Użytkownik "Wojtek W." <webbo__B-E_Z@S-P_AMU__poczta.onet.plnapisał
w wiadomości

| Tam mozna poszukac przyczyny tego stanu.
| lub mozna poszukac co sie laduje przy pomocy maleńkiego programiku
| StartUpList http://www.lurkhere.com/~nicefiles/.
Ciągle walczę... i nic.

To powoduje wywałkę.

Stage2URL=/dw/stagetwo.asp?szAppName=svchost.exe&szAppVer=0.0.0.0&sz
ModName=unknown&szModVer=0.0.0.0&offset=00000000

Ale dopiero teraz zauważyłem, że to się dzieje przy WYŁĄCZANIU
komputera (komunikat wyskakuje przy następnym starcie Windows). Co
z  tym począć?


Użyj HijackThis http://www.hijackthis.de/ oraz
http://patrick.kolla.de/software/spybotsd , może coś znajdą.
Przeskanuj system Rootkit Revealer z http://www.sysinternals.com.
Zobacz czy nie masz jakichś włączonych Zaplanowanych zadań przy
zamykaniu systemu. Wyłącz wszystkie programy korzystające z Internetu
i popatrz netstatem, czy coś jeszcze nie trzyma nawiązanego
połączenia. Na wszelki wypadek na wszystkie konta pozakładaj hasła.
Aha, nie używasz czasem Terminal Services?

A jesteś pewny, że to oryginalny svchost a nie podróbka uruchomiona z innej
lokalizacji niż %windir%system32?

ProcessExplorer z www.sysinternals.com wyświetla procesy, które potrafią
się ukrywać przed standardowym managerem zadań... mnie to zwykle
wystarczało by namierzyć szpiega ;)


Rootkit Revealer pokazał, że wszystkie uruchomione svchost.exe pochodzą z
poprawnego katalogu - poza tym nie było z niego pozytku w tej kwestii

pozdrawiam

Czy Ty to robisz specjalnie? Infekujesz lub psujesz system zeby pozniej pisac tutaj referaty co pare dni?

W logu masz cos takiego odpalane przez svchost:
eapsvcseaphost
dot3svcdot3svc
Wyglada to na jakas infekcje.

Uruchom windows w trybie awaryjnym z obsluga sieci, sciagnij jeszcze raz combofix, zmien mu nazwe na 1234.exe uruchom i daj log.
Zrob tez skan przy pomocy Dr. Web CureIt oraz daj log z sdfix, combofix, gmer (tylko uslugi oraz rootkit).

Avast wykrył mi W32.Rootkit.Gen w svchost.exe...
No właśnie, jak w tytule: wczoraj wieczorem Avast wykrył u mnie na
komputerze W32.Rootkit.Gen w pliku svchost.exe (dodam, mieszczącym
się tam, gdzie powinien ten plik być, czyli w Windows/System32).

Czy ktoś wie, czy to fałszywy alarm, czy też nie? Bo przyznaję, że
nie jestem pewien, skąd w ogóle mi ten wirus mógł wskoczyć -
wyskoczył mi po uruchomieniu komputera wieczorem, tego samego dnia
uruchamiałem komputer wcześniej tylko raz (i wchodziłem wtedy tylko
na Gazetę.pl i na moment na JoeMonstera). Z drugiej strony, od kiedy
wyskoczył komunikat Avasta o wirusie, straciłem dostęp do Internetu.
Więc coś jest jakby nie tak...

Dodam, ze w pierwszym odruchu kazałem skasować Avastowi ten plik -
co oczywiście okazało się błędem, bo Windowsy zaczęły się kaszanić.
Naprawiłem więc system korzystając z dysku instalacyjnego - i na
razie chyba wszystko działa z powrotem. Oczywiście za wyłączeniem
Internetu i Avasta, który ciągle sygnalizuje obecność wirusa...]

Czy ktoś może mi doradzić, czy rzeczywiście mam problem z infekcją,
jeśli tak, to jak ją usunąć (jeśli standardowe sprawdzenie Spybotem,
AdAware i HiJackThis nie wystarczy) oraz jak przywrócić dostęp do
Internetu? Będę bardzo wdzięczny za pomoc.

Gość portalu: Kolobos napisał(a):

> Uzyj Dss, log z programu (main i extra)

Na stronie www.techsupportforum.com/sectools/Deckard/dss.exe
pokazuje mi się komunikat: page not found
na deckard.geekstogo.com/dss.htm
Deckard's System Scanner interacts with a specific rootkit (tdssserv) in a way
that may make your system unusable (altering the svchost netsvcs registry
entry). This download link has been removed until a fix is released by Deckard.
For your own protection, please do not attempt to download this tool from other
sites.

08/17/2008

Your Geeks to Go admin team

Znaczy ostrzegają mnie przed tym programem?
Combofix i hijackthis się ściągnęły. Uruchomić?


Nie zaszkodzi tez uruchomic komputer z plyty livecd z jakims linuksem np.
Ubuntu i tam przetestowac lacze.

To dla mnie czarna magia. User windowsowy ze mnie. I to taki, co to kilka stron
word i excel :(

win32:Rootkit-gen - wywalił svchost kompletnie :(
Gość portalu: Verb napisał(a):

> Przenoszac svchost.exe do kwarantanny
> wysypuje sie caly system, lacznie z rejestrem i nic nie pomaga podmiana pliko
> w z plyty instalacyjnej XP.

U mnie nie mógł przenieść do kwarantanny (komunikat "Program nie może użyć klienta kwarantanny; Serwer RPC jest niedostępny") więc je przemianował Potem program zażądał włożenia dysku instalacyjnego Win XP żeby ściągnąć z niego prawidłowy svchost.exe. Włożyłem, coś tam pościągał, ale komp nadal świruje, na wiele sposobów:

- po włączeniu lub zresetowaniu startuje o wiele dłużej
- przy starcie systemu nie włącza się antywirus ani firewall, antywirus można włączyć ręcznie ale nie na stałe (nie rezydentnie) tylko do przeskanowania dysku; a Zone Alarm w ogóle nie rusza
- można uruchomić antywirusa z menu Start ale nie można zajrzeć do jego kwarantanny (komunikat jak powyżej)
- nie można uruchomić 'Przywracania systemu', pokazuje się komunikat, że nie można uruchomić, trzeba zrestartować i dopiero uruchomić. Po restarcie to samo
- pasek programów na dole raz się pokazuje a raz nie; po zwinięciu jakiegoś programu do paska na dół nie pojawia się on na nim (w ogóle znika) mimo, że dalej jest uruchomiony

Nie mogę ściągnąć żadnego hijacka ani podobnych z internetu bo jak tu się łączyć bez antywirusa i firewalla, za to z potencjalnym wirusem np. gdzieś w rejestrze. Może przeczyszczenie rejestru CCleanerem pomoże? Bałem się spróbować.

Po pierwsze - co robić? Przynieść z pracy na dysku ten plik svchost i wgrać do windowssystem32 ?

Po drugie: co w ogóle robi ten svchost, tzn. czy te awarie to przez jego brak (nawet przy 'czystym' kompie), czy nadal mam wirusa?

Lawrens Hammond C:WINNTsystem32services.exe
Mógł zostać zarażony i nie wyleczony
"znaczy sie, co?" :)
Wirus włażąc do kompa mógł się przy okazji przykleić. A co za tym
idzie, móc trochę sobie popanoszyć.

popanoszyc, popanoszyc... Woda tak :)
Pytalem sie dlaczego na widok procesow:

C:WINNTSystem32smss.exe
C:WINNTsystem32winlogon.exe
C:WINNTsystem32services.exe

piszesz: "Mógł zostać zarażony i nie wyleczony". Dlaczego: mogl ?  Chciales
powiedziec, ze to _moga_ byc "podstawione" pliki/procesy? Ale tak mozna
powiedziec na widok (prawie) kazdego procesu i ze to , co widzimy, to
plik zarazony.

smss, winlogon,services - wiemy, za co teraz "robia" ? moze to
teraz tylko zwyczajne procesy natywne w2k?
Tak, ale jak to usługi (bo są to usługi) mogą też zostać zarażone, w
końcu usługa, to też program.


takie zycie.

C:WINNTsystem32lsass.exe
Zdarza się.
ano; wyrzucilem. Zostawilem tylko Lsass.exe - "Biblioteka DLL pliku
wykonywalnego i serwera LSA".
Winda sama z siebie nie rozróżnia małych i dużych liter w nazwie
pliku, choć sam NTFS jak najbardziej ma to przewidziane.


wiem. ale po "szukaj" wyrzucilem wszystkie pliki "l", a zostawilem jeden
plik "L". Ryzyk f. A czy to ten wlasnie jest systemowy... Dobre pytanie.

Swoja droga ... dlaczego drweb32 ... NIE
WYKRYL lsass.exe ? Ani ... brudów: ...
Jak rootkit, lub inny program wciskający się głęboko w system,
przechwytujący pewne odwołania do funkcji systemowych... najstarszą
powszechnie znaną sprawą było ukrywanie sie wirusa przed
wystąpieniem błędu dyskowego podczas próby zarazenia zabezpieczonej
dyskietki. Trzeba było przejąć funkcję/przerwanie programowe &24h i
w razie wystąpienia błędu nie pozwolić na jego zakomunikowanie.
Usaer mógł więc nie wiedzieć, że mu wirus chciał właśnie dyskietkę
"rozorać", ukrył się. Tak samo mogło być i tu.
(svchost.exe)


no niby  oczywiste, itp itd, ale: w sumie to od takich banalow powinien byc
drweb, uwazany za jeden z dwoch (3ech ?) najlepszych antywirow.

DOKUMENTYDDDPROGRAMYzegarTClock.exe
Zegarek ustawia? :)
via serwery ntp.
To można zostawić, choć OIDP, już w systemie jest wbudowana obsługa i
odświeżanie zegara systemowego z ntp.


??? w w2k - gdzie to cudo ?

mam w2kpro
Jeśli to ten, co się ustawia w zaawansowanych właściwościach sieci,
to nie widzę przeszkód, by chodziły oba.


w w2k - gdzie to cudo ?

Jako antywir u mnie jest Avast,
u mnie drweb32. do dzisiaj ok, a od dzisiaj zastanawia mnie, ze
jednak przepuszcza brudy opisane w watku.
A przeciez sa juz  - jak widze w sieci - bardzo znane...


   (tutaj mialem na mysli owe brudy :))) )

Przede wszystkim darmowy,


i dlatego: czego nie wkrywa i kiedy ? (poczta?)