Dodatkowy proces

[OdGda]

Na wstępie przepraszam, za być może nieprecyzyjny tytuł, ale od tego zaczęły się moje wątpliwości. Na liście procesów dziś doszedł dodatkowy (a ilość u mnie niezmienna od początku systemu) - niestety nie wiem jaki (może być to np. svchost.exe - jest ich teraz siedem - wszystkie z system32) bo wszystkie wyglądają znajomo.

 

Korzystając z narzędzia konfiguracji systemu, zakładka "Uruchamianie" "odptaszkowałem" podejrzany element startowy, gdzie i "Nazwa" i "Polecenie" to było kilkanaście kwadracików, a "Lokalizacja" HKCC\SOFTWARE\MIcrosoft\Windows NT\CurrentVersion\Windows:load, po restarcie na "jego miejsce" pojawił się podobny element - nazwa i polecenie to dwa kwadraciki, a lokalizacja - SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

 

Podczas startowania (po tym restarcie) systemu pojawiły się też dwa komunikaty:

 

- "System Windows nie może odnaleźć pliku "[i tu jego nazwa, czyli dwa kwadraciki]". Upewnij się, że wpisana nazwa jest poprawna i spróbuj ponownie. Aby wyszukać plik, kliknij Start, a następnie polecenie Wyszukaj."

 

- "Nie można załadować lub uruchomić podanego w Rejestrze pliku "[i tu jego nazwa, czyli dwa kwadraciki]". Upewnij się, że plik istnieje na tym komputerze lub usuń z Rejestru odwołanie do niego."

 

W tej chwili na liście "odptaszkowanych" jest tylko drugi (dwa kwadraciki), pierwszego (kilkanaście kwadracików) brak. Przy kolejnym starcie systemu (po "odptaszkowaniu" "dwóch kwadracików") komunikatów już nie było.

 

Z loga SpyBot S&D:

2011-01-28 10:52:21 Zezwolono (based on user decision) value "load" (new data: "?") zmienione in NT startup!
2011-01-28 11:06:01 Zezwolono (based on user decision) value "load" (new data: "") zmienione in NT startup!

 

 

Z (nie)istotnych informacji;

- przeinstalowywałem Avasta (15 I), ponieważ z rozwijalnego menu ikonki obok zegara nie aktualizował się, a tylko na polecenie aktualizuj uruchamiał interfejs z podstroną aktualizacji. Przy pełnym skanowaniu zwracał błędy:

 

c:\program files\alwil software\avast5\defs\11011001\algo.dll

 

c:\program files\alwil software\avast5\defs\11011001\aswcmnbs.dll

 

c:\program files\alwil software\avast5\defs\11011001\aswcmnis.dll

 

c:\program files\alwil software\avast5\defs\11011001\aswcmnos.dll

 

c:\program files\alwil software\avast5\defs\11011001\aswengin.dll

 

c:\program files\alwil software\avast5\defs\11011001\aswscan.dll

 

Przy wszystkich w pozycji "Stan" jest informacja:

 

"Błąd: System nie może odnaleźć określonej ściezki (3)"

 

Po przeinstalowaniu (narzędziem Avasta) było ok.

 

Z grzechów własnych przypominam sobie tylko nie przeinstalowanie kodeków, zalecone przez Picasso przy mojej ostatniej wizycie. Zapomniałem i posypuję głowę popiołem.

 

W załączeniu wymagane logi. Avast i MBAM nie wykrywają żadnych nieprawidłowości.

 

gmer_28_I.txt

 

OTL.Txt

 

Extras.Txt

[Landuss]

Na liście procesów dziś doszedł dodatkowy (a ilość u mnie niezmienna od początku systemu) - niestety nie wiem jaki (może być to np. svchost.exe - jest ich teraz siedem - wszystkie z system32) bo wszystkie wyglądają znajomo.

 

Svchostów może być dużo i to nie jest reguła. To zależy od tego ile usług systemu jest uruchomionych w danym czasie. Proces svchost wówczas zostaje powielony wiele razy.

 

W logach nie widać śladu aktywnej infekcji i nie bardzo jest tutaj czym się zajmować. Można zredukować olbrzymi HOSTS, którego sprawcą jest Spybot zaś sam program zalecamy raczej porzucić całkowicie gdyż w dzisiejszych czasach nie jest użyteczny.

 

A więc możesz utworzyć następujący skrypt do OTL:

 

:Commands
[resethosts]
[emptyflash]
[emptytemp]
[clearallrestorepoints]

 

Logów oczywiście żadnych nie pokazujesz. Później Sprzątanie z OTL. Programy i system masz aktualne więc to tyle.

 

 

 

[OdGda]

Dziękuję za sprawdzenie i odpowiedź. Skrypt oczywiście wykonam.

 

Pozdrawiam.