prosze o sprawdzenie loga

IP: *.ssnet.pl 04.03.07, 15:47
Witam, glownie u mnie pojawia sie problem z plikiem c:\windows\system32
\services.exe, przy uruchomieniu pojawia sie blad że coś nie tak jest z
plikiem services.exe, klikajac na "nie wysyłanie błędu do microsoft" włącza
się wyłączanie systemu po czym komputer wyłącza się, tutaj mój log.

Logfile of HijackThis v1.99.1
Scan saved at 15:31:48, on 2007-03-04
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
C:\WINDOWS\System32\dwwin.exe
C:\WINDOWS\System32\wuauclt.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -
C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CaAvTray] "C:\Program Files\CA\eTrust EZ Armor\eTrust EZ
Antivirus\CAVTray.exe"
O4 - HKLM\..\Run: [CAVRID] "C:\Program Files\CA\eTrust EZ Armor\eTrust EZ
Antivirus\CAVRID.exe"
O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\PPE.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -
CheckReg
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
atboottime
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program
Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels1118.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-
00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment
1.4.0_03) -
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment
1.4.0_03) -
O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Program
Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner -
C:\WINDOWS\System32\msasvc.exe (file missing)
O23 - Service: VET Message Service (VETMSGNT) - Computer Associates
International, Inc. - C:\Program Files\CA\eTrust EZ Armor\eTrust EZ
Antivirus\VetMsg.exe
    • Gość: Kolobos Re: prosze o sprawdzenie loga IP: *.escom.net.pl 04.03.07, 16:08
      Odinstaluj eTrust EZ Armor, zainstaluj AntiVir PE.
      Zamknij porty przy pomocy wwdc.exe oraz zainstaluj aktualizacje -> www.hijackthi.de

      W hjt usun:
      R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -
      C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL (file missing)
      O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels1118.exe <- plik usun z dysku.
      O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
      C:\WINDOWS\web\related.htm
      O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
      00aa003c157a} - C:\WINDOWS\web\related.htm
      O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment
      1.4.0_03) -
      O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment
      1.4.0_03) -

      Usluga do kasacji:
      O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner -
      C:\WINDOWS\System32\msasvc.exe (file missing)

      Start->Uruchom->sc stop MsaSvc
      oraz: sc delete MsaSvc

      Do tego skan:
      www.pandasoftware.com/activescan/pol/activescan_principal.htm
      www.spywareinfo.com/xscan.php
      www.bitdefender.com/scan8/ie.html
      • Gość: marlo Re: prosze o sprawdzenie loga IP: *.ssnet.pl 04.03.07, 18:22
        Wykonałem powyższe czynności i nadal występuje samoczynne wyłączanie się
        systemu-system został zakończony kodem 1073741819

        Wklejam log po wykonaniu zaleconych czynności:

        Logfile of HijackThis v1.99.1
        Scan saved at 18:13:24, on 2007-03-04
        Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
        MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\Explorer.EXE
        C:\WINDOWS\system32\spoolsv.exe
        C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
        C:\WINDOWS\System32\RunDll32.exe
        C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
        C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
        C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\System32\ctfmon.exe
        C:\Program Files\Messenger\msmsgs.exe
        C:\Program Files\Gadu-Gadu\gg.exe
        C:\WINDOWS\System32\dwwin.exe
        D:\hijackthis\HijackThis.exe

        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
        O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
        C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
        O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
        C:\WINDOWS\System32\msdxm.ocx
        O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
        O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
        O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\PPE.EXE
        O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -
        CheckReg
        O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
        atboottime
        O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program
        Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
        O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition
        Classic\avgnt.exe" /min
        O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
        O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
        O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
        O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
        C:\Program Files\Messenger\MSMSGS.EXE
        O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-
        00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
        O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) -
        Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
        O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA
        GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
        • Gość: Kolobos Re: prosze o sprawdzenie loga IP: *.escom.net.pl 04.03.07, 18:31
          Nie wykonales, aktualizacji jak nie miales tak nie masz.

          Zainstaluj chociaz te latki:
          forum.gazeta.pl/forum/72,2.html?f=430&w=46891307&a=46891307
          • Gość: marlo Re: prosze o sprawdzenie loga IP: *.ssnet.pl 04.03.07, 19:09
            zainstalowałem łatki ale problem pozostał:

            Logfile of HijackThis v1.99.1
            Scan saved at 19:00:17, on 2007-03-04
            Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
            MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

            Running processes:
            C:\WINDOWS\System32\smss.exe
            C:\WINDOWS\system32\winlogon.exe
            C:\WINDOWS\system32\services.exe
            C:\WINDOWS\system32\lsass.exe
            C:\WINDOWS\system32\svchost.exe
            C:\WINDOWS\System32\svchost.exe
            C:\WINDOWS\Explorer.EXE
            C:\WINDOWS\system32\spoolsv.exe
            C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
            C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
            C:\WINDOWS\System32\svchost.exe
            C:\WINDOWS\System32\RunDll32.exe
            C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
            C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
            C:\WINDOWS\System32\ctfmon.exe
            C:\Program Files\Messenger\msmsgs.exe
            C:\Program Files\Gadu-Gadu\gg.exe
            C:\WINDOWS\System32\dwwin.exe
            C:\Documents and Settings\T\Ustawienia lokalne\Temp\Katalog tymczasowy 2 dla
            hijackthis_199.zip\HijackThis.exe

            R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
            R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
            O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
            C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
            O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
            C:\WINDOWS\System32\msdxm.ocx
            O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
            O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
            O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\PPE.EXE
            O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -
            CheckReg
            O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
            atboottime
            O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program
            Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
            O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition
            Classic\avgnt.exe" /min
            O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
            O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
            O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
            O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
            C:\Program Files\Messenger\MSMSGS.EXE
            O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-
            00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
            O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) -
            Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
            O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA
            GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

            • Gość: Kolobos Re: prosze o sprawdzenie loga IP: *.escom.net.pl 04.03.07, 19:42
              Podaj szczegoly bledu (z dziennika zdarzen systemowych), napisz kiedy wystepuje.
              • Gość: marlo Re: prosze o sprawdzenie loga IP: *.ssnet.pl 04.03.07, 23:38
                Gdzie znajde dziennik zdarzeń?

                Błąd pojawia sie po załadowaniu systemu xp, pojawia sie informacja o błędzie
                pliku c:\windows\system32\services.exe jeśli kliknę na "nie wysyłaj błędu do
                microsoft", automatycznie włącza sie wyłączanie systemu (coś jak przy wirusie
                blaster), "system zostanie wyłączony, odliczanie 1 min, zakończony kodem
                1073741819
                • Gość: Kolobos Re: prosze o sprawdzenie loga IP: *.escom.net.pl 05.03.07, 00:30
                  Start->Uruchom->eventvwr.msc

                  • Gość: marlo Re: prosze o sprawdzenie loga IP: *.ssnet.pl 05.03.07, 19:01
                    mam tę liste, z tym że nie moge wkleić, na forum pojawia sie informacja
                    że "wiadomość zawiera zbyt wiele znaków binarnych" w jaki sposób przesłać ten
                    raport?
                    • Gość: Kolobos Re: prosze o sprawdzenie loga IP: *.escom.net.pl 05.03.07, 19:11
                      Masz przeczytac komunikat i go przepisac bez smieci o ktorych piszesz.
                      • Gość: marlo Re: prosze o sprawdzenie loga IP: *.ssnet.pl 05.03.07, 19:47
                        aplikacja powodująca błąd services.exe, wersja 5.1.2600.0, moduł powodujący
                        błąd services.exe, wersja 5.1.2600.0 adres błędu 0x000066f1

                        "Trwa zamykanie systemu, zapisz wszystkie rozpoczęte prace i wyloguj sie
                        błąd w c:\windows\system32\services.exe został zakończony kodem stanu 1073741819
                        • Gość: Kolobos Re: prosze o sprawdzenie loga IP: *.escom.net.pl 05.03.07, 19:55
                          Zobacz przy pomocy gmera czy nie masz żadnego rootkita, jak masz to wyslij mi logi z gmera i z comboscan:
                          cybertrash.pl/images/tata/ComboScan/ComboScan.html
                          na mail'a (kolobos (at) gazeta.pl).

                          • Gość: marlo Re: prosze o sprawdzenie loga IP: *.ssnet.pl 05.03.07, 20:56
                            Okej, wysłałem logi na maila, czekam dalszych instrukcji.
                            • Gość: marlo Re: prosze o sprawdzenie loga IP: *.ssnet.pl 06.03.07, 00:57
                              Poradziłem sobie, to był rootkit,gazeta winna odpalać Ci pensje za kawał dobrej
                              roboty, pozdrawiam.
Pełna wersja