Problem z svchost.exe

Narmo [ nikt ]

Znalazłem taką dziwną rzecz (ProcessExplorer) -->
Jak zapauzuję pierwsze 3 wątki nagle wszystko się uspokaja. Ale wtedy nie mogę otworzyć żadnego okna explorera ponieważ zawartość wczytuje się bez końca.

siwy346 [ addicted to music ]

to może spróbuj zamknąć i otworzyć proces explorer.exe
albo wyłącz zrzut jądra pamięci czy coś takiego

QrKo_ [ ]

Tez mi sie tak czasem dzieje, z tego co zaobserwowalem to ma to cos wspolnego z autoupdate, po jakims czasie proces sie uspokaja i wszystko dziala git.

wysiak [ Senator ]

Przejrzyj to:



Rzeczywiscie moze byc cos z autoupdate. Wylacz ja, to sie okaze.


I przeskanuj jeszcze kompa tym:

N2 [ negroz ]

Miałem podobnie 100% użycia procka, po zaktualizowaniu systemu i wyłączeniu aktualizacji automatycznych problem ucichł.

Narmo [ nikt ]

QrKo_ --> Tylko jak mi się już zacznie to nie kończy się nawet przez 3 dni :)
Wyłączyłem Autoupdate ale na razie nic to nie zmieniło.

siwy346 --> Nic to nie daje.

mirencjum [ operator kursora ]

svchost.exe 100% CPU

W/w proces nadmiernie wykorzystuje zasoby komputera. Spowodowane może to być:
„ obecnością "syfu" w systemie
Antywirus oraz Hijack This w dłoń i do dzieła
Proces ten często mylony jest z fałszywkami o podobnych nazwach np:
svhost
svchot
schost
svhots
swchost
swhost
... lub podobnymi, dlatego należy zwracać uwagę na najmniejsza literkę w nazwie procesu aby nie pomylić się.

Ponadto domyślna lokalizacja procesu jest %systmroot%/system32 czyli np. C:/Windows/system32
Fałszywy plik znajduje się np. w:
C:/Windows
C:/Windows/system
C:/Temp
C:/WINDOWS/inet ...

Ponadto powinniśmy zaopatrzyć się w łaty na Blastera/Sassera i zamknąć port 135 np. programem Windows Worms Doors Cleaner, bądź w firewallu.

Jeśli nazwa i lokalizacja procesy zgadza się to możliwe ze jakiś trojan dopisał swój kod do svchost'a
» Odpalamy konsole odzyskiwania i wpisujemy:

expand X:\i386\svchost.ex_ C:\Windows\system32\svchost.exe

Gdzie X: to litera napędu a C: partycji systemowej.

Narmo [ nikt ]

Przeskanowałem tym RootkitRevealer i znalazł takie cosie:
HKU\S-1-5-21-823518204-583907252-839522115-1003\Software\Adobe\MediaBrowser\MRU\Photoshop\ApplicationPath 2008-03-29 17:14 55 bytes Data mismatch between Windows API and raw hive data.
HKLM\SECURITY\Policy\Secrets\SAC* 2008-03-22 23:03 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 2008-03-22 23:03 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System* 2008-03-29 16:36 0 bytes Key name contains embedded nulls (*)
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 2008-03-30 13:12 0 bytes Access is denied.

Wyczyściłem embedded nulls ale ciągle svchost.exe szaleje.

mirencjum --> Pod kątem syfu sprawdzone już dawno - brak. Proces sprawdza się jako autentyczny (ProcessExplorer go weryfikuje). Z resztą jak wszystkie te i podobne procesy w systemie.
Windows Worms Doors Cleaner uruchamiam zawsze po instalacji systemu. nie próbowałem jeszcze przywracania pliku oryginalnego bo nie wiem, czy skoro nie jest on niczym zainfekowany to to coś pomoże.

Edit: Na razie wyłączyłem Autoupdate i zrobię restart. Jutro powinno się okazać, czy to pomoże.

Narmo [ nikt ]

No i lipa. Wyłączenie Autoupdate nic nie pomogło. Znowu jak wstałem miałem ten problem :/
Może SP3 coś pomoże. A do Visty nie wrócę chwilowo, bo mam za mało miejsca na dysku :/

tsunami [ Sh!t Happens ]

Pisałem do Yasiu w innym wątku:

To nie musi być przez blaster'a. Ja mam tak, jak wypne LAN'a podczas gdy komp jest podlaczony do jakiejs sieci. Tak samo jak wylacze WiFi suwakiem (nie mowie o rozlaczaniu software'owym). Chodzi o proces svchost.exe, ktory jeden z nich (czesto jest ich wiele) obsluguje wlasnie siec.

Sprobuj zrobić tak:

Start > Run > services.msc

Na liście znajdź: Remote Procedure Call (RPC) [ nie locator !!] Kliknij 2x. W zakładce Recovery (po polsku może być inaczej, Odzyskiwanie?). I przy "First Failure" (pierwszy drop-down) wybierz coś jak Reset the Service (Zrestartuj Service). Dla pozostałych możesz tak samo wybrać.

Mi pomogło :-)

Dodatkowo, jak to zrobisz, Zabij ten process.

edit: Przeważnie mam tak też, że svchost.exe zajmuje dużo procesów i ramu po tym jak uTorrent ściagał całą noc :-). Metoda w/w mi pomaga.

Narmo [ nikt ]

tsunami --> Częściowo to pomogło ale nie do końca. Jak tylko zrestartowałem ten procesz wariowac zaczął zupełnie inny - nvsvc32.exe. Jest to NVIDIA Driver Helper Service, Version 156.83. A konkretnie wątek związany z ADVAPI32.dll i weryfikacją podpisu tego sterownika (teoretycznie nie mogę zainstalować tej wersji na swoim laptopie, więc przerobiłem plik ini i się zainstalowało ;) ). Jak svchost.exe się "obudzi" to oba procesy wariują (do tego dochodzi też proces antyvirusa), ale jak tylko zastopuję wątek związany z ADVAPI32.dll w nvsvc32.exe to jest spokój i tu i tu (nie licząc wykorzystania pamięci na poziomie po ok 200 MB na proces).

06.04.2008

12:08

[14]

Raziel [ Action Boy ]

narmo --> użyj combofixa i powiedz czy pomogło:



to dobry program, usuwa wszelkie spyware i tworzy log z całego systemu, swego czasu bardzo mi pomógł więc 100% rekomendacji:)

mirencjum [ operator kursora ]

NVIDIA Driver Helper Service możesz wyłączyć. Proszę zapoznać się z bardzo dokładnie opisanymi usługami i procesami. Może się przyda:

Adaśś [ Konsul ]

Apropo. Mam problem z socketem gdy włanczam kompa to mi się wyświetla okno. srv32 socket coś. ;] wyłączam go, ale przy następnym włączeniu kompa znów się wyświetla

mirencjum [ operator kursora ]

Adaśś --> Czy chodzi o Srv32 spool service ? Jeśli tak to prawdopodobnie jest to robak.

Narmo [ nikt ]

mirencjum --> Niestety usługa jest mi bardzo potrzebna. Jeżeli jest wylączona często po powrocie ze stany wstrzymania lub hibernacji otrzymuję BSOD. Pół roku nie wiedziałem dalczego tak się dzieje aż tu pewnego dnia zainstalowałem nowe sterowniki i zamiast BSOD pojawił mi sie komunikat, ze karta graficzna przekroczyła temperaturę krytyczną (co jest bzdura bo zazwyczaj jest on wyłączony przez ok godzinę i w międzyczasie transportowany gdzieś. Nie mam podgrzewanych siedzeń w samochodzie ;) ) i pytanie, czy chcę wyłączyć komputer czy kontynuować pracę :)

Raziel --> Zaraz spróbuję.

Śmiałuś [ Generaďż˝ ]

miałem ten sam problem i zrobiłem formata ;(

Narmo [ nikt ]

ComboFix 08-04-04.1 - Narmo 2008-04-06 12:37:24.1 - NTFSx86

Running from: D:\Download\ComboFix.exe
* Resident AV is active


[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((((( Files Created from 2008-03-06 to 2008-04-06 )))))))))))))))))))))))))))))))
.

2008-04-04 19:55 . 2008-04-04 19:55 <DIR> d--h----- C:\WINDOWS\PIF
2008-04-04 19:43 . 2008-04-04 19:46 <DIR> d-------- C:\Documents and Settings\Narmo\Dane aplikacji\WTF
2008-04-03 22:20 . 2008-04-03 22:20 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-04-02 20:21 . 2008-04-02 20:21 <DIR> d-------- C:\Program Files\Common Files\ACD Systems
2008-04-02 20:21 . 2008-04-02 20:21 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\ACD Systems
2008-04-01 15:58 . 2008-04-01 16:02 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-04-01 10:28 . 2004-03-02 16:37 125,184 --------- C:\WINDOWS\system32\drivers\imagesrv.sys
2008-04-01 10:28 . 2000-06-26 10:45 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll
2008-04-01 10:28 . 2004-03-02 16:37 5,504 --------- C:\WINDOWS\system32\drivers\imagedrv.sys
2008-04-01 10:27 . 2008-04-01 10:27 <DIR> d-------- C:\Program Files\Common Files\Ahead
2008-04-01 10:27 . 2008-04-01 10:28 <DIR> d-------- C:\Program Files\Ahead
2008-04-01 10:27 . 2004-07-26 16:16 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll
2008-04-01 10:27 . 2004-07-26 16:16 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll
2008-04-01 10:27 . 2004-07-26 16:16 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll
2008-04-01 10:27 . 2004-07-26 16:16 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll
2008-04-01 10:27 . 2001-07-09 10:50 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe
2008-03-30 13:12 . 2008-03-30 13:12 <DIR> d-------- C:\Program Files\Alcohol Soft
2008-03-29 18:16 . 2008-03-29 18:16 0 --a------ C:\WINDOWS\OODCNT.INI
2008-03-29 16:38 . 2008-03-29 16:38 <DIR> d-------- C:\WINDOWS\system32\oodag
2008-03-28 17:07 . 2008-03-28 17:07 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\FLEXnet
2008-03-28 17:02 . 2008-03-28 17:02 <DIR> d-------- C:\Program Files\Bonjour
2008-03-28 16:52 . 2008-03-28 16:52 <DIR> d-------- C:\Program Files\Common Files\Macrovision Shared
2008-03-28 16:34 . 2008-03-28 16:34 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Bluetooth
2008-03-28 16:32 . 2007-09-15 04:10 77,824 -ra------ C:\WINDOWS\system32\btw_ci.dll
2008-03-28 16:32 . 2007-09-15 04:10 65,848 -ra------ C:\WINDOWS\system32\drivers\btwusb.sys
2008-03-28 16:27 . 2004-08-04 01:44 91,136 --a------ C:\WINDOWS\system32\drivers\kswdmcap.ax
2008-03-28 16:27 . 2004-08-04 01:44 61,952 --a------ C:\WINDOWS\system32\drivers\kstvtune.ax
2008-03-28 16:27 . 2004-08-04 01:44 54,784 --a------ C:\WINDOWS\system32\drivers\vfwwdm32.dll
2008-03-28 16:27 . 2004-08-04 01:44 28,672 --a------ C:\WINDOWS\system32\drivers\vidcap.ax
2008-03-28 16:26 . 2008-03-28 16:26 <DIR> d-------- C:\Program Files\IVT Corporation
2008-03-27 20:08 . 2008-03-27 20:08 298 --a------ C:\WINDOWS\game.ini
2008-03-27 19:31 . 2008-03-27 20:10 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-03-27 19:29 . 2008-03-27 20:10 103,736 --a------ C:\WINDOWS\system32\PnkBstrB.exe
2008-03-27 19:29 . 2008-03-27 20:10 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe
2008-03-27 18:54 . 2008-03-27 18:54 25,280 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2008-03-27 12:47 . 2008-03-24 18:52 53,394,231 --a------ C:\dw2.rar
2008-03-26 16:27 . 2008-03-26 16:27 <DIR> d-------- C:\Program Files\ESET
2008-03-26 16:27 . 2008-03-26 16:27 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\ESET
2008-03-25 17:59 . 2007-07-30 20:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-03-25 17:59 . 2007-07-30 20:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-03-25 04:49 . 2008-03-25 04:49 <DIR> d-------- C:\Program Files\Microsoft Silverlight
2008-03-25 04:44 . 2008-03-25 04:44 <DIR> d-------- C:\Program Files\MSXML 6.0
2008-03-24 19:43 . 2008-03-20 17:33 <DIR> d-------- C:\DW2
2008-03-23 16:53 . 2008-03-28 17:02 <DIR> d-------- C:\Program Files\Common Files\Adobe
2008-03-23 16:50 . 2008-03-23 16:50 <DIR> d-------- C:\WINDOWS\Cache
2008-03-23 15:10 . 2008-03-23 15:10 427 --a------ C:\WINDOWS\ODBC.INI
2008-03-23 15:10 . 2008-03-23 15:10 63 --a------ C:\WINDOWS\mdm.ini
2008-03-23 15:10 . 2008-03-23 15:10 0 --a------ C:\WINDOWS\NSREX.INI
2008-03-23 15:08 . 2008-03-23 15:08 <DIR> d-------- C:\WINDOWS\ShellNew
2008-03-23 15:07 . 2008-03-23 15:07 <DIR> d-------- C:\WINDOWS\Twain32
2008-03-23 14:11 . 2008-03-23 14:11 <DIR> d-------- C:\Program Files\MSBuild
2008-03-23 14:09 . 2008-03-25 04:48 <DIR> d-------- C:\WINDOWS\system32\XPSViewer
2008-03-23 14:08 . 2008-03-23 14:08 <DIR> d-------- C:\Program Files\Reference Assemblies
2008-03-23 14:07 . 2008-03-23 14:07 <DIR> d-------- C:\Program Files\Windows Media Connect 2
2008-03-23 14:07 . 2006-06-29 14:07 14,048 --------- C:\WINDOWS\system32\spmsg2.dll
2008-03-23 14:06 . 2008-03-27 19:29 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2008-03-23 14:06 . 2008-03-23 14:06 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2008-03-23 14:01 . 2008-03-23 14:01 <DIR> d-------- C:\WINDOWS\system32\URTTemp
2008-03-23 10:42 . 2007-12-07 04:14 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-03-23 10:42 . 2007-07-01 05:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-03-23 10:42 . 2007-07-01 05:36 1,036,288 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-03-23 10:42 . 2007-12-07 04:14 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-03-23 10:42 . 2007-12-07 04:14 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-03-23 10:42 . 2007-12-07 04:14 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-03-23 10:42 . 2007-12-07 04:14 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-03-23 10:42 . 2007-12-07 04:14 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-03-23 10:42 . 2007-12-06 13:00 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-03-23 10:41 . 2008-03-23 14:13 <DIR> d-------- C:\WINDOWS\system32\pl-pl
2008-03-23 03:50 . 2006-03-02 14:00 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-03-23 03:25 . 2008-02-22 03:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-03-23 03:24 . 2008-03-23 10:36 <DIR> d-------- C:\Program Files\Java
2008-03-23 03:24 . 2008-03-23 03:24 <DIR> d-------- C:\Program Files\Common Files\Java
2008-03-23 02:54 . 2008-03-23 02:54 <DIR> d-------- C:\Program Files\Opera
2008-03-23 01:28 . 2008-03-23 01:28 <DIR> d-------- C:\WINDOWS\Puzzle Quest
2008-03-23 01:28 . 2007-05-16 17:45 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll
2008-03-23 01:28 . 2007-04-04 19:53 81,768 --a------ C:\WINDOWS\system32\xinput1_3.dll
2008-03-23 01:15 . 2008-03-23 01:15 <DIR> d-------- C:\Program Files\DAEMON Tools Lite
2008-03-23 00:49 . 2008-03-23 00:49 <DIR> d--hs---- C:\WINDOWS\ftpcache
2008-03-23 00:47 . 2005-05-26 16:34 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2008-03-23 00:17 . 2008-04-05 18:07 <DIR> d-------- C:\Program Files\WinBar
2008-03-23 00:17 . 2008-03-23 00:17 108,336 --a------ C:\WINDOWS\system32\MSWINSCK.OCX
2008-03-23 00:16 . 2008-03-23 00:16 716,272 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-03-23 00:15 . 2008-04-05 21:01 <DIR> d-------- C:\Program Files\NAPI-PROJEKT
2008-03-23 00:14 . 2008-03-25 16:11 <DIR> d-------- C:\Program Files\SubEdit-Player
2008-03-23 00:14 . 2008-03-23 00:14 <DIR> d-------- C:\Program Files\AC3Filter
2008-03-23 00:14 . 2007-08-18 09:54 380,928 --a------ C:\WINDOWS\system32\ac3filter.acm
2008-03-23 00:13 . 2008-03-23 00:13 <DIR> d-------- C:\Program Files\uTorrent
2008-03-23 00:13 . 2008-03-23 00:14 <DIR> d-------- C:\Program Files\Combined Community Codec Pack
2008-03-22 23:53 . 2008-04-06 12:11 <DIR> d-------- C:\Program Files\Minefield
2008-03-22 23:53 . 2008-04-04 13:51 <DIR> d-------- C:\Program Files\eMule
2008-03-22 23:51 . 2008-03-22 23:51 <DIR> d--hs---- C:\Documents and Settings\Narmo\UserData
2008-03-22 23:50 . 2008-03-22 23:50 <DIR> d-------- C:\Documents and Settings\Narmo\Dane aplikacji\WinBar2
2008-03-22 23:50 . 2008-03-22 23:50 <DIR> d-------- C:\Documents and Settings\Narmo\Dane aplikacji\VMware
2008-03-22 23:50 . 2008-03-22 23:50 <DIR> d-------- C:\Documents and Settings\Narmo\Dane aplikacji\vlc
2008-03-22 23:50 . 2008-03-22 23:50 <DIR> d-------- C:\Documents and Settings\Narmo\Dane aplikacji\vghd
2008-03-22 23:50 . 2008-04-06 12:37 <DIR> d-------- C:\Documents and Settings\Narmo\Dane aplikacji\uTorrent
2008-03-22 23:50 . 2008-03-22 23:50 <DIR> d-------- C:\Documents and Settings\Narmo\Dane aplikacji\Ulead Systems
2008-03-22 23:50 . 2008-03-22 23:50 <DIR> d-------- C:\Documents and Settings\Narmo\Dane aplikacji\Tlen.pl
2008-03-22 23:50 . 2008-03-22 23:50 <DIR> d-------- C:\Documents and Settings\Narmo\Dane aplikacji\Thunderbird
2008-03-22 23:50 . 2008-03-22 23:50 <DIR> d-------- C:\Documents and Settings\Narmo\Dane aplikacji\Talkback

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-23 13:07 --------- d-----w C:\Program Files\microsoft frontpage
2008-03-22 21:49 --------- d-----w C:\Documents and Settings\Narmo\Dane aplikacji\.purple
2008-03-22 16:07 --------- d-----w C:\Program Files\Usługi online
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 14:00 15360]
"uTorrent"="C:\Program Files\uTorrent\uTorrent.exe" [2008-03-27 01:33 219952]
"AlcoholAutomount"="C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" [2007-12-22 09:23 221568]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2006-03-02 14:00 208952]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2006-03-02 14:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2006-03-02 14:00 455168]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-11-16 05:03 8495104]
"nwiz"="nwiz.exe" [2007-11-16 05:03 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-11-16 05:03 81920]
"AzMixerSel"="C:\Program Files\Realtek\InstallShield\AzMixerSel.exe" [2007-09-15 03:17 53248]
"RTHDCPL"="RTHDCPL.EXE" [2007-09-15 01:26 16062464 C:\WINDOWS\RTHDCPL.EXE]
"SkyTel"="SkyTel.EXE" [2007-09-15 01:39 2879488 C:\WINDOWS\SkyTel.exe]
"KTPWare"="C:\Program Files\Elantech\ktp.exe" [2007-09-15 06:00 512000]
"AGRSMMSG"="AGRSMMSG.exe" [2007-09-15 05:14 88204 C:\WINDOWS\AGRSMMSG.exe]
"snp2std"="C:\WINDOWS\vsnp2std.exe" [2007-09-15 04:48 675840]
"Cobian Backup 8 interface"="D:\Programy\Cobian Backup 8\cbInterface.exe" [2007-09-27 13:37 2425856]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"egui"="C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" [2007-11-23 22:51 1410304]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 14:00 15360]

C:\Documents and Settings\Narmo\Menu Start\Programy\Autostart\
WinBar.lnk - C:\Program Files\WinBar\WinBar.exe [2008-03-23 00:17:24 188928]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
BlueSoleil.lnk - C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe [2008-03-28 16:26:41 1048576]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [1999-02-17 19:05:56 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSVideo8"= VfWWDM32.dll
"vidc.ffds"= C:\PROGRA~1\COMBIN~1\Filters\FFDShow\ff_vfw.dll
"msacm.ac3filter"= ac3filter.acm
"VIDC.WMV3"= wmv9vcm.dll
"VIDC.ACDV"= ACDV.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programy\\mIRC\\mIRC 6.3\\mIRC - English.exe"=
"D:\\Programy\\Konnekt\\konnekt.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"D:\\wamp\\bin\\apache\\apache2.2.6\\bin\\httpd.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"D:\\Gry\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"C:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=


.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,
Rootkit scan 2008-04-06 12:38:45
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-04-06 12:39:05
ComboFix-quarantined-files.txt 2008-04-06 10:38:56
Pre-Run: 4,475,813,888 bajtów wolnych
Post-Run: 4,463,919,104 bajtów wolnych
.
2008-03-26 14:51:17 --- E O F ---

06.04.2008

12:43

[21]

Raziel [ Action Boy ]

znalazlem jeszcze cos takiego:

" Ściągnij KillBox'a.

W polu Full Path of File wklej:

C:\WINDOWS\System32\rpcc.dll

Zaznacz Delete on reboot, naciśnij X i zresetuj komputer.

Otwórz Notatnik i wklej:



Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpccd]



Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą FIX.REG

Odpal plik FIX.REG, potwierdź dodanie do rejestru i reset komputera.

Po pracy nowy log. "

z jakiegos forum, podobno pomogło, choć mam nadzieje, że pomoże combofix:)

edit: i co? nic nie naprawił?

Narmo [ nikt ]

Zastanawia mnei tylko, co do diabła robi u mnie plik mDNSResponder.exe który jest powiązany z iTunes, skoro NIGDY nie istalowałem tej aplikacji u siebie? Quick Time też nie mam zainstalowanego.

Edit: Dałem nowy post zamiast edycji ;)
Wyłączyłem nvsvc32.exe, zrestartowałem svchost.exe i na razie wszystko żyje. Spróbuję wstrzymać i wznowić kilka razy kompa żeby sprawdzić, czy dostanę BSOD i jeżeli nie to zostawię wszystko jak jest teraz plus przestanę uruchamiać nvsvc32.exe przy starcie.

Raziel --> W katalogu kwarantanny jest pusto, log też nie pokazuje niczego więc chyba to jednak nie robal.

Narmo [ nikt ]

Hm. Zamknąłem nvsvc32.exe, który nic nie korzystał z procesora i zajmował <1MB pamięci, i svchost.exe przestał korzystać z procesora oraz wykrozystanie pamięci z ponad 200 MB spadło do 4... :/
Czyli od początku winne były niepodpisane sterowniki.