"Proces hosta dla usług systemu Windows ..."

QbaM · 21 Maja 2013

Witam,

Proszę o analizę logów z OTL. Pojawia mi się, co jakiś czas komunikat "Proces hosta dla usług systemu Windows ..", posiadam Windows-a Viste 32bit.

Poniżej zamieszczam linka do logów :

OTL.txt:

http://wklej.to/RkqKM

Extras.txt:

http://wklej.to/Eiiht

picasso · 21 Maja 2013

Obowiązkowym logiem jest tu także GMER. Błąd niejasny, ma za mało informacji:

Error - 2013-05-20 13:56:10 | Computer Name = oem-PC | Source = Application Error | ID = 1000

Description = Aplikacja powodująca błąd svchost.exe, wersja 6.0.6001.18000, sygnatura

czasowa 0x47918b89, moduł powodujący błąd unknown, wersja 0.0.0.0, sygnatura czasowa

0x00000000, kod wyjątku 0xc0000005, przesunięcie błędu 0x751c9f50, identyfikator

procesu 0x2dec, godzina rozpoczęcia aplikacji 0x01ce55834f8d4e8b.

Nie wykluczam, że to nie ma nic wspólnego z infekcją. Np. uwagę zwracają w Twoim raporcie niedawne instalacje kodeków (DivX, LavFilters, ...). Na razie widzę tylko adware. Są jeszcze takie dziwne pliki, ale na razie ich nie ruszam (to wygląda na zabezpieczenie w rodzaju Sentinel):

[2013-05-12 16:30:49 | 000,000,016 | -H-- | C] () -- C:\Windows\System32\pnjq4pn.dll

[2013-05-12 16:30:49 | 000,000,016 | -H-- | C] () -- C:\Windows\System32\esfvwsd.dll

[2013-05-12 16:30:48 | 000,000,016 | -H-- | C] () -- C:\Windows\System32\zbu5p7w.dll

[2013-05-12 16:30:48 | 000,000,016 | -H-- | C] () -- C:\Windows\System32\xx7ndyi.dll

[2013-05-12 16:30:48 | 000,000,016 | -H-- | C] () -- C:\Windows\System32\pm7pexw.dll

[2013-05-12 16:30:48 | 000,000,016 | -H-- | C] () -- C:\Windows\System32\mtjvcwk.dll

[2013-05-12 16:30:48 | 000,000,016 | -H-- | C] () -- C:\Windows\System32\i932lq2.dll

[2013-05-12 16:30:48 | 000,000,016 | -H-- | C] () -- C:\Windows\System32\haoo9kt.dll

[2013-05-12 16:30:47 | 000,000,016 | -H-- | C] () -- C:\Windows\System32\vl8etol.dll

[2013-05-12 16:30:47 | 000,000,016 | -H-- | C] () -- C:\Windows\System32\p8hsaao.dll

[2013-05-12 16:30:47 | 000,000,016 | -H-- | C] () -- C:\Windows\System32\eip5aom.dll

[2013-05-12 16:30:45 | 000,001,024 | ---- | C] () -- C:\Windows\System32\nf6oo2y.tgz

[2013-05-12 16:30:45 | 000,001,024 | ---- | C] () -- C:\Windows\System32\nf6oo2y.dll

[2013-05-12 16:30:45 | 000,000,204 | ---- | C] () -- C:\Windows\System32\puk6h6k.dll

[2013-05-12 16:30:45 | 000,000,016 | -H-- | C] () -- C:\Windows\System32\v074atw.dll

[2013-05-12 16:30:44 | 000,001,024 | ---- | C] () -- C:\Windows\System32\grcauth2.dll

[2013-05-12 16:30:44 | 000,001,024 | ---- | C] () -- C:\Windows\System32\grcauth1.dll

[2013-05-12 16:30:44 | 000,000,218 | ---- | C] () -- C:\Windows\System32\puk6h6k.tgz

[2013-05-12 16:30:44 | 000,000,114 | ---- | C] () -- C:\Windows\System32\prsgrc.tgz

[2013-05-12 16:30:44 | 000,000,100 | ---- | C] () -- C:\Windows\System32\prsgrc.dll

[2013-05-12 16:30:43 | 000,000,016 | -H-- | C] () -- C:\Windows\System32\vnrdyab.dll

[2013-05-12 16:30:40 | 000,131,672 | R--- | C] () -- C:\Windows\System32\msvcrt.dli

[2013-05-12 16:30:40 | 000,000,000 | ---- | C] () -- C:\Windows\System32\ssprs.tgz

[2013-05-12 16:30:40 | 000,000,000 | ---- | C] () -- C:\Windows\System32\ssprs.dll

[2013-05-12 16:30:40 | 000,000,000 | ---- | C] () -- C:\Windows\System32\serauth2.dll

[2013-05-12 16:30:40 | 000,000,000 | ---- | C] () -- C:\Windows\System32\serauth1.dll

[2013-05-12 16:30:40 | 000,000,000 | ---- | C] () -- C:\Windows\System32\nsprs.tgz

[2013-05-12 16:30:40 | 000,000,000 | ---- | C] () -- C:\Windows\System32\nsprs.dll

[2013-05-12 16:30:40 | 000,000,000 | ---- | C] () -- C:\Windows\System32\clauth2.dll

[2013-05-12 16:30:40 | 000,000,000 | ---- | C] () -- C:\Windows\System32\clauth1.dll

Wstępne usuwanie:

1. Przez Panel sterowania odinstaluj: BrowserProtect, Bundled software uninstaller, Delta toolbar, Delta Chrome Toolbar, Update for Video Converter. W Google Chrome w Rozszerzeniach powtórz deinstalację Delta Toolbar.

2. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + zaległy GMER (po deinstalacji DAEMON Tools Lite). Dołącz log utworzony przez AdwCleaner.

.

QbaM · 22 Maja 2013

Witam,

Zamieszczam wykonane logi po przeprowadzeniu deinstalacji powyższych programów. Zauważyłem ze po przeprowadzeniu wszystkich czynności, które mi kazałeś już nie pojawia się komunikat "Proces hosta dla usług systemu Windows ..".

GmerLOG.txt

AdwCleanerS1.txt

OTL.Txt

picasso · 23 Maja 2013

"Kazałeś" = jestem kobietą. Skoro błąd ustąpił, to nasuwa się jako przyczyna adware BrowserProtect, najbardziej inwazyjna część majdanu to była. Akcje pomyślnie wykonane. Drobne korekty i kończymy:

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Users\oem\AppData\Roaming\DSite
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

2. Uruchom Autoruns i w karcie Scheduled Tasks skasuj zadanie DSite.

3. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

4. Wyczyść foldery Przywracania systemu: KLIK.

.

Edytowane 2 Lipca 2013 przez picasso
2.07.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso

Zaloguj się

"Proces hosta dla usług systemu Windows ..."

Rekomendowane odpowiedzi

QbaM

Odnośnik do komentarza

picasso

Odnośnik do komentarza

QbaM

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność