rookity w system32 (\x, \svochst.exe)

[joseba]

witam
problem polega na tym, ze avast w ciagu dnia kilkukrotnie alarmuje (komunikaty wyskakuja rownoczesnie) o zagrozeniach c:\windows\system32\x oraz c:\windows\system32\svochst.exe
natomiast w praktyce, wyskakuje blad svochst.exe, po ktorym pasek zadan na pare chwil traci wszelkie wizualizacje, zatraca sie dzwiek, czasami rowniez internet, a proba wylaczenia karty sieciowej nie powoduje zadnego efektu- nie reaguje na wylaczenie
sposobem na w/w problem jest jedynie restart systemu
prosilbym bardzo o porade/ o pomoc oraz o dojsc jasne przekazanie tychze, jak waznych dla mnie informacji, poniewaz zabawa z logami, rejestrami jest mi stosunkowo obca. z gory dziekuje za przychylenie sie do mojej prosby, jak i ofiarowanie pomocy

zamieszczam logi
OTL http://www.wklej.eu/index.php?id=87e41a0714
http://www.wklej.eu/index.php?id=10608a6a8e
GMER http://www.wklej.eu/index.php?id=b99e5140f5

logi pochodza sprzed wystapienia bledu systemowgo czy komunikatu avasta (podaje ta informacje, poniewaz nie wiem czy ma znaczenie)

dodatkowo wrzucam screenshot z pelnego skanu avasta
http://www.otofotki.pl/img23/obrazki/zi150_Schowek1.jpg

dodam, ze wszystkie pliki z content.ie5 zostaly podczas skanu usuniete, po czym przy alarmie svochst.exe przez avasta, ponownie zostaly wykryte

jeszcze (byc moze) przydatna informacja
comodo firewall informuje o probach polaczenia z internetem svchost.exe z portu 1040 i upnp/ssdp(2869)

[mateo8898]

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

netsvcs

Klikasz Skanuj i dajesz postały log.

[joseba]

prosze bardzo

http://www.wklej.eu/index.php?id=b11dab4112
http://www.wklej.eu/index.php?id=b6a327947e

[mateo8898]

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
MOD - [2012-12-04 20:24:19 | 000,192,512 | ---- | M] () -- C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\sfamcc00001.dll
MOD - [2012-12-04 20:24:18 | 000,172,032 | ---- | M] () -- C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\sfareca00001.dll
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Sony Ericsson\Sony Ericsson PC Companion\PCCService.exe -- (Sony Ericsson PCCompanion)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\HSF_CNXT.sys -- (winachsf)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\pgliqpoc.sys -- (pgliqpoc)
DRV - File not found [Kernel | Auto | Stopped] -- system32\DRIVERS\mdmxsdk.sys -- (mdmxsdk)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\HSFHWAZL.sys -- (HSFHWAZL)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\HSF_DPV.sys -- (HSF_DPV)
DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\BTHidMgr.sys -- (BTHidMgr)
DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\vbtenum.sys -- (BTHidEnum)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL..

[joseba]

log z usuwania
http://www.wklej.eu/index.php?id=29cfb207df

logi OTL (bez opcji netsvcs)
http://www.wklej.eu/index.php?id=a95b2f323c
http://www.wklej.eu/index.php?id=4eb5aa3502

EDIT

logi OTL (z opcją netsvcs)
http://www.wklej.eu/index.php?id=296e0deb74
http://www.wklej.eu/index.php?id=294a90f024

[mateo8898]

Czy Avast nadal wykrywa zagrożenia???

[joseba]

przez cala noc pracy komputera, avast nie wykryl zadnego zagrozenia
zatem prawdopodobnie problem zostal rozwiazany
bardzo dziekuje za szybka i fachowa pomoc, dla mnie nieoceniona

jeszcze tylko jedna mysl chodzi mi po glowie...
czy zarazenie nie wystepuje rowniez na pendrive? w jaki sposob moglbym zaradzic ewentualnemu ponownemu zainfekowaniu systemu? dodam, ze zawartosc flasha jest dla mnie wazna, nie moge jej utracic

[mateo8898]

Powolutku, to jeszcze nie koniec.

W OTL Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Zainstaluj SP3 http://www.instalki.pl/programy/downloa ... ack_3.html

Zaktualizuj IE do najnowszej wersji (nawet jeśli go nie używasz) http://www.instalki.pl/programy/downloa ... _8_XP.html

Odinstaluj starą wersję czytnika .PDF:

Adobe Reader 9.3 - Polish

i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... eader.html

czy zarazenie nie wystepuje rowniez na pendrive? w jaki sposob moglbym zaradzic ewentualnemu ponownemu zainfekowaniu systemu? dodam, ze zawartosc flasha jest dla mnie wazna, nie moge jej utracic

W tym przypadku nie widać oznak, aby do infekcji doszło tą drogą. Ale oczywiście jest sporo infekcji przenoszonych przez pamięci przenośne. Jeśli chcesz ją sprawdzić, z podłączonymi pamięciami przenośnymi użyj UsbFix z opcji Listing i podaj utworzony log.

[joseba]

log z usbfix
http://www.wklej.eu/index.php?id=7b6fc38a19

[mateo8898]

Czysto.