Błąd svchost.exe

[mlynek600]

Od dłuższego czasu mam problem z svchost.exe (instrukcja spod 0x001a624b odwołuje się do pamięci pod adresem 0x00000000000, pamięć nie może być written.

Jeśli na błędzie kliknę anuluj to i tak pojawia się za pół minuty, a po jakimś czasie wygląd przeglądarki staje się starszy(gorszy wizualnie), a ponadto nie działają pliki w winampie(back direct sound driver) czy allplayerze. Jeśli kliknę ok to wszystko się sypie i nie można nawet wyłączyć kompa.

Próbowałem wielu sposobów (m.in WWDC, skanowanie anti-malware).

Nie mogę przeskanować dr.web bo w czasie skanowania testowego pojawia się błąd, nic się nie dzieje, klikam więc anuluj na błędzie i wtedy wyświetla się info, że dr.web wykrył infekcję, ale nie mogę zrobić pełnego skanowania. Tak samo combofix, myślę, że też nie działa poprawnie w czasie tego błędu.

Proszę o pomoc.

Podaję log:

OTL http://wklej.to/eIKKW/text

[Landuss]

Po pierwsze logi z OTL mają być dwa. Podczas skanu opcja Rejestr - skan dodatkowy ma być zaznaczona na "Użyj filtrowania" i powstanie log extras. Po drugie zabrakło obowiązkowego loga z GMER. Uzupełnij to czego brakuje.

 

W logu z OTL przede wszystkim rzuca się w oczy to, że twój system jest jakiś modyfikowany. Na takim systemie nie wiadomo często jak się zabrać za naprawę problemów. Na razie czekamy na resztę logów i ewentualnie będziemy myśleć co dalej.

[mlynek600]

gmer http://wklej.to/bg0ze/text

otl extras http://wklej.to/9RRoF/text

[picasso]

GMER robiony w złym środowisku, nie zdjąłeś emulacji wirtualnych napędów, aż trzy sterowniki emulacyjne czynne:

 

DRV - [2010-03-13 16:16:34 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)
DRV - [2004-08-22 16:31:48 | 000,005,248 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\d347prt.sys -- (d347prt)
DRV - [2004-08-22 16:31:10 | 000,155,136 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\d347bus.sys -- (d347bus)

Odinstaluj DAEMON Tools, następnie użyj narzędzia SPTDinst (KLIK) i restart komputera. Wytwórz nowy log z GMER.

 

 

Nie mogę przeskanować dr.web bo w czasie skanowania testowego pojawia się błąd, nic się nie dzieje, klikam więc anuluj na błędzie i wtedy wyświetla się info, że dr.web wykrył infekcję, ale nie mogę zrobić pełnego skanowania. Tak samo combofix, myślę, że też nie działa poprawnie w czasie tego błędu.

 

Czy jest możliwe wykonać skan z poziomu Trybu awaryjnego Windows?

 

 

 

.

[mlynek600]

nowy gmer http://wklej.to/O9Ldc/text

dr.web poszedł na awaryjnym ale nie znalazł infekcji, usunął tylko jakiś proces, ale problem nie zniknął

[picasso]

dr.web poszedł na awaryjnym ale nie znalazł infekcji, usunął tylko jakiś proces, ale problem nie zniknął

 

Widzę sprzeczność w tym zdaniu .... Skoro "nie znalazł infekcji", to co oznacza "usunął tylko jakiś proces"? I co to był za proces? Tu nie można dostarczać danych na zasadzie "jakiś" tylko precyzyjnie co.

 

Podaj kolejny zestaw logów z: MBRCheck + Kaspersky TDSSKiller. Jeśli Kaspersky coś wykryje, przyznaj akcję Skip i tylko wygeneruj raport do wglądu.

[mlynek600]

Z tego co zrozumiałem to nie była infekcja (wirus), bo na końcu napisane było brak infekcji, ale jakiś proces, nie pamiętam jaki (można to gdzieś sprawdzić)? Logz TDSSKiller:

 

http://wklej.to/CTBYF/text

[picasso]

I mamy prawdopodobną przyczynę dla problemów, jest tu rootkit (zainfekowany sterownik CD-ROMu):

 

2011/02/20 20:28:17.0078 0292	Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\cdrom.sys. Real md5: 6b8b3e6ff4816ca9fed2b897ca583253, Fake md5: 4b0a100eaf5c49ef3cca8c641431eacc
2011/02/20 20:28:17.0078 0292	Cdrom - detected Rootkit.Win32.TDSS.tdl3 (0)
2011/02/20 20:28:23.0906 1996	Detected object count: 1
2011/02/20 20:28:36.0750 1996	Rootkit.Win32.TDSS.tdl3(Cdrom) - User select action: Skip

Ponownie uruchom Kaspersky TDSSKiller, ale tym razem wybierz akcję Cure i zatwierdź restart komputera. Po restarcie proszę o nowy zestaw wszystkich logów, włącznie z Kaspersky TDSSKiller i GMER.

 

 

Z tego co zrozumiałem to nie była infekcja (wirus), bo na końcu napisane było brak infekcji, ale jakiś proces, nie pamiętam jaki (można to gdzieś sprawdzić)?

 

CureIt generuje log w katalogu profilu użytkownika. W pasku adresów eksploratora Windows wklej %UserProfile%\DoctorWeb i ENTER.

 

 

 

.

[mlynek600]

tdsskiller http://wklej.to/H33pv/text

mbrcheck http://wklej.to/mpj18/text

problem na razie się nie pojawia

dzięki za pomoc

[picasso]

TDSKiller poświadcza wyleczenie. To nie jest pełny log z MBRCheck, jest urwana najważniejsza informacja = status kodu w MBR. Zabrakło także logów z OTL i GMER robionych z teraz plus odczytu co widział Dr.Web (podałam gdzie szukać raportu).

[mlynek600]

Dr. Webhttp://wklej.to/Chzvg/text

otl http://wklej.to/F4nPV/text

otl extras http://wklej.to/17JvM/text

gmer http://wklej.to/hC88a/text

w trakcie ładowanie mbrcheck zawiesza mi się komputer i muszę zresetować

[picasso]

Z tego co zrozumiałem to nie była infekcja (wirus), bo na końcu napisane było brak infekcji, ale jakiś proces, nie pamiętam jaki (można to gdzieś sprawdzić)?

 

Nieprawidłowo to zinterpretowałeś wtedy. Dr. Web jak najbardziej wykrył infekcję (wszczepienie TDL do procesu systemowego):

 

[Test pamięci] Proces w pamięci: \??\C:\WINDOWS\system32\winlogon.exe:352 zainfekowany wirusem BackDoor.Tdss.565 - zniszczony

Samo usunięcie tego to i tak było za mało, bo atak na procesy systemowe to tylko jeden z elementów działalności rootkita. Głównym pociągiem infekcji był obiekt wyleczony przez Kaspersky TDSSKiller, czyli zarażony sterownik CD-ROM. To mamy już za sobą. Przestroga: ten rootkit prawdopodobnie wszedł z cracka. Cracki, które uruchamiają infekcję, mają i to do siebie, że po uruchomieniu (co inicjuje infekcję) natychmiast same się usuwają z dysku.

 

 

---

Czynności końcowe:

 

1. Usuń ten folder z dysku:

 

[2010-11-07 17:03:21 | 000,000,000 | ---D | M] (vShare) -- C:\Documents and Settings\SysOp\Dane aplikacji\Mozilla\Firefox\Profiles\ve3ozijt.default\extensions\vshare@toolbar

2. Odinstaluj ComboFix w prawidłowy sposób. W Start > Uruchom > wklej polecenie:

 

"C:\Documents and Settings\SysOp\Pulpit\ComboFix.exe" /uninstall

 

To zlikwiduje ComboFix i zresetuje foldery Przywracania systemu.

 

3. Wymagane aktualizacje:

 

Windows XP Professional Edition Dodatek Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java™ 6 Update 21
"{AC76BA86-7AD7-1045-7B44-A70500000002}" = Adobe Reader 7.0.5 - Polish
"Gadu-Gadu" = Gadu-Gadu 7.7

- Wszystkie szczegóły aktualizacyjne tutaj: INSTRUKCJE.

- Wreszcie kalekie GG7. Są dobre alternatywy z obsługą nowych cech protokołu Gadu (długie numery / szyfrowanie / ...), takie jak np. WTW czy Miranda. Do obejrzenia temat: Darmowe komunikatory.

 

 

.

[mlynek600]

dzięki wielkie za pomoc:)

Edytowane 21 Lutego 2011 przez picasso
Zakładam, że wszystko wykonane (to ważne). Temat rozwiązany. Zamykam. //picasso