Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Trojan.Downloader.Small.ABIM - wiele wątków service host

Oracle

Przez Oracle
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Oracle

Oracle

Opublikowano
Opublikowano

Problem wygląda następująco: od jakiegoś czasu mój komputer solidnie zwolnił, wydaje mi się że zwiększyła sie ilość procesów service host. System jest niemożliwie ślamazarny, w pewnym momencie podczas próby instalacji programu wyskoczyła mi informacja o zbyt małej ilości dostępnej pamięci( mimo że nie miałem uruchomionego żadnego programu). Dodatkowo wczoraj Bitdefender wykrył(kilkakrotnie) infekcję Trojan.Downloader.Small.ABIM. zlokalizowany w C:\Users\Andrzej\AppDAta\Local\Temp\IXP000.TMP\serv.exe

                         C:\Users\Andrzej\AppDAta\Local\Temp\IXP001.TMP\serv.exe

                         C:\Users\Andrzej\AppDAta\Local\Temp\IXP002.TMP\serv.exe

gmer.txt

Extras.Txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Landuss

Landuss

Opublikowano
Opublikowano

W logach nie widać żadnej infekcji. Są tylko niewielkie śmieci, które należy usunąć.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\XDva401.sys -- (XDva401)
DRV - File not found [Kernel | System | Stopped] -- system32\drivers\archlp.sys -- (archlp)
IE - HKU\S-1-5-21-1759944237-299995780-3520500918-1000\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = "http://search.babylon.com/?affID=110824&tt=4712_1&babsrc=HP_ss&mntrId=301acb6f0000000000001c4bd6b4d449"
IE - HKU\S-1-5-21-1759944237-299995780-3520500918-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.mywebsearch.com/index.jhtml?n=77DE8857&p2=^HJ^xdm073^YY^pl&ptb=94810BCC-8624-4ED1-B903-5E6B39F33BEF&si=pconverter"
IE - HKU\S-1-5-21-1759944237-299995780-3520500918-1000\..\URLSearchHook: {93a3111f-4f74-4ed8-895e-d9708497629e} - No CLSID value found
IE - HKU\S-1-5-21-1759944237-299995780-3520500918-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110824&tt=4712_1&babsrc=SP_ss&mntrId=301acb6f0000000000001c4bd6b4d449"
O3 - HKLM\..\Toolbar: (no name) -  - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-1759944237-299995780-3520500918-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: Browser Manager

 

Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

   

3. Uruchom AdwCleaner z opcji Usuń.

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Odnośnik do komentarza
Oracle

Oracle

Opublikowano
  • Autor
Opublikowano

Wykonałem powyższe instrukcje. Zapomniałem dodać że podczas zamykania systemu, mimo że żaden program nie pracuje system wyświetla okno informujące o wciąż działajacych procesach ( miejsce gdzie powinna znajdować się nazwa programu/ów jest puste), okno wyświetla się kilka sekund/ pół sekundy i znika, a podczas startu systemu w notatniku otwieta się plik "desktop" o następującej treści:

 

[.ShellClassInfo]

LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

OTL.Txt

Odnośnik do komentarza
  • 3 tygodnie później...
Landuss

Landuss

Opublikowano
Opublikowano

Zapomniałem dodać że podczas zamykania systemu, mimo że żaden program nie pracuje system wyświetla okno informujące o wciąż działajacych procesach ( miejsce gdzie powinna znajdować się nazwa programu/ów jest puste), okno wyświetla się kilka sekund/ pół sekundy i znika, a podczas startu systemu w notatniku otwieta się plik "desktop"

 

Czy w trybie awaryjnym też występuje ten problem?

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano (edytowane)

Jeszcze drobne poprawki:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
FF - HKLM\Software\MozillaPlugins\@VideoDownloadConverter_4z.com/Plugin: C:\Program Files\VideoDownloadConverter_4z\bar\1.bin\NP4zStub.dll File not found
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\4zffxtbr@VideoDownloadConverter_4z.com: C:\Program Files\VideoDownloadConverter_4z\bar\1.bin
O3 - HKLM\..\Toolbar: (VideoDownloadConverter) - {48586425-6bb7-4f51-8dc6-38c88e3ebb58} - C:\Program Files\VideoDownloadConverter_4z\bar\1.bin\4zbar.dll File not found

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]


Klik w Wykonaj skrypt.

 

2. Google Chrome nie ma ustawionej zadnej wyszukiwarki. Wejdź do opcji i ustaw Google jako domyślną.
 
 

podczas startu systemu w notatniku otwiera się plik "desktop" o następującej treści

 
Problem wynika z odkrycia plików desktop.ini w katalogu Autostart (domyślnie mają HS = ukryty systemowy). Dla porównania ten temat: KLIK. Wykonaj te działania:

1. Start > w polu szukania wpisz cmd > z prawokliku jako Administrator i po kolei wklej te komendy, każdą zatwierdzając ENTER:

attrib +h +s "C:\Users\Andrzej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini"
attrib +h +s "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini"

2. Zresetuj system.

 

 

Problem wygląda następująco: od jakiegoś czasu mój komputer solidnie zwolnił, wydaje mi się że zwiększyła sie ilość procesów service host. System jest niemożliwie ślamazarny, w pewnym momencie podczas próby instalacji programu wyskoczyła mi informacja o zbyt małej ilości dostępnej pamięci

 

Na początek podstawy redukcyjne procesów:
- Odinstaluj Asus WebStorage (wirtualny dysk internetowy, na forum dużo tematów z błędami explorer.exe z jego powodu), McAfee Security Scan Plus (zbędny, wszedł pewnie jako sponsor instalacji wtyczek Adobe).
- Problem może tworzyć także Bitdefender 2012 per se. Zresztą to wygląda na instalację wykonaną niezbyt daleko (wg logów 3 marca) przed zgłoszeniem problemu na forum (28 marca).


.

Edytowane przez picasso
19.05.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...