svchost.exe

IP: *.speed / *.in.lublin.pl 04.11.05, 09:32
Zainstalowalem sobie 90 dniowego Kasperskyego, sciagnalem najnowsza baze,
przeskanowalem kompa... wykryl i wywalil wszystko co podejrzane. Faktycznie
wszystko co zle zniknelo i nie mam wczensiejszych problemow :) Ale..

bardzo czesto wyskakuje mi okienki Kasperskyego z jakims ostrzezeniem na temat
pliku svchost.exe. Mam do wyboru Allow lub Deny - klikam w jedno i drugie ale
nic sie nie dzieje. Gdy w koncu jednak uda sie to okno zamknac wyskakuje jakis
blad windowsa a potem zaczyna sie odliczanie do zresetownaia kompa (takie jak
przy tym wirusie co tez tak wyczynial) O co kurna chodzi? Niby komp jest
czysty a tu taka wkurzajaca historia?

pzdr,
    • Gość: Kolobos Re: svchost.exe IP: *.warszawa.sdi.tpnet.pl 04.11.05, 11:52
      Pewnie masz aktualizacji do windowsa, jakis syf laczy sie z Twoim komputerem Ty
      mu zezwalasz i masz odliczanie ;-)
      Ale moze podaj dokladna tresc komunikatu, nie zaszkodzi tez log z hijackthis.
      • Gość: TRL Re: svchost.exe IP: *.speed / *.in.lublin.pl 04.11.05, 12:25
        gdy wyskakuje info z programu Kaspersky jest cos takiego:
        PROACTIVE DEFENSE WARNING
        SUSPICIOUS ACTION: BUFFER OVERRUN
        i wskazuje wlansie na plik svchost.exe
        mam do wyboru ALLOW lub DENY, ale dopiero po kilku kliknieciach w jedno albo w
        drugie to okno sie zamyka a wowczas wyskakuje error windowsa..
        GENERIC HOST PROCESS FOR WIN32 SERVICES
        "Wystapil problem z aplikacja Generic Host Process for Win32 Services i zostanie
        ona zamknieta"

        i w tym momencie wciskam zeby nie wysylal raportu o bledach i wyskakuje to okno
        z odliczaniem zamkniecia systemu.

        jak sie tego pozbyc ??!?!

        pzdr,
      • Gość: Kolobos Re: svchost.exe IP: *.warszawa.sdi.tpnet.pl 04.11.05, 12:49
        Jak rozumiem masz piracki windows bez aktualizacji i firewall'a?

        Na poczatek zamknij porty tym:
        www.firewallleaktester.com/tools/wwdc.exe
        I wklej log z hijackthis o ktory juz prosilem.
        • Gość: TRL Re: svchost.exe IP: *.speed / *.in.lublin.pl 04.11.05, 13:19
          nie wiem czy dokladnie o to chodzilo, ale takie cos ten programik mi "wyplul"

          Logfile of HijackThis v1.99.1
          Scan saved at 13:17:55, on 2005-11-04
          Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
          MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

          Running processes:
          C:\WINDOWS\System32\smss.exe
          C:\WINDOWS\system32\winlogon.exe
          C:\WINDOWS\system32\services.exe
          C:\WINDOWS\system32\lsass.exe
          C:\WINDOWS\system32\svchost.exe
          C:\WINDOWS\System32\svchost.exe
          C:\WINDOWS\system32\spoolsv.exe
          C:\WINDOWS\Explorer.EXE
          C:\Program Files\Winamp\Winampa.exe
          C:\WINDOWS\System32\ctfmon.exe
          C:\Program Files\Gadu-Gadu\gg.exe
          C:\WINDOWS\System32\devldr32.exe
          C:\Program Files\BitComet\BitComet.exe
          C:\Program Files\totalcmd\TOTALCMD.EXE
          C:\Program Files\Mozilla Firefox\firefox.exe
          C:\Program Files\Winamp\winamp.exe
          C:\DOCUME~1\Kylo\USTAWI~1\Temp\_tc\HijackThis.exe

          R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL =
          www.search101online.com/sp2.php
          R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
          www.search101online.com/sp2.php
          R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
          www.search101online.com/sp2.php
          R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
          www.google.pl/
          R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
          O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
          C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
          O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
          C:\WINDOWS\System32\msdxm.ocx
          O4 - HKLM\..\Run: [HTML32 Help System] hhs32.pif
          O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
          O4 - HKLM\..\Run: [Kaspersky Anti-Virus 2006 (Beta)] C:\Program Files\Kaspersky
          Lab\Kaspersky Anti-Virus 2006\avp.exe
          O4 - HKLM\..\Run: [System service78] C:\WINDOWS\\\etb\\pokapoka78.exe
          O4 - HKLM\..\Run: [Browser Help Svc] BHSV.EXE
          O4 - HKLM\..\RunServices: [HTML32 Help System] hhs32.pif
          O4 - HKLM\..\RunServices: [Browser Help Svc] BHSV.EXE
          O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
          O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
          O4 - HKCU\..\Run: [HTML32 Help System] hhs32.pif
          O4 - HKCU\..\Run: [Browser Help Svc] BHSV.EXE
          O4 - HKCU\..\RunServices: [HTML32 Help System] hhs32.pif
          O4 - HKCU\..\RunServices: [Browser Help Svc] BHSV.EXE
          O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program
          Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
          O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
          Office\Office\OSA9.EXE
          O9 - Extra button: Script Checker - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} -
          C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2006\scieplugin.dll
          O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
          C:\WINDOWS\web\related.htm
          O9 - Extra 'Tools' menuitem: Show &Related Links -
          {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
          O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll
          O23 - Service: AVP - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky
          Anti-Virus 2006\avp.exe

          pzdr,
          • Gość: Kolobos Re: svchost.exe IP: *.warszawa.sdi.tpnet.pl 04.11.05, 16:14
            Widze, ze jakies tam aktualizacje masz, ale masz tez tone spywareu ;-)

            Usun w hijackthis:

            R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL =
            www.search101online.com/sp2.php
            R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
            www.search101online.com/sp2.php
            R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
            www.search101online.com/sp2.php
            O4 - HKLM\..\Run: [HTML32 Help System] hhs32.pif <- usun plik
            O4 - HKLM\..\Run: [System service78] C:\WINDOWS\\\etb\\pokapoka78.exe <- usun
            ukryty katalog etb
            O4 - HKLM\..\Run: [Browser Help Svc] BHSV.EXE <- usun plik
            O4 - HKLM\..\RunServices: [HTML32 Help System] hhs32.pif
            O4 - HKLM\..\RunServices: [Browser Help Svc] BHSV.EXE
            O4 - HKCU\..\Run: [HTML32 Help System] hhs32.pif
            O4 - HKCU\..\Run: [Browser Help Svc] BHSV.EXE
            O4 - HKCU\..\RunServices: [HTML32 Help System] hhs32.pif
            O4 - HKCU\..\RunServices: [Browser Help Svc] BHSV.EXE
            O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
            C:\WINDOWS\web\related.htm
            O9 - Extra 'Tools' menuitem: Show &Related Links -
            {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

            Zamknales juz porty w wwdc.exe?

            Przeskanuj jeszcze tym:
            download.microsoft.com/download/8/1/5/815d2d60-49b5-44dc-ae35-fca2f2c6f0cc/MicrosoftAntiSpywareInstall.exe
            oraz:
            download.ewido.net/ewido-setup.exe <- zrob update przed skanowaniem, po
            przeskanowaniu odinstaluj.
Pełna wersja