1.43 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
adam9870
(adam9870)
5 Czerwiec 2006 09:55
#8
Log już jest ok
Troszeczkę niepokoi mnie ten wpis
zobacz . tam picasso napisała ,że teoretycznie powinien być :? Ale zostaw go
Jak już wcześniej wspomniałem to sp2 radze zainstalować.
iwosia
(Iwonapalko)
5 Czerwiec 2006 09:59
#9
Z tego co wiem, sp2 byl zainstalowany na tym kompie, (ja tego nie robilam, ale jest ktoś, kto podobno robił) Hm…nie wiem, dlaczego w logach wyskakuje sp1 :?
:!: Silent:
“Silent Runners.vbs”, revision 44, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by “{++}” Startup items buried in registry: --------------------------------- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} “avast!” = “C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [null data] “SpeedTouch USB Diagnostics” = ““C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon” [“THOMSON Telecom Belgium”] “AudioDeck” = “C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1” [“VIA Technologies, Inc.”] “NeroFilterCheck” = “C:\WINDOWS\system32\NeroCheck.exe” [“Ahead Software Gmbh”] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}(Default) = (no title provided) -> {HKLM…CLSID} = “AcroIEHlprObj Class” \InProcServer32(Default) = “C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll” [“Adobe Systems Incorporated”] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ “{42071714-76d4-11d1-8b24-00a0c9068ff3}” = “Rozszerzenie CPL kadrowania wyświetlania” -> {HKLM…CLSID} = “Rozszerzenie CPL kadrowania wyświetlania” \InProcServer32(Default) = “deskpan.dll” [file not found] “{88895560-9AA2-1069-930E-00AA0030EBC8}” = “Rozszerzenie ikony HyperTerminalu” -> {HKLM…CLSID} = “HyperTerminal Icon Ext” \InProcServer32(Default) = “C:\WINDOWS\System32\hticons.dll” [“Hilgraeve, Inc.”] “{472083B0-C522-11CF-8763-00608CC02F24}” = “avast” -> {HKLM…CLSID} = “avast” \InProcServer32(Default) = “C:\Program Files\Alwil Software\Avast4\ashShell.dll” [“ALWIL Software”] “{640167b4-59b0-47a6-b335-a6b3c0695aea}” = “Portable Media Devices” -> {HKLM…CLSID} = “Portable Media Devices” \InProcServer32(Default) = “C:\WINDOWS\System32\Audiodev.dll” [MS] “{cc86590a-b60a-48e6-996b-41d25ed39a1e}” = “Portable Media Devices Menu” -> {HKLM…CLSID} = “Portable Media Devices Menu” \InProcServer32(Default) = “C:\WINDOWS\System32\Audiodev.dll” [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ INFECTION WARNING! “{54D9498B-CF93-414F-8984-8CE7FDE0D391}” = “ewido shell guard” -> {HKLM…CLSID} = “CShellExecuteHookImpl Object” \InProcServer32(Default) = “C:\Program Files\ewido anti-malware\shellhook.dll” ["TODO: "] HKLM\Software\Classes*\shellex\ContextMenuHandlers\ avast(Default) = “{472083B0-C522-11CF-8763-00608CC02F24}” -> {HKLM…CLSID} = “avast” \InProcServer32(Default) = “C:\Program Files\Alwil Software\Avast4\ashShell.dll” [“ALWIL Software”] ewido(Default) = “{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}” -> {HKLM…CLSID} = “Ctest Object” \InProcServer32(Default) = “C:\Program Files\ewido anti-malware\context.dll” [“ewido networks”] VIDEOTRANS(Default) = “{548773BA-874E-4C02-9DC7-B7A096772C7D}” -> {HKLM…CLSID} = “CountLines Class” \InProcServer32(Default) = “C:\Program Files\MP3 Player Utilities 3.57\AMVTools\SrcCount.dll” [empty string] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ewido(Default) = “{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}” -> {HKLM…CLSID} = “Ctest Object” \InProcServer32(Default) = “C:\Program Files\ewido anti-malware\context.dll” [“ewido networks”] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ avast(Default) = “{472083B0-C522-11CF-8763-00608CC02F24}” -> {HKLM…CLSID} = “avast” \InProcServer32(Default) = “C:\Program Files\Alwil Software\Avast4\ashShell.dll” [“ALWIL Software”] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ “Wallpaper” = “C:\WINDOWS\web\wallpaper\Idylla.bmp” Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ “SCRNSAVE.EXE” = “C:\WINDOWS\System32\logon.scr” [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS] 000000000002\LibraryPath = “%SystemRoot%\System32\winrnr.dll” [MS] 000000000003\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ avast! Antivirus, avast! Antivirus, ““C:\Program Files\Alwil Software\Avast4\ashServ.exe”” [null data] avast! iAVS4 Control Service, aswUpdSv, ““C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe”” [null data] avast! Web Scanner, avast! Web Scanner, ““C:\Program Files\Alwil Software\Avast4\ashWebSv.exe” /service” [“ALWIL Software”] ewido security suite control, ewido security suite control, “C:\Program Files\ewido anti-malware\ewidoctrl.exe” [“ewido networks”] LightScribeService Direct Disc Labeling Service, LightScribeService, “C:\Program Files\Common Files\LightScribe\LSSrvc.exe” [“Hewlett-Packard Company”] Windows User Mode Driver Framework, UMWdf, “C:\WINDOWS\System32\wdfmgr.exe” [MS] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer “No” at the first message box. ---------- (total run time: 309 seconds, including 18 seconds for message boxes)
adam9870
(adam9870)
5 Czerwiec 2006 10:10
#10
To może odinstalowałaś SP2.
Ale nie zmienia to faktu, że nie masz sp2 więc radzę ściągnąć i zainstalować
Ten log też ok.
To jakieś 5 lub 6 minut chyba jest więc nie żadną godzinę :mrgreen:
Możesz zajrzeć: XP - Optymalizacja, odchudzanie dla trochę bardziej zaawansowanych. Lub Optymalizacja i odchudzanie Windowsa XP dla trochę mniej zaawansowanych
iwosia
(Iwonapalko)
5 Czerwiec 2006 10:13
#11
Tak, tym razem Silent spisał się zawodowo. 8)
A co do SP2 - o.k. zainstaluje od nowa.
Tylko co z tym dzieleniem połączenia?? Co zrobić? Problem nadal jest; ciągle nie ma netu na laptopie, (tylko komunikat, by sie skontaktować z menagerem sieci, czyli TYM kompem). A jeszcze niedawno przecież było wszystko o.k., i nawet ten SP1 nie przeszkadzał :(
adam9870
(adam9870)
5 Czerwiec 2006 10:20
#12
Widocznie popełniłaś jakiś błąd przy konfiguracji sieci :? Sprawdź jeszcze raz konfigurację albo skorzystaj z automatu i wtedy powinno być wszystko ok. Ja kilka razy korzystałem z tego automatu i całkiem dobrze się spisał
Automat o którym pisze jest w Start => Programy (lub wszystkie programy. co masz to zalezy od tego jaki masz widok ustawiony) => Akcesoria => Komunikacja => Kreator konfiguracji sieci. Jeżeli te komputery w sieci mają systemy Windows XP lub Me to w nich ten kreator jest dostępny.
Natomiast jeżeli te kompy mają system Windows XP i chcesz ręcznie konfigurować to polecam demonstrację Mała sieć domowa w WindowsXP .
iwosia
(Iwonapalko)
5 Czerwiec 2006 10:28
#13
W konfiguracji nic nie zmieniałam!! Internet był przez dłuuuugi czas na laptopie i nagle to sie stało!!
adam9870
(adam9870)
5 Czerwiec 2006 10:33
#14
No to spróbuj tym kreatorkiem. Myślę, że jak nim zrobisz to będzie ok
Albo spróbuj samej ręcznie skonfigurować :?
A może poprostu kabel nie dopięty jest. Posprawdzaj w pierwszej kolejności takie rzeczy.
Napewno, że nagle zaczęło nie działać to nie jest sprawka wirusów bo usunełaś je
iwosia
(Iwonapalko)
5 Czerwiec 2006 10:45
#15
Znowu, inny tym razem, problem :?
Próbowalam ponownie skonfigurować sieć kreatorem, zrobilam po kolei wszystko tak jak zawsze, a tu nagle sie pojawił komunikat, że “Nie można ukończyć pracy kreatora konfiguracji sieci”
Co znowu??
Złączono Posta : 05.06.2006 (Pon) 19:43
No i co? Koniec pomysłów??