Skocz do zawartości

Problem z services.exe


Rekomendowane odpowiedzi

Witam jako nowy forumowicz.

 

Przeczytałem instrukcję wstawiania nowych postów/tematów i mam nadzieję że robię to dobrze.

 

Problem jest z laptopem. Na początku bardzo wolno się uruchamiał, bardzo wolno chodził i za bardzo nie można było na nim pracować. Po odinstalowaniu zbędnych aplikacji i nie groźnego malware typu ask toolbar za pomocą uninstallera i AWDCleanera oraz optymalizacji rejestrów programami takimi jak regcleaner i restarcie systemu oraz dołożeniu ramu do 824 MB jego praca wzrosła znacznie.

Nie pokoi mnie jednak fakt taki, że po uruchomianiu systemu dysk twardy ciągle coś mieli. W menadżerze urządzeń widnienie proces services.exe. Stąd się dowiedziałem, że to wirus. Proszę o analizę poniższych logów:

 

GMER

 

OLT

 

Pozdrawiam.

 

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Zestaw logów zdekompletowany, brakuje pliku OTL Extras (opcja Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Log z GMER zrobiony w złych warunkach, nie wymontowałeś emulatora DAEMON Tools i sterownika SPTD emulatora napędów wirtualnych (KLIK):

DRV - File not found [Kernel | On_Demand | Unknown] -- -- (a2jyafrh)
DRV - [2013-01-15 15:38:16 | 000,466,008 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)


Aktualny odczyt w GMER niewiarygodny, a marker "suspicious PE modification" jest na obiekcie emulatora. Na razie nie widać żadnych oznak infekcji w stanie czynnym. Jedyne co jest od infekcji to historyczne mapowanie MountPoints2 wskazujące na podpinanie zainfekowanych urządzeń USB:


O33 - MountPoints2\{20ed6f56-20a3-11df-a727-0018f36bde96}\Shell\AutoRun\command - "" = F:\9d6tpg.exe
O33 - MountPoints2\{20ed6f56-20a3-11df-a727-0018f36bde96}\Shell\open\Command - "" = F:\9d6tpg.exe
O33 - MountPoints2\{427ee058-22b7-11df-a72c-0018f36bde96}\Shell - "" = AutoRun
O33 - MountPoints2\{427ee058-22b7-11df-a72c-0018f36bde96}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a
O33 - MountPoints2\{427ee059-22b7-11df-a72c-0018f36bde96}\Shell\AutoRun\command - "" = I:\yudald.bat
O33 - MountPoints2\{427ee059-22b7-11df-a72c-0018f36bde96}\Shell\open\Command - "" = I:\yudald.bat
O33 - MountPoints2\{6b97e556-cd59-11de-a6af-0018f36bde96}\Shell - "" = AutoRun
O33 - MountPoints2\{6b97e556-cd59-11de-a6af-0018f36bde96}\Shell\AutoRun\command - "" = J:\LaunchU3.exe -a
O33 - MountPoints2\{6dc85208-6718-11df-a794-0018f36bde96}\Shell\AutoRun\command - "" = J:\s1.exe
O33 - MountPoints2\{6dc85208-6718-11df-a794-0018f36bde96}\Shell\open\Command - "" = J:\s1.exe
O33 - MountPoints2\{be188600-d3be-11de-a6d0-001731bb73f8}\Shell\AutoRun\command - "" = F:\9d6tpg.exe
O33 - MountPoints2\{be188600-d3be-11de-a6d0-001731bb73f8}\Shell\open\Command - "" = F:\9d6tpg.exe
O33 - MountPoints2\{d6b3c5ea-edb4-11df-a7e9-0018f36bde96}\Shell - "" = AutoRun
O33 - MountPoints2\{d6b3c5ea-edb4-11df-a7e9-0018f36bde96}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{d6b3c5eb-edb4-11df-a7e9-0018f36bde96}\Shell - "" = AutoRun
O33 - MountPoints2\{d6b3c5eb-edb4-11df-a7e9-0018f36bde96}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{da60acb0-2160-11df-a72b-0018f36bde96}\Shell\AutoRun\command - "" = F:\9d6tpg.exe
O33 - MountPoints2\{da60acb0-2160-11df-a72b-0018f36bde96}\Shell\open\Command - "" = F:\9d6tpg.exe
O33 - MountPoints2\{e61f993e-a1c3-11de-a68b-0018f36bde96}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
O33 - MountPoints2\{e61f993e-a1c3-11de-a68b-0018f36bde96}\Shell\Open(&0)\command - "" = F:\Recycled\ctfmon.exe



Doczyść to plus inne korekty na wpisy puste i poprawki po AdwCleaner:

1. Wyczyść Firefox ze starych preferencji w tym adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found.
O3 - HKU\S-1-5-21-234407451-4177935279-2621794233-1005\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O3 - HKU\S-1-5-21-234407451-4177935279-2621794233-1005\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKU\S-1-5-18..\RunOnce: [panda2_0dn] reg.exe delete "HKCU\Software\AppDataLow\Software\panda2_0dn" /f File not found
O4 - HKU\S-1-5-18..\RunOnce: [panda2_0dn_XP] reg.exe delete "HKCU\Software\panda2_0dn" /f File not found
O4 - HKU\S-1-5-18..\RunOnce: [panda4_0dn] reg.exe delete "HKCU\Software\AppDataLow\Software\panda4_0dn" /f File not found
O4 - HKU\S-1-5-18..\RunOnce: [panda4_0dn_XP] reg.exe delete "HKCU\Software\panda4_0dn" /f File not found
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-234407451-4177935279-2621794233-1005\Software\Policies\Microsoft\Internet Explorer\Control Panel present
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard)
[2013-05-09 10:58:28 | 000,229,648 | ---- | M] (AVAST Software) -- C:\WINDOWS\System32\aswBoot.exe
[2013-03-13 19:31:54 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software

:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{E754E467-2D35-4642-82D1-49558BB4A03C}]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

:Commands
[emptytemp]


Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.


Klik w Wykonaj skrypt. Zatwierdź restart systemu.

3. Zrób nowy log OTL z opcji Skanuj (przypominam o Extras).
 
 

W menadżerze urządzeń widnienie proces services.exe. Stąd się dowiedziałem, że to wirus.

 

Pomijając, że padły tam kuriozalne rzeczy w niektórych wypowiedziach, sytuacja się nie aplikuje do Twojego przypadku. Proces services.exe jest hostem usług systemowych (KLIK) i ma być. Żadnych replik / duplikatów w niespodzianych miejscach nie widzę. Wyjaśnij skąd Tobie po głowie chodzi services.exe, o co Ci chodzi i jakie masz podstawy do dywagacji na ten temat.

 

Nie pokoi mnie jednak fakt taki, że po uruchomianiu systemu dysk twardy ciągle coś mieli.

 

1. Antywirus AVG 2013 może być przyczyną.

2. Nie jest wykluczony problem z dyskiem. W raporcie widać, że checkdisk się uruchamiał i obcinał dane tworząc takie katalogi:

[2013-05-23 17:13:42 | 000,000,000 | -HSD | C] -- C:\FOUND.005
[2013-05-22 08:54:48 | 000,000,000 | -HSD | C] -- C:\FOUND.004
[2013-05-20 11:08:20 | 000,000,000 | -HSD | C] -- C:\FOUND.003
[2013-04-26 23:30:08 | 000,000,000 | -HSD | C] -- C:\FOUND.002

 
 
.
Odnośnik do komentarza

Skrypt nie ma z tym związku. Bardziej prawdopodobny jest skan GMER jako przyczyna. Mogą wystąpić skutki uboczne w postaci obniżenie szybkości transferu dysku z DMA do PIO. Instrukcje weryfikacji: KLIK (ustęp Optymalizacja wydajności HDD i CD/DVD-ROMów - Włączenie DMA). Oceniasz linię "bieżący tryb transferu" a nie ogólne ustawienie. Jeśli będzie tam PIO, z prawokliku odinstaluj kanał, zresetuj system, Windows przebuduje układ.

 

 

.

Odnośnik do komentarza

Przepraszam, że z opóźnieniem... Tak.żadna myszka pod usb nie działa. Natomiast Pendrive np działa... Może to jakaś usługa za to jest odpowiedzialna? Dodam że jak podłanczam myszkę, to jest ten specyficzny "xp-ekowski" dźwięk podłączania urządzenia usb, ale nie wyskakuje dymek w prawym dolnym rogu. I jak napisałem pochodzi z 3-5 sekund i potem już nie działa. Szkoda by robic formata bo juz prawie wszystko z Twoja pomocą się zrobiło. Pozdrawiam.

Odnośnik do komentarza

Podaj skan rejestru na potencjalne występowanie filtrów sprzętowych (Lower / Upper filters). Uruchom SystemLook i w oknie wklej:

 

:reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\HID /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB /s

 

Klik w Look.

 

 

 

.

Odnośnik do komentarza

Ze skanu nic ciekawego nie wynika. Spróbuj jeszcze raz przeładować USB wg kroków:

 

 

  • Start > Uruchom > devmgmt.msc, z menu Widok włącz pokazywanie ukrytych urządzeń. Odinstaluj cały zestaw USB. Do usuwania USB, zamiast devmgmt.msc, można użyć też programiku USBDeview.
  • Włącz pokazywanie ukrytych plików w Mój komputer > Narzędzia > Opcje folderów > Widok: zaznacz Pokaż ukryte pliki i foldery + odptaszkuj Ukryj chronione pliki systemu operacyjnego. Uruchom wyszukiwarkę Windows (skonfiguruj, by przeszukiwała ukryte pliki) i wyszukaj infcache. Znalezione skasuj.
  • Wyłącz komputer (zasilanie) i odczekaj kilka minut. Uruchom ponownie i sprawdź czy są jakieś skutki.

 

 

.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...