Windows SP2 firewall & svchost.exe

makk · Příspěvek od **makk** » čtv 18. lis 2004, 10:30

Zdravim, po dnesnim startu pc se objevila tab. s blokovat/odblokovat svchost.exe a pri volbe jakekoliv moznosti se zacne vypinat firewall v 5s intervalech. Skenoval sem pc updatovanym Nortonem a nic

Windows XP professional 2600.xpsp_sp2_rtm.040803-2158 (Service pack 2) ... instalnuty asi 7 tejdnu

nForce2 ultra400, Athlon XP 2200, 512mb ram, GF FX5200, 80GB Maxtor

pavel.minarik

tohle by to jen tak dělat nemělo, tipuju napadení virem či nějaký takový bordel z netu

HADES · Příspěvek od **HADES** » čtv 18. lis 2004, 16:42

máš tam asi trojana, radši se odpoj z netu, a zkus si někde jinde sehnat nějakého trojan removera

Příspěvek od **zombux** » čtv 18. lis 2004, 16:53

a samozřejmě to projeď HijackThis a postni sem log

ENZO · Příspěvek od **ENZO** » pon 22. lis 2004, 00:01

Logfile of HijackThis v1.97.7
Scan saved at 23:56:37, on 21.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\rmctrl.exe
D:\Program Files\Winamp\Winampa.exe
D:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe
d:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\slserv.exe
d:\Program Files\Speed Disk\nopdb.exe
D:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
D:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\slrundll.exe
D:\Program Files\ICQLite\ICQLite.exe
D:\PROGRA~1\MOZILLA.ORG\MOZILLA\MOZILLA.EXE
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\System32\taskmgr.exe
C:\hijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.telecom.sk:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [ATIPTA] d:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [WinampAgent] "d:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [nod32kui] "d:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AtiTrayTools] d:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Program Files\ICQLite\ICQLite.exe -trayboot
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ 4 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{671DC1D4-46B4-4297-B860-F0B846B24B31}: NameServer = 195.146.128.60 195.146.132.59

ENZO · Příspěvek od **ENZO** » pon 22. lis 2004, 00:03

a co poradite mne...som na nete a schvost mi vybene na 100% cpu. diky

pavel.minarik

ENZO píše:a co poradite mne...som na nete a schvost mi vybene na 100% cpu. diky

no ze je infikovanej a asi budeš reinstalovat Windows a než to pustíš na net, tak si dáš firewall a záplaty

XPM · Příspěvek od **XPM** » pon 22. lis 2004, 12:23

pavel.minarik píše:
ENZO píše:a co poradite mne...som na nete a schvost mi vybene na 100% cpu. diky
no ze je infikovanej a asi budeš reinstalovat Windows a než to pustíš na net, tak si dáš firewall a záplaty

Možná by stačilo sehnat ten svchost od někoho nebo z CDwin a nahrát ho tam v nouzáku

ENZO · Příspěvek od **ENZO** » pon 22. lis 2004, 17:27

inak robi to iba vtedy ked zapnem icq4lite...niekedy to vobec nerobii..inak mal som virus Backdoor.Rbot..ale uz som ho odstraNIL V kASPERSKY ..ale moze byt schvost aj poskodeny...

Axis · Příspěvek od **Axis** » pon 22. lis 2004, 18:19

Aj mne to blbo, prebehol som to ad-awarom , spybotom a nod-om a je v pohode .

makk · Příspěvek od **makk** » úte 23. lis 2004, 10:12

tady je log z puvodni otazky SP2&svchost.exe .. kazdopadne to bude trojan(projevilo se to stejne na 2 pc kam sem pripojil disk) ale nenasel sem ho zatim, na pozadi mi bezi 6x proces svchost.exe (viz http://mrakk.wz.cz/procesy.jpg ) a tady je log z hijackthis http://mrakk.wz.cz/log.jpg

makk · Příspěvek od **makk** » stř 24. lis 2004, 11:12

tak problem byl vyresen a to zrejme nadobro a muze za to spybot search&destroy

Axis · Příspěvek od **Axis** » stř 24. lis 2004, 19:23

makk píše:tak problem byl vyresen a to zrejme nadobro a muze za to spybot search&destroy

Na taketo veci je najlepsi SpyBot , podla mna je lepsi na taketo veci ako ad-aware. No najlepsia volba je SpyBot & AdAware