vchost procesy i wirus

Post26 sie 2010, 12:32

Witam ostatnio zaczął mi bardzo wolno działać komputer, wszedłem w procesy i zobaczyłem kilka plików VCHOST.EXE czytałem gdzieś, że jest to trojan który obciąża procesor.
Podaje loga z HijackThis Dostępne tylko dla zarejestrowanych użytkowników
Nie mogę podać logów z combofixa bo wyskakuje mi taki błąd Dostępne tylko dla zarejestrowanych użytkowników
Co mam zrobić ? Proszę o szybkie odpowiedzi.

Post26 sie 2010, 12:36

ComboFix nie jest wykładnią i lekarstwem na wszystko, używamy go tylko jeśli padnie taka prośba od osoby która dobrze orientuje się w tej tematyce.
Jest to narzędzie o dużej sile rażenia a niepowołane użycie go może doprowadzić do poważnego uszkodzenia systemu więc używa się go tylko w bardzo ciężkich sytuacjach.

Do puki nie ocenimy sytuacji Combofixa proszę nie używać !

HJT od dawna się nie używa daje krótkie i nie szczegółowe logi, po za tym infekcje nauczyły się ukrywać i ich nie wykryje.

Pobierz OTL : Dostępne tylko dla zarejestrowanych użytkowników

Zapisz na pulpit

W OTL przestawiasz Procesy i Moduły na All oraz wklejasz w dolne białe okienko ,, Własne opcje skanowania / skrypt ":

netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List

Kliknij Skanuj

Zawartość logów ( otl.txt i extras.txt ) wklej na Dostępne tylko dla zarejestrowanych użytkowników lub Dostępne tylko dla zarejestrowanych użytkowników, ale ręcznie kopiuj > wklej z notatnika w pole do wklejania tekstu a w poście daj link.

Oraz daj log z USBFix z opcji listing.
Dostępne tylko dla zarejestrowanych użytkowników

Post26 sie 2010, 13:09

JAk skanuje tym OTL to wyskakuje mi taki błąd Dostępne tylko dla zarejestrowanych użytkowników

Post26 sie 2010, 13:22

W takim razie spróbuj przeskanować:

OTL.com: Dostępne tylko dla zarejestrowanych użytkowników
lub OTL.scr: Dostępne tylko dla zarejestrowanych użytkowników

Post26 sie 2010, 14:00

Jest to samo, jeszcze tym usb fix spróbuje przeskanować.

Post26 sie 2010, 14:49

W takim razie sprawa jest ciężka

Pobierz na nowo Combofix z linku który podaję niżej !
Dostępne tylko dla zarejestrowanych użytkowników
nazwa i rozszerzenienie specjalnie smienione by wirus go nie zaatakował.

ale najpierw usuń wszystkie programy tworzące wirtualne napędy i uruchom program SPTD :
Dostępne tylko dla zarejestrowanych użytkowników
pobierasz plik ,, SPTDinst-v169-x86.exez " i uruchamiasz, następnie w głównym oknie tegoż programu klikasz przycisk ,,Uninstall "

W razie gdy ta opcja będzie nie aktywna ( aktywna będzie tylko ,, Install " ) to nic nie rób tylko zamknij okno i uruchom Combofix.

Na czas skanowania wyłącz antywirusa itd...

Następnie daj loga który utworzył.

Post26 sie 2010, 16:57

Dobra zeskanowałem tym usbfix zaraz bede robil tymi programami co mi podałeś.
Log z usbfix Dostępne tylko dla zarejestrowanych użytkowników
#EDIT
W Combofix jest to samo co było a tego 2 programu nie mogę włączyć bo wyskakuje takie coś Dostępne tylko dla zarejestrowanych użytkowników
Nie mam żadnego antywirusa bo wczoraj robiłem formata i nawet nie zainstalowałem.

Post26 sie 2010, 18:40

W Combofix jest to samo co było

Ściągnąłeś go z linku który podałem wyżej ?

A co do logu z USBFix to jest to tylko pomocniczy log przy sprawdzaniu raportu z OTL ale on sam pokazuje że sprawa jest bardzo ciężka:

Found ! C:\DOCUME~1\SysOp\USTAWI~1\Temp\dsoqq.exe
Found ! C:\DOCUME~1\SysOp\USTAWI~1\Temp\dsoqq0.dll
Found ! C:\DOCUME~1\SysOp\USTAWI~1\Temp\dsoqq1.dll
Found ! C:\1gkbvsni.exe
Found ! C:\Autorun.inf
Found ! D:\Autorun.inf
Found ! E:\Autorun.inf
Found ! H:\Autorun.inf
Found ! D:\1gkbvsni.exe
Found ! D:\chxnxyx.exe
Found ! E:\1gkbvsni.exe
Found ! E:\chxnxyx.exe
Found ! H:\1gkbvsni.exe
Found ! C:\Documents and Settings\SysOp\Ustawienia lokalne\Temp\dsoqq.exe

Dodatkowo zainfekowany jest rejestr i pliki startowe dysków lokalnych:

HKCU\.\.\.\.\Explorer\MountPoints2\C
Shell\AutoRun\Command = C:\1gkbvsni.exe
Shell\open\Command = C:\1gkbvsni.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{1f773d68-b0fa-11df-b552-00e04c03e221}
Shell\AutoRun\Command = H:\1gkbvsni.exe
Shell\open\Command = H:\1gkbvsni.exe

Tym razem uruchom USBFix z opcji Deletion.

Post26 sie 2010, 19:42

Tak naciągnąłem z linku który mi podałeś. Zaraz to zrobię.
Tu jest ten drugi skan Dostępne tylko dla zarejestrowanych użytkowników

Post26 sie 2010, 22:13

Spróbuj ponownie wykonać log z OTL

Post26 sie 2010, 22:35

W dalszym ciągu nie działa.
Muszę wkleić do skrypty ten cały tekst ? netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List
#EDIT
Przy skanowaniu wyskoczył ten sam błąd co wcześniej, dałem OK i mam jakiś log Dostępne tylko dla zarejestrowanych użytkowników

Post27 sie 2010, 08:06

Niesamowity nawał infekcji ...

Spróbuj ponownie wykonać log Combofixa z linku który podałem wyżej.

Post27 sie 2010, 13:39

Niesamowite, ale nadal nie działa :evil:

Strona WWW · Post27 sie 2010, 16:03

nie masz wyjścia, próbuj najpierw programem Malwarebytes, potem Drweb używaj go do momentu aż nic nie wykryje a następnie spróbuj wykonać logi

Post27 sie 2010, 16:46

Jak masz Win DT zamiast normalnych systemów microsoftu to tak jest ;p