Skocz do zawartości

Błąd svchost.exe


Rekomendowane odpowiedzi

Od dłuższego czasu mam problem z svchost.exe (instrukcja spod 0x001a624b odwołuje się do pamięci pod adresem 0x00000000000, pamięć nie może być written.

Jeśli na błędzie kliknę anuluj to i tak pojawia się za pół minuty, a po jakimś czasie wygląd przeglądarki staje się starszy(gorszy wizualnie), a ponadto nie działają pliki w winampie(back direct sound driver) czy allplayerze. Jeśli kliknę ok to wszystko się sypie i nie można nawet wyłączyć kompa.

Próbowałem wielu sposobów (m.in WWDC, skanowanie anti-malware).

Nie mogę przeskanować dr.web bo w czasie skanowania testowego pojawia się błąd, nic się nie dzieje, klikam więc anuluj na błędzie i wtedy wyświetla się info, że dr.web wykrył infekcję, ale nie mogę zrobić pełnego skanowania. Tak samo combofix, myślę, że też nie działa poprawnie w czasie tego błędu.

Proszę o pomoc.

Podaję log:

OTL http://wklej.to/eIKKW/text

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Po pierwsze logi z OTL mają być dwa. Podczas skanu opcja Rejestr - skan dodatkowy ma być zaznaczona na "Użyj filtrowania" i powstanie log extras. Po drugie zabrakło obowiązkowego loga z GMER. Uzupełnij to czego brakuje.

 

W logu z OTL przede wszystkim rzuca się w oczy to, że twój system jest jakiś modyfikowany. Na takim systemie nie wiadomo często jak się zabrać za naprawę problemów. Na razie czekamy na resztę logów i ewentualnie będziemy myśleć co dalej.

Odnośnik do komentarza

GMER robiony w złym środowisku, nie zdjąłeś emulacji wirtualnych napędów, aż trzy sterowniki emulacyjne czynne:

 

DRV - [2010-03-13 16:16:34 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

DRV - [2004-08-22 16:31:48 | 000,005,248 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\d347prt.sys -- (d347prt)

DRV - [2004-08-22 16:31:10 | 000,155,136 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\d347bus.sys -- (d347bus)

Odinstaluj DAEMON Tools, następnie użyj narzędzia SPTDinst (KLIK) i restart komputera. Wytwórz nowy log z GMER.

 

 

Nie mogę przeskanować dr.web bo w czasie skanowania testowego pojawia się błąd, nic się nie dzieje, klikam więc anuluj na błędzie i wtedy wyświetla się info, że dr.web wykrył infekcję, ale nie mogę zrobić pełnego skanowania. Tak samo combofix, myślę, że też nie działa poprawnie w czasie tego błędu.

 

Czy jest możliwe wykonać skan z poziomu Trybu awaryjnego Windows?

 

 

 

.

Odnośnik do komentarza
dr.web poszedł na awaryjnym ale nie znalazł infekcji, usunął tylko jakiś proces, ale problem nie zniknął

 

Widzę sprzeczność w tym zdaniu .... Skoro "nie znalazł infekcji", to co oznacza "usunął tylko jakiś proces"? I co to był za proces? Tu nie można dostarczać danych na zasadzie "jakiś" tylko precyzyjnie co.

 

Podaj kolejny zestaw logów z: MBRCheck + Kaspersky TDSSKiller. Jeśli Kaspersky coś wykryje, przyznaj akcję Skip i tylko wygeneruj raport do wglądu.

Odnośnik do komentarza

I mamy prawdopodobną przyczynę dla problemów, jest tu rootkit (zainfekowany sterownik CD-ROMu):

 

2011/02/20 20:28:17.0078 0292	Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\cdrom.sys. Real md5: 6b8b3e6ff4816ca9fed2b897ca583253, Fake md5: 4b0a100eaf5c49ef3cca8c641431eacc

2011/02/20 20:28:17.0078 0292 Cdrom - detected Rootkit.Win32.TDSS.tdl3 (0)

2011/02/20 20:28:23.0906 1996 Detected object count: 1

2011/02/20 20:28:36.0750 1996 Rootkit.Win32.TDSS.tdl3(Cdrom) - User select action: Skip

Ponownie uruchom Kaspersky TDSSKiller, ale tym razem wybierz akcję Cure i zatwierdź restart komputera. Po restarcie proszę o nowy zestaw wszystkich logów, włącznie z Kaspersky TDSSKiller i GMER.

 

 

Z tego co zrozumiałem to nie była infekcja (wirus), bo na końcu napisane było brak infekcji, ale jakiś proces, nie pamiętam jaki (można to gdzieś sprawdzić)?

 

CureIt generuje log w katalogu profilu użytkownika. W pasku adresów eksploratora Windows wklej %UserProfile%\DoctorWeb i ENTER.

 

 

 

.

Odnośnik do komentarza
Z tego co zrozumiałem to nie była infekcja (wirus), bo na końcu napisane było brak infekcji, ale jakiś proces, nie pamiętam jaki (można to gdzieś sprawdzić)?

 

Nieprawidłowo to zinterpretowałeś wtedy. Dr. Web jak najbardziej wykrył infekcję (wszczepienie TDL do procesu systemowego):

 

[Test pamięci] Proces w pamięci: \??\C:\WINDOWS\system32\winlogon.exe:352 zainfekowany wirusem BackDoor.Tdss.565 - zniszczony

Samo usunięcie tego to i tak było za mało, bo atak na procesy systemowe to tylko jeden z elementów działalności rootkita. Głównym pociągiem infekcji był obiekt wyleczony przez Kaspersky TDSSKiller, czyli zarażony sterownik CD-ROM. To mamy już za sobą. Przestroga: ten rootkit prawdopodobnie wszedł z cracka. Cracki, które uruchamiają infekcję, mają i to do siebie, że po uruchomieniu (co inicjuje infekcję) natychmiast same się usuwają z dysku.

 

 


Czynności końcowe:

 

1. Usuń ten folder z dysku:

 

[2010-11-07 17:03:21 | 000,000,000 | ---D | M] (vShare) -- C:\Documents and Settings\SysOp\Dane aplikacji\Mozilla\Firefox\Profiles\ve3ozijt.default\extensions\vshare@toolbar

2. Odinstaluj ComboFix w prawidłowy sposób. W Start > Uruchom > wklej polecenie:

 

"C:\Documents and Settings\SysOp\Pulpit\ComboFix.exe" /uninstall

 

To zlikwiduje ComboFix i zresetuje foldery Przywracania systemu.

 

3. Wymagane aktualizacje:

 

Windows XP Professional Edition Dodatek Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 7.0.5730.13)

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java™ 6 Update 21

"{AC76BA86-7AD7-1045-7B44-A70500000002}" = Adobe Reader 7.0.5 - Polish

"Gadu-Gadu" = Gadu-Gadu 7.7

- Wszystkie szczegóły aktualizacyjne tutaj: INSTRUKCJE.

- Wreszcie kalekie GG7. Są dobre alternatywy z obsługą nowych cech protokołu Gadu (długie numery / szyfrowanie / ...), takie jak np. WTW czy Miranda. Do obejrzenia temat: Darmowe komunikatory.

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...