vchost procesy i wirus

Post29 sie 2010, 14:41

Dostępne tylko dla zarejestrowanych użytkowników Log ze skana.
Kurde tak mi net muli, że chyba godzinę to wklejałem.

Post29 sie 2010, 15:26

Takiego bym powiedział - wyrafinowanego nawału infekcji jeszcze nie widziałem.

W OTL w dolne okienko ,, Własne opcje skanowania / skrypt " wklej:

:Processes
killallprocesses

:OTL
MOD - [2010-08-28 23:46:02 | 000,036,865 | ---- | M] () -- C:\WINDOWS\system32\mslaejjs.dll
O4 - HKLM..\Run: [rdllvz] C:\WINDOWS\System32\mslaejjs.DLL ()
O4 - HKLM..\Run: [szetyj67v] C:\WINDOWS\system32\szetyj67v.exe ()
O4 - HKLM..\Run: [szetyj67vx] C:\WINDOWS\system32\szetyj67vx.exe ()
O4 - HKCU..\Run: [NetLog2] C:\WINDOWS\svc2.exe ()
O4 - HKCU..\Run: [NetLog3] C:\WINDOWS\svc3.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: apps = C:\WINDOWS\fonts\services.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: lta9a = C:\DOCUME~1\SysOp\USTAWI~1\Temp\5mtrzw.exe ()

:Files
C:\Recycled
C:\WINDOWS\System32\szetyj67v.exe
C:\WINDOWS\System32\szetyj67vx.exe
C:\WINDOWS\System32\mslaejjs.dll
C:\WINDOWS\svc3.exe
C:\WINDOWS\System32\service.sys
C:\Documents and Settings\SysOp\Ustawienia lokalne\Temp\5mtrzw.exe
C:\Documents and Settings\SysOp\Ustawienia lokalne\Temp\hnf1yyx1q.exe

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[resethosts]
[emptytemp]
[clearallrestorepoints]

Kliknij : Wykonaj Skrypt, Zrestartuj komputer
Potem daj raport który wyskoczy po usuwaniu, oraz wykonaj nowy log OTLem

Post29 sie 2010, 17:37

Jak dałem "Wykonaj skrypt" to wyskoczyło mi okienko że system zostanie zamknięty za minute. Potem wyskoczył mi plik txt. jego treść: Files\Folders moved on Reboot...
Registry entries deleted on Reboot...
teraz mam zrobić nowy log ?
EDIT
Dostępne tylko dla zarejestrowanych użytkowników

Post29 sie 2010, 18:01

Znam tą infekcje, jest bardzo ciężka w usuwaniu i OTL sobie z nią nie radzi.
Użyj ComboFixa i wklej z niego log. Podczas ściągania zmień jego nazwę na 123.com

Post29 sie 2010, 18:31

Tutaj jest praktycznie wszystko zainfekowane, mnożą się procesy infekcji jest zainfekowany plik cdrom.sys

DRV - [2010-08-29 17:20:10 | 000,098,240 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\cdrom.sys -- (Cdrom)

Tutaj powinien być podpis nie Cdrom tylko Microsoft.

Po prosu tutaj jest jeden wieki śmietnik, malaria i zniszczenie.

Czegoś takiego od kiedy sprawdzam logi jeszcze nie widziałem:

PRC - [2010-08-29 17:21:10 | 000,269,824 | ---- | M] () -- C:\WINDOWS\svc3.exe
PRC - [2010-08-29 17:20:44 | 000,163,328 | ---- | M] () -- C:\WINDOWS\system32\szetyj67v.exe
PRC - [2010-08-29 17:20:42 | 000,180,224 | ---- | M] () -- C:\WINDOWS\Temp\q1fgnuqb.exe
PRC - [2010-08-29 17:19:54 | 000,269,824 | ---- | M] () -- C:\WINDOWS\svc2.exe
PRC - [2010-08-29 17:19:26 | 000,072,192 | ---- | M] () -- C:\WINDOWS\Temp\5mtrzw.exe
PRC - [2010-08-29 17:19:16 | 000,032,000 | ---- | M] () -- C:\WINDOWS\Temp\VRT1.tmp
PRC - [2010-08-28 23:48:48 | 000,046,080 | ---- | M] () -- C:\WINDOWS\system32\updata.exe
PRC - [2008-04-14 21:51:44 | 000,064,512 | -H-- | M] () -- C:\WINDOWS\Fonts\services.exe
O4 - HKLM..\Run: [rdllvz] C:\WINDOWS\System32\mslaejjs.DLL ()
O4 - HKLM..\Run: [Regedit32] C:\WINDOWS\System32\regedit.exe File not found
O4 - HKLM..\Run: [szetyj67v] C:\WINDOWS\system32\szetyj67v.exe ()
O4 - HKLM..\Run: [szetyj67vx] C:\WINDOWS\system32\szetyj67vx.exe ()
O4 - HKLM..\Run: [wuaucldt] C:\WINDOWS\system32\wuaucldt.exe ()

Postępuj tak jak piszę w tej instrukcji w sposobie II
bezpieczenstwo/instrukcja-usuwania-wirusa-sality-t8005.html

Post29 sie 2010, 18:37

@Łukasz - narazie nie!
Cdrom.sys - podmienimy później.
@Autor - najpierw użyj ComboFixa!

Post29 sie 2010, 18:43

@Łukasz - narazie nie!
Cdrom.sys - podmienimy później.
@Autor - najpierw użyj ComboFixa!

Combofix nic na to nie poradzi.

klodos

Tak jak już wyżej napisałem postępuj tak jak piszę w tej instrukcji w sposobie II, to daje 100 procentową szansę wyleczenia.
bezpieczenstwo/instrukcja-usuwania-wirusa-sality-t8005.html

Strona WWW · Post29 sie 2010, 18:51

już mu tak nię motajcie

niech użyje najpierw combofixa a jeśli nic się nie poradzi to się zrobi tak jak mówi Łukasz

Post29 sie 2010, 19:05

Panowie djarta i Łukasz macie pomagać innym w pozbywaniu się infekcji jako specjaliści w tej dziedzinie powinniście współpracować, a nie jak to bywa w większości przypadków kłócicie się i wzajemnie negujecie swoje wypowiedzi. przyłączam się do wypowiedzi djkamil09061991

Post30 sie 2010, 12:47

Nie mogę ściągnąć tego ComboFixa, nie wiem dlaczego ale nie chce mi się on zapisać.

Post30 sie 2010, 13:13

To wykonaj to co napisałem wyżej:

Postępuj tak jak piszę w tej instrukcji w sposobie II:
bezpieczenstwo/instrukcja-usuwania-wirusa-sality-t8005.html

Post30 sie 2010, 16:16

witam kto mi powie czy mam jakies wirusy skanowalem na combofix
i jak by ktos mogl powiedziec jak sa jakies to jak sie ich pozbyc
Dostępne tylko dla zarejestrowanych użytkowników

Strona WWW · Post30 sie 2010, 16:21

założ swój temat i dokładnie opisz problem, daj logi z OTL według instrukcji:
http://www.hotfix.pl/obsluga-programu-otl-a143.htm
logi wklejasz poprzez kopiowanie z notatnika i wklejanie na strone a nie poprzez przegladaj

Post30 sie 2010, 17:18

pytam czy po tym moim logu widac czy sa wirusy czy nie bo ja sie na tym nieznam

Post30 sie 2010, 18:36

nawet nie mogę ściągnąć tego Dr.Web CureIt!