Dziwne wyłączanie sie kompa

07.01.2005

13:00

[3]

aikikaisensei [ Senator ]

Ja polemam wyłączenie zdlanego wywoływania procedur (RPC). Powinno pomóc.

Bartas1979 [ Pretorianin ]

Thomolus--> Zainstalowałem (jesli oczywiscie to była ta łata ze strony www.sasser.prv.pl) poza tym sprawdzałem antywirem i...nic.

Aikikaisensei--> Czytałem w wątku "Sposób na RPC" iz wyłaczenie RPC może sie skończyc tragicznie wiec mam pewne opory.

mrEdDi [ ShoguN ]

proponuje format c: zalatwi wsyztskie problemy

10.01.2005

07:12

[6]

Bartas1979 [ Pretorianin ]

mrEdDi--> Dzięki za taką pomoc !

Bartas1979 [ Pretorianin ]

Dodam jeszcze to iz gdy uruchomie menadżera zadan fihuruja am na liscie 4 procesy "svhost" z czego jeden z nich zużywa 99% zasobów procka. Jak go wyłacze to wyskakuje wtedy to wspaniale okienko zapowiadajace resescik. Czy to cos rozjasniło?

xywex [ mlask mlask! ]

łatnie nie pomogła, bo to nie blaster, tylko sasser. wiesz czego szukać :)

10.01.2005

07:19

[9]

xywex [ mlask mlask! ]

nie było tego posta....

Azorsky [ Konsul ]

mrEddi ma rację poniekąd. Raz na jakiś czas jest dobrze przeinstalować system. Polecam.

grish_em_all [ Hairless Cobra ]

to musi byc sasser, jak patche nie pomagaja to tylko format moze zalatwic sprawe jednoznacznie i na dobre

Bartas1979 [ Pretorianin ]

Po pierwsze: sprawdzany system był juz kilkukrotnie pod kątem sassera i nic.. No czyba że pojawiła sie jakas nowa wersja.
Po drugie: format nie wchodzi w rachubę. Robiłem go ostatnio jakies 2 miesiące temu, a jako że wykorzystyje kompa do pracy to formacik wiąze sie u mnie ze sporym zagrozeniem. ODPADA! Format nie jest receptą na bolaczki. Jak sobie złamiecie reke to sobie ją ucinacie?
Po trzecie: watek taki był bardzo dawno co prawda i moge nie pamiętac tytułu.

Bartas1979 [ Pretorianin ]

No i jak znajdzie sie jakis GURU?

10.01.2005

20:26

[14]

Mr.Dziabol [ Konsul ]

Sasser, blaster, dumaru może....

dolph [ Pretorianin ]

wywalenie RPC = reset - usluga krytyczna (glupi pomysl)

hijackthis1980.exe <---- poszukaj takiego sofcika, odpal, i wklej loga wtedy zobaczymy co tam moze siedziec ... dobrze by bylo jeszcze Ad-aware 6.0 zainstalowac i zrobic smart scan po czym wrzucic loga z procesow

pozdro

Bartas1979 [ Pretorianin ]

Oto log z hijacking:

Logfile of HijackThis v1.99.0
Scan saved at 08:59:22, on 2005-01-11
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Apache Group\Apache2\bin\Apache.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
D:\Programy\Norton_Systemworks\Norton Ghost\GhostStartService.exe
C:\Program Files\Apache Group\Apache2\bin\Apache.exe
c:\mysql\bin\mysqld-nt.exe
D:\Programy\Norton_Systemworks\Norton Antivirus\navapsvc.exe
D:\Programy\NORTON~1\NORTON~2\NPROTECT.EXE
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
D:\Programy\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\MULTIM~1\MMKBD.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
D:\Programy\DAEMONTools\daemon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\MSI\Core Center\CoreCenter.exe
C:\Program Files\Apache Group\Apache2\bin\ApacheMonitor.exe
C:\mysql\bin\winmysqladmin.exe
D:\Programy\Norton_Systemworks\Norton Antivirus\SAVScan.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Winamp\winamp.exe
D:\b\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - ‹06849E9F-C8D7-4D59-B87D-784B7D6BE0B3› - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - ‹31FF080D-12A3-439A-A2EF-4BA95A3148E8› - C:\Program Files\GetRight\xx2gr.dll
O2 - BHO: Google Toolbar Helper - ‹AA58ED58-01DD-4d91-8333-CF10577473F7› - c:\program files\google\googletoolbar2.dll
O2 - BHO: NAV Helper - ‹BDF3E430-B101-42AD-A544-FADC6B084872› - D:\Programy\Norton_Systemworks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - ‹42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6› - D:\Programy\Norton_Systemworks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - ‹8E718888-423F-11D2-876E-00A0C9082467› - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - ‹2318C2B1-4965-11d4-9B18-009027A5CD4F› - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Multimedir KBD] C:\PROGRA~1\MULTIM~1\MMKBD.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitservice
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] D:\Programy\Corel\Corel Graphics 12\Languages\EN\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=012005 serial=DR12WEX-1504397-KTY lang=EN
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programy\DAEMONTools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "D:\Programy\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: CoreCenter.lnk = C:\Program Files\MSI\Core Center\CoreCenter.exe
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Program Files\Apache Group\Apache2\bin\ApacheMonitor.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\Programy\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Badanie - ‹92780B25-18CC-41C8-B9BE-3C9C571A8263› - D:\Programy\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Trashcan - ‹072F3B8A-2DA2-40e2-B841-88899F240200› - C:\Program Files\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - ‹072F3B8A-2DA2-40e2-B841-88899F240200› - C:\Program Files\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)
O23 - Service: Adobe LM Service - Unknown - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache2 - Apache Software Foundation - C:\Program Files\Apache Group\Apache2\bin\Apache.exe
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: GhostStartService - Symantec Corporation - D:\Programy\Norton_Systemworks\Norton Ghost\GhostStartService.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySql - Unknown - c:/mysql/bin/mysqld-nt.exe
O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - D:\Programy\Norton_Systemworks\Norton Antivirus\navapsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - D:\Programy\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: Outpost Firewall Service - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
O23 - Service: SAVScan - Symantec Corporation - D:\Programy\Norton_Systemworks\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Speed Disk service - Symantec Corporation - D:\Programy\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

ja tam tego nie kumam - a wy?

MaLLy(R) [ Ghoul's Shadow ]

Odpal windows update i zciagnij najnowsze łaty...

Pisałem wczoraj o tym na forum ale jakoś nie bardzo was to interesowało...

13.01.2005

19:01

[18]

milys [ spamer ]

jak mialem podobny problem to to cos mi pomoglo :)

13.01.2005

19:11

[19]

Damol [ Chor��y ]

gdy wyskakuje ci okienka z wylaczeniem kompa.. wpisz w start -> uruchom -> shutdown -a albo shutdown -s nie pamietam dokladnie :) to spowoduje wylaczenie odliczania ale problemu nie rozwiazuje :)
to napewno jest sasser albo blaster :) nie spotkalem sie z zadnym przypadkiem wylanczania sie kompa spowodowanego innym typem wirusa :)
uzyj windows update :) albo possaj SP2 (tam juz patche na blastera i sassera sa wkompilowane :) a jesli w trakcie sciagania wyskoczy ci komunikat z odliczaniem :) wpisz regulke z samej gory ;)

Bartas1979 [ Pretorianin ]

Z tym shut downem to znam. ale co dalej?

Milys--> Nie dział. Podobnie jak skaner Symateca, Mks'a i kilka innych. Ni ewykrywa ani blastera ani sassera.
Co do SP2 to troszkę sie go boje bo słyszałem ze robi z systemem niezła kuku.

w o y t e k [ Gavroche ]

jak szybko następuje reset? zaraz po włączeniu netu?

fanlegii79 [ Konsul ]

Jedyne co wydaje mi sie podejzane w tym logu to to ze jedne progsy odpalaja sie z katalogu system32 (z malej litery), a inne z System32 z wielkiej litery. Moze zerknij czy nie masz przez przypadek dwoch takich katalogow w Windows.

C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe

Bartas1979 [ Pretorianin ]

Woytek--> Z tym bywa różnie. ale na ofgół troszke może w necie posiedziec zanim wywala kompa.
Na ogół widze ze cos sie zaczyna dziac gdy moj wentyl sie gwaltownie rozkreca na maksa. W menadzerze procesow odnajduje wtedy kilka "sztuk" svchost z czego jeden z nich zajmuje 100% mocy procka. Jak go zakoncze to od razu wywala okienko zamykania windy.

fanlegii79 --> sprawdzałem, mam tylko C:\windows\system32\svchost.exe

sakhar [ Animus Mundi ]

MaLLy(R) --> Ja sobie to wziałem do serca i od razu zrobiłem upgrade systemu - 3-y nowe łaty:) Tylko po tym jakoś mi dziwnie net zrywało co chwila:)))

Bartas1979 [ Pretorianin ]

Ludzie bo ja zwariuje z tym kompem??? Robota czeka a tu komp szwankuje. Nie ma na forum rzadnego speca od wirusów?