Svchost - nieznany wyjątek programowy !
ogryz - 20 Lut 2007 23:14
Witam!
Kilka dni temu kolega zainstalował u mnie oprogramowanie obsługujące moduł USB do komunikacji przez Bluetooth (nie pamiętam nazwy programu).
Po jego odinstalowaniu zaczął mnie prześladować komunikat jak w załączniku (plik "Error.jpg").
Pojawia się on kilka minut po uruchomieniu komputera.
Niezależnie od tego co kliknę, po kilku minutach Windows zmienia na chwilę wygląd (tak, jakbym na chwilę ustawił kompozycję "Klasyczny Windows"), po czym prawie wszystko wraca do normy.
Prawie - gdyż zegar i ikonki przy nim wyświetlają się trochę dziwnie - jak w drugim załączniku ("Zegar.jpg").
Nie wiem jak poradzić sobie z tym problemem - reinstalacja systemu nie wchodzi w grę.
Wyszukiwarka też nie zwraca nic sensownego - ponad 900 wyników, w większości z prośbą o sprawdzenie logów.
Pozdrawiam. Kliknij aby powiększyć
Proszę tylko zamieszczać fotki tak jak w linku poniżej.
Sądzę że jest to zrozumiale dla wszystkich, a przynajmniej powinno być.
Choć jakoś nie mogę się przekonać do tego obserwując co poniektórych ...
Ogłoszenie: Wklejanie zdjęć.
marek-mba - 20 Lut 2007 23:20
Svchost uruchamia usługi.
Coś musi być nie tak przy starcie jednej z usług. W jaki sposób zostało odinstalowane to oprogramowanie?
Możesz zobaczyć w narzędziach administracyjnych -> usługi i tam poszukać czegoś związanego z Twoją aplikacją.
Możesz też zobaczyć czy naprawianie systemu nie rozwiąże problemu ale najpierw poszukaj tam gdzie Ci powiedziałem.
Ewentualnie jeśli masz przywracanie systemu możesz przywrócić do wersji przed instalacją tego oprogramowania.
paweliw - 20 Lut 2007 23:31
Wklej log z hijackthis na forum. Zobaczymy czy po deinstalacji programu jakieś usługi nie pozostały zbędnie w systemie. Uruchom program i wykonaj: "Do a system scan and save a logfile". Log wklej w treść wiadomości, nie jako załącznik.
ogryz - 20 Lut 2007 23:51
A więc tak:
- oprogramowanie zostało odinstalowane poprzez Dodaj/Usuń programy - uruchomił się deinstalator i usunął wszystko
- narzędzia administratorskie->usługi uruchomiłem, wyświetliła się lista, ale nie wiem co dalej z tym zrobić
- przywracanie systemu mam wyłączone
Poniżej log z hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 22:49:17, on 2007-02-20
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
d:\programy\Alwil Software\Avast4\aswUpdSv.exe
d:\programy\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\programy\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programy\Gadu-Gadu\gg.exe
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\svchost.exe
d:\programy\Alwil Software\Avast4\ashMaiSv.exe
d:\programy\Alwil Software\Avast4\ashWebSv.exe
D:\Programy\Winamp\winamp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\ogryz\Pulpit\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://elektroda.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\programy\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] d:\programy\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Programy\Gadu-Gadu\gg.exe" /tray
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Programy\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\programy\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\programy\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138057926570
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - d:\programy\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - d:\programy\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - d:\programy\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - d:\programy\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Crypkey License - Unknown owner - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
Podczas robienia logu z hijackthis uruchomił się antywirus Avast i wskazał, że "C:\Windows\svchost.exe zawiera egzemplarz Win32.Jeefo" (chyba tak to się pisze). Kliknąłem "nie podejmuj akcji" - więcej takiego komunikatu nie zobaczyłem.
Przy okazji zapytam - co to jest za robak (Win32.Jeefo)? Czasami Avast wykrywa jego obecność, podczas rozpakowywania archiwów rar. Jest to o tyle dziwne, że jest on wykrywany również w archiwach, co do których mam pewność, że są "czyste", dlatego przywykłem uznawać komunikat za fałszywy.
Pozdrawiam.
marek-mba - 21 Lut 2007 00:00
No to mamy przyczynę
A tu jest szczepionka
A log`a z hijacka wklej tu
paweliw - 21 Lut 2007 00:08
Proces C:\Windows\svchost.exe to robactwo, podobnie jak wywołująca go usługa:
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
Zaznacz ww. usługę w hijackthis i daj FixChecked.
Potem spróbuj wyłączyć usługę:
W Start->Uruchom wpisz: cmd a potem komendy:
sc stop PowerManager
sc delete PowerManager
Potem plik C:\WINDOWS\svchost.exe usuń (tylko nie pomyl z c:\WINDOWS\system32\svchost.exe który jest niezbędnym plikiem systemowym !).
Użyj Windows Worms Doors Cleanera i zamknij nim porty (zmień znaczki z disable na enable) i reset komputera.
Przeskanuj system tym:
AVG Anti-Spyware-ewido anti-spyware <- zrób update przed skanowaniem, po skanowaniu odinstaluj.
Radzę też przeskanować system skanerem on-line Bitdefender-a (wolny ale dokładny)
ogryz - 21 Lut 2007 23:07
Usługę usunąłem, plik również, porty zablokowałem, uruchomiłem antywirusy i znalazły kilka dodatkowych robaków, które usunąłem. Niestety wykonanie powyższych czynności nie przyniosło rezultatu - w trakcie pisania posta znów zobaczyłem
komunikat o błędzie svchost.
Co jeszcze można zrobić?
Pozdrawiam.
paweliw - 21 Lut 2007 23:39
Wklej nowy log z hijackthis.
ogryz - 22 Lut 2007 00:22
Oto nowy log:
Logfile of HijackThis v1.99.1
Scan saved at 23:25:40, on 2007-02-21
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
d:\programy\Alwil Software\Avast4\aswUpdSv.exe
d:\programy\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\programy\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programy\Gadu-Gadu\gg.exe
d:\programy\Alwil Software\Avast4\ashMaiSv.exe
d:\programy\Alwil Software\Avast4\ashWebSv.exe
D:\Programy\Winamp\winamp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\ogryz\Pulpit\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://elektroda.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\programy\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] d:\programy\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Programy\Gadu-Gadu\gg.exe" /tray
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Programy\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\programy\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\programy\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138057926570
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - d:\programy\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - d:\programy\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - d:\programy\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - d:\programy\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Crypkey License - Unknown owner - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
voldzio2 - 25 Sie 2007 11:54
Ja też miałem taki program i go rozwiązałem.
Wystarczy wejść na strone www.pomoc.x.pl i kliknąć odnosnik:Generic Host
usuwamy wirusa.
Mi, a raczej mojemu komputerowi to pomogło od razu.
Załącznik skasowałem Regulamin.
TONI_2003