vchost procesy i wirus

Post27 sie 2010, 20:00

Lewinho pisze:Jak masz Win DT zamiast normalnych systemów microsoftu to tak jest ;p

Jak nie wnosisz nic do tematu to się nie udzielaj.
Ten program Malwarebytes wykrył jakieś trojany. Dostępne tylko dla zarejestrowanych użytkowników log po skanie.

-- 27 sie 2010, 20:00 --

Niby pousuwały mi się te wirusy ale procesy z svchost.exe dalej są.

Strona WWW · Post27 sie 2010, 20:16

No action taken

usunąłeś wszystko co znalazł malwarebytes??

Post27 sie 2010, 20:35

Nie, nie usuwaj !!!

Zainfekowany jest jeden z głównych plików systemowych !

C:\WINDOWS\system32\dllcache\cdrom.sys (Trojan.Patched) -> No action taken.
C:\WINDOWS\system32\drivers\cdrom.sys (Trojan.Patched) -> No action taken.

a jeśli usunąłeś to mamy jeszcze więcej roboty, usunąłeś ?

Strona WWW · Post27 sie 2010, 20:37

Pobierz Dostępne tylko dla zarejestrowanych użytkowników i uruchom.
Wklej w niego:

:filefind
cdrom.sys

Klikasz Look i pokazujesz wynikowy log.

Post27 sie 2010, 20:42

Pobierz Dostępne tylko dla zarejestrowanych użytkowników i uruchom.
Wklej w niego:

:filefind
cdrom.sys
Klikasz Look i pokazujesz wynikowy log.

Tego pliku już w systemie prawdopodobnie nie ma ( zostały usunięte jego obydwie pozycje ), ale nawet gdyby coś się ostało to i tak na pewno każda jego kopia jest zainfekowana.

Pobierz to: Dostępne tylko dla zarejestrowanych użytkowników

i skopiuj w lokalizację:
C:\WINDOWS\system32\drivers\
C:\WINDOWS\system32\dllcache\

Strona WWW · Post27 sie 2010, 20:42

jeśli kopie byłyby zainfekowane również zostałyby wykryte przez malwarebytes tak więc wątpie żeby były zarażone.

Post27 sie 2010, 20:44

Typ skanowania: Szybkie skanowanie

Tak więc ...

Po za tym ten wirus infekuje wszystkie kopie pliku cdrom.sys, nawet znajdujących się na innych partycjach.

Strona WWW · Post27 sie 2010, 20:44

Loteria mogą a nie muszą

poczekamy na autora

Post28 sie 2010, 12:08

Do Łukasz
Napisałeś

Zainfekowany jest jeden z głównych plików systemowych !
C:\WINDOWS\system32\dllcache\cdrom.sys (Trojan.Patched) -> No action taken.
C:\WINDOWS\system32\drivers\cdrom.sys (Trojan.Patched) -> No action taken.
a jeśli usunąłeś to mamy jeszcze więcej roboty, usunąłeś ?

Skoro plik jest zainfekowany to należy go usunąć, a właściwie podmienić na jego czystą kopię.

Pobierz to: Dostępne tylko dla zarejestrowanych użytkowników

To chyba jest płatne, a poza tym czy aby na pewno sprawdziłeś jaki użytkownik ma SP w systemie, a do jakiego jest plik, do którego link podałeś

Strona WWW · Post28 sie 2010, 12:09

dlatego chciałem szukać kopii tych plików w systemie ponieważ najprawdopodobniej się one tam znajdują i są nie zainfekowane

Post28 sie 2010, 17:16

djkamil09061991 pisze:Pobierz Dostępne tylko dla zarejestrowanych użytkowników i uruchom.
Wklej w niego:
:filefind
cdrom.sys

Klikasz Look i pokazujesz wynikowy log.

Dostępne tylko dla zarejestrowanych użytkowników log z tego programu.
Usunąłem te trojany tym malwarebytes.
To co mam teraz zrobić bo już nie wiem.

Post28 sie 2010, 17:39

Skoro plik jest zainfekowany to należy go usunąć, a właściwie podmienić na jego czystą kopię.

Można użyć SFC - kontrolera plików systemowych który automatycznie wykryje uszkodzone pliki (podmienione przez wirusy) i zastąpi je oryginałami. Przy XP płyta z windowsem będzie niezbędna.

Strona WWW · Post28 sie 2010, 18:09

skopiuj plik cdrom.sys znajdujący się w C:\WINDOWS\Driver Cache\i386\cdrom.sys do następujących lokalizacji:
C:\WINDOWS\system32\dllcache
C:\WINDOWS\system32\drivers

ponieważ pliki cdrom.sys znajdujące się w tych lokalizacjach były usunięte przez malwarebytes

Post28 sie 2010, 21:36

dobra skopiowałem te pliki. I co mam jakiegoś skana zrobić czy coś ?

Post28 sie 2010, 21:47

Tak.
Jeżeli masz OTL na kompie - uruchom go i w białe okienko wklej to:
netsvcs
msconfig
safebootminimal
safebootnetwork
%systemdrive%\*.*
/md5start
agp440.sys
atapi.sys
beep.sys
cdrom.sys
ndis.sys
winlogon.exe
eventlog.dll
/md5stop

Wciśnij przycisk Skanuj.
Pokaż raport.