Backdoor.Win32.Delf.chp - proces svchost.exe i inne problemy


(arlid) #1

Witajcie. Podczas skanowania obiektów startowych Kaspersky wyswietla mi komunikat, że znalazł trojana "Backdoor.Win32,Delf.chp". w procesie svchost.exe Klikałem wielokrotnie, aby go usunąć lecz po ponownym uruchomieniu kompa dalej było to samo. Dodatkowo co jakiś czas mam uruchomiony proces IE, a przeglądarki nie włączam - sądzę, że to przez tego wirusa. Oto log z HJT. jak potrzebny to wkleje z ComboFix. A do czego służy proces svchost.exe?

http://wklej.org/id/4f74fa1f58

EDIT: Kasper mi mówi, że ten plik jest w "C:\Program Files\Common Files\svchost.exe" Ten plik powinien byc tylko w system32 tak?


(huber2t) #2

Daj logi z Combofix


(arlid) #3

http://wklej.org/id/67aae94c13 - LOG z ComboFIX. Myślę, że należy usunąć plik. C\Program Files\Common Files\svchost,exe, ale go tam nie ma.


(Gutek) #4

Pobierz program SDFix

-


(arlid) #5

Sorki, ale muszę do pracy i log z ComboFix dam jutro.

Może Wam coś pomogą takie info:

-Podczas wyłączania kompa mam komunikat:mscd.exe "Zainicjonowanie aplikacxji nie udało się, gdyż stacja jest właśnie zamykana"

  • Przy włączaniu nie ma na początku pulpitu tylko okno i pisze: Ustawienia spersonalizowane "Tra konfiguracja ustawień spersonalizowanych dla c\Program Files\Common Files\mscd.exe"

  • Po uruchomieniu systemu program C\WINDOWS\system32\wbem\wmiadap.exe chce uzyskać dostęp do klucza [HKLM\SOFTWARE\Microsoft\WBEM\Providers\Performace]

Wcześniej takich zjawisk nie było. Czy mogę usunąć poprzez HJT wpis C\PF\Common Files\svchost.exe ?

EDIT: LOG z comboFIX: http://wklej.org/id/df3e6b0f1b


(Leon$) #6

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:


(arlid) #7

Oto loG: http://wklej.org/id/1098325dd9


(Leon$) #8

Log wygląda na czysty

pozostał plik C:\WINDOWS\system32\ aafedecb_s.dll przeskanuj go na http://virusscan.jotti.org/

jeśli wir usuń Unlockerem lub w trybie awaryjnym

:slight_smile:


(arlid) #9

Tam nie ma takiego pliku 9nawet po włączeniu pokazywania ukrytych).


(Leon$) #10

jeśli wszystko będzie OK usuń ręcznie folder C: \Qoobox

usuń instalkę Combofix z dysku.

włącz przywracanie systemu

:slight_smile: