Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
rookity w system32 (\x, \svochst.exe)
04 Gru 2012, 23:04
witam
problem polega na tym, ze avast w ciagu dnia kilkukrotnie alarmuje (komunikaty wyskakuja rownoczesnie) o zagrozeniach c:\windows\system32\x oraz c:\windows\system32\svochst.exe
natomiast w praktyce, wyskakuje blad svochst.exe, po ktorym pasek zadan na pare chwil traci wszelkie wizualizacje, zatraca sie dzwiek, czasami rowniez internet, a proba wylaczenia karty sieciowej nie powoduje zadnego efektu- nie reaguje na wylaczenie
sposobem na w/w problem jest jedynie restart systemu
prosilbym bardzo o porade/ o pomoc oraz o dojsc jasne przekazanie tychze, jak waznych dla mnie informacji, poniewaz zabawa z logami, rejestrami jest mi stosunkowo obca. z gory dziekuje za przychylenie sie do mojej prosby, jak i ofiarowanie pomocy
zamieszczam logi
OTL
http://www.wklej.eu/index.php?id=87e41a0714
http://www.wklej.eu/index.php?id=10608a6a8e
GMER http://www.wklej.eu/index.php?id=b99e5140f5
logi pochodza sprzed wystapienia bledu systemowgo czy komunikatu avasta (podaje ta informacje, poniewaz nie wiem czy ma znaczenie)
dodatkowo wrzucam screenshot z pelnego skanu avasta
http://www.otofotki.pl/img23/obrazki/zi150_Schowek1.jpg
dodam, ze wszystkie pliki z content.ie5 zostaly podczas skanu usuniete, po czym przy alarmie svochst.exe przez avasta, ponownie zostaly wykryte
jeszcze (byc moze) przydatna informacja
comodo firewall informuje o probach polaczenia z internetem svchost.exe z portu 1040 i upnp/ssdp(2869)
problem polega na tym, ze avast w ciagu dnia kilkukrotnie alarmuje (komunikaty wyskakuja rownoczesnie) o zagrozeniach c:\windows\system32\x oraz c:\windows\system32\svochst.exe
natomiast w praktyce, wyskakuje blad svochst.exe, po ktorym pasek zadan na pare chwil traci wszelkie wizualizacje, zatraca sie dzwiek, czasami rowniez internet, a proba wylaczenia karty sieciowej nie powoduje zadnego efektu- nie reaguje na wylaczenie
sposobem na w/w problem jest jedynie restart systemu
prosilbym bardzo o porade/ o pomoc oraz o dojsc jasne przekazanie tychze, jak waznych dla mnie informacji, poniewaz zabawa z logami, rejestrami jest mi stosunkowo obca. z gory dziekuje za przychylenie sie do mojej prosby, jak i ofiarowanie pomocy
zamieszczam logi
OTL
http://www.wklej.eu/index.php?id=87e41a0714 http://www.wklej.eu/index.php?id=10608a6a8eGMER
http://www.wklej.eu/index.php?id=b99e5140f5logi pochodza sprzed wystapienia bledu systemowgo czy komunikatu avasta (podaje ta informacje, poniewaz nie wiem czy ma znaczenie)
dodatkowo wrzucam screenshot z pelnego skanu avasta
http://www.otofotki.pl/img23/obrazki/zi150_Schowek1.jpg
dodam, ze wszystkie pliki z content.ie5 zostaly podczas skanu usuniete, po czym przy alarmie svochst.exe przez avasta, ponownie zostaly wykryte
jeszcze (byc moze) przydatna informacja
comodo firewall informuje o probach polaczenia z internetem svchost.exe z portu 1040 i upnp/ssdp(2869)
Re: rookity w system32 (\x, \svochst.exe)
04 Gru 2012, 23:45
Uruchom OTL 
w oknie Własne opcje skanowania/skrypt wklej:
Klikasz Skanuj i dajesz postały log.
w oknie Własne opcje skanowania/skrypt wklej:netsvcs
Klikasz Skanuj i dajesz postały log.
Re: rookity w system32 (\x, \svochst.exe)
05 Gru 2012, 00:04
Re: rookity w system32 (\x, \svochst.exe)
05 Gru 2012, 00:54
Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:
Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL..
w oknie Własne opcje skanowania/skrypt wklej::OTL
MOD - [2012-12-04 20:24:19 | 000,192,512 | ---- | M] () -- C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\sfamcc00001.dll
MOD - [2012-12-04 20:24:18 | 000,172,032 | ---- | M] () -- C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\sfareca00001.dll
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Sony Ericsson\Sony Ericsson PC Companion\PCCService.exe -- (Sony Ericsson PCCompanion)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\HSF_CNXT.sys -- (winachsf)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\pgliqpoc.sys -- (pgliqpoc)
DRV - File not found [Kernel | Auto | Stopped] -- system32\DRIVERS\mdmxsdk.sys -- (mdmxsdk)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\HSFHWAZL.sys -- (HSFHWAZL)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\HSF_DPV.sys -- (HSF_DPV)
DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\BTHidMgr.sys -- (BTHidMgr)
DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\vbtenum.sys -- (BTHidEnum)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
:Commands
[clearallrestorepoints]
[emptytemp]
Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL..
Re: rookity w system32 (\x, \svochst.exe)
05 Gru 2012, 01:21
log z usuwania
http://www.wklej.eu/index.php?id=29cfb207df
logi OTL (bez opcji netsvcs)
http://www.wklej.eu/index.php?id=a95b2f323c
http://www.wklej.eu/index.php?id=4eb5aa3502
EDIT
logi OTL (z opcją netsvcs)
http://www.wklej.eu/index.php?id=296e0deb74
http://www.wklej.eu/index.php?id=294a90f024
http://www.wklej.eu/index.php?id=29cfb207df
logi OTL (bez opcji netsvcs)
http://www.wklej.eu/index.php?id=a95b2f323c
http://www.wklej.eu/index.php?id=4eb5aa3502
EDIT
logi OTL (z opcją netsvcs)
http://www.wklej.eu/index.php?id=296e0deb74
http://www.wklej.eu/index.php?id=294a90f024
Re: rookity w system32 (\x, \svochst.exe)
05 Gru 2012, 10:34
Czy Avast nadal wykrywa zagrożenia???
Re: rookity w system32 (\x, \svochst.exe)
05 Gru 2012, 11:26
przez cala noc pracy komputera, avast nie wykryl zadnego zagrozenia
zatem prawdopodobnie problem zostal rozwiazany
bardzo dziekuje za szybka i fachowa pomoc, dla mnie nieoceniona
jeszcze tylko jedna mysl chodzi mi po glowie...
czy zarazenie nie wystepuje rowniez na pendrive? w jaki sposob moglbym zaradzic ewentualnemu ponownemu zainfekowaniu systemu? dodam, ze zawartosc flasha jest dla mnie wazna, nie moge jej utracic
zatem prawdopodobnie problem zostal rozwiazany
bardzo dziekuje za szybka i fachowa pomoc, dla mnie nieoceniona
jeszcze tylko jedna mysl chodzi mi po glowie...
czy zarazenie nie wystepuje rowniez na pendrive? w jaki sposob moglbym zaradzic ewentualnemu ponownemu zainfekowaniu systemu? dodam, ze zawartosc flasha jest dla mnie wazna, nie moge jej utracic
Re: rookity w system32 (\x, \svochst.exe)
05 Gru 2012, 12:02
Powolutku, to jeszcze nie koniec.
W OTL Sprzątanie
Przeczyść dysk oraz rejestr CCleaner
Zainstaluj SP3 http://www.instalki.pl/programy/downloa ... ack_3.html
Zaktualizuj IE do najnowszej wersji (nawet jeśli go nie używasz) http://www.instalki.pl/programy/downloa ... _8_XP.html
Odinstaluj starą wersję czytnika .PDF:
i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... eader.html
W tym przypadku nie widać oznak, aby do infekcji doszło tą drogą. Ale oczywiście jest sporo infekcji przenoszonych przez pamięci przenośne. Jeśli chcesz ją sprawdzić, z podłączonymi pamięciami przenośnymi użyj UsbFix z opcji Listing i podaj utworzony log.
W OTL
SprzątaniePrzeczyść dysk oraz rejestr CCleaner
Zainstaluj SP3
http://www.instalki.pl/programy/downloa ... ack_3.htmlZaktualizuj IE do najnowszej wersji (nawet jeśli go nie używasz)
http://www.instalki.pl/programy/downloa ... _8_XP.htmlOdinstaluj starą wersję czytnika .PDF:
Adobe Reader 9.3 - Polish
i zainstaluj najnowszą
http://www.instalki.pl/programy/downloa ... eader.htmlczy zarazenie nie wystepuje rowniez na pendrive? w jaki sposob moglbym zaradzic ewentualnemu ponownemu zainfekowaniu systemu? dodam, ze zawartosc flasha jest dla mnie wazna, nie moge jej utracic
W tym przypadku nie widać oznak, aby do infekcji doszło tą drogą. Ale oczywiście jest sporo infekcji przenoszonych przez pamięci przenośne. Jeśli chcesz ją sprawdzić, z podłączonymi pamięciami przenośnymi użyj UsbFix z opcji Listing i podaj utworzony log.
Re: rookity w system32 (\x, \svochst.exe)
05 Gru 2012, 14:31
log z usbfix
http://www.wklej.eu/index.php?id=7b6fc38a19
http://www.wklej.eu/index.php?id=7b6fc38a19
Re: rookity w system32 (\x, \svochst.exe)
05 Gru 2012, 15:16
Czysto.