Problem z cvchost


(Qbaloz1991) #1

Witam wszystkich użytkowników forum.

Potrzebuję pomocy. Dzisiaj, gdy włączyłem komputer antywirus znalazł kilka wirusów. Z większością sobie poradziłem. Problem polega na tym, że na stronie Hijack wyświetla mi, że cvchost.exe to wirus. Troszkę poczytałem w internecie i ludzie piszą, że jest to zwykły plik Windowsa.

Tutaj zaczyna się mój problem. Z jednej strony Hijack wyświetla, że to wirus, z drugiej system może przestać odpowiednio działać, gdy pozbędę się tego pliku.

Tutaj skan z hijack: http://www.wklej.org/id/90762/

Proszę o szybką pomoc. Od razu możecie podpowiedzieć czego się jeszcze pozbyć, co jest zbędne.

Dziękuję i czekam na pomoc,

Qbaloz


(Henio Mazurek) #2

Ludzie się mylą.

Od razu ComboFix i log z niego

viewtopic.php?p=1170959#p1170959

Wyłączasz na czas skanu antywirusa i zaporę.

Może będziesz miał szczęście i to nie okaże się Virutem.


(Qbaloz1991) #3

ComboFix poleciał.

Oto log.

http://www.wklej.org/id/90787/

http://www.wklej.org/id/90788/

Dwa, ponieważ jeden pojawił się po zakończeniu pracy programem ComboFix, drugi z pliku, który się zapisał. Tak szybko przejrzałem to wydają mi się inne, mogę się mylić, nigdy się tym nie bawiłem.


(Henio Mazurek) #4

Różnią się bo jeden uciąłeś. Nie wygląda na Viruta. ComboFix usunął co trzeba. Z tym cvchost to chyba zaliczyłeś literówkę.

Wklej do notatnika

Zapisz jako, Wszystkie pliki, Fix.reg. Dwuklik na ten plik, potwierdzasz dodanie do rejestru. Restart.

Usuwasz ręcznie c:\Qoobox i instalkę ComboFix z dysku. Wyłączasz na chwilę przywracanie systemu.

Czyścisz rejestr CCleanerem. Leczysz pamięci przenośne

http://www.searchengines.pl/index.php?s ... ntry369724

Sprawdzasz te pliki

na http://www.virustotal.com/pl/ i dajesz z tego raport.

Wykonujesz dokładny skan tym

http://dobreprogramy.pl/index.php?dz=2& ... lware+1.36

Usuwasz jeśli coś znajdzie i dajesz log.


(Qbaloz1991) #5

Co rozumiesz poprzez "leczenie pamięci przenośnych"?

Dodałem do rejestru, zrobiłem restart, wyczyściłem cclenerem.

Logi z tych 2 plików:

http://www.virustotal.com/pl/analisis/8 ... d4fe5dc030

http://www.virustotal.com/vt/pl/recepci ... 5c380544d5

Ten drugi log dziwny. Widzę, że się nie wyświetla nic po kliknięciu na link więc wkleję co mi się wyświetlało.

0 bytes size received / Se ha recibido un archivo vacio

Tutaj log ze skanowania tym programem.

http://www.wklej.org/id/90809/


(Henio Mazurek) #6

Uruchamiasz FlasDisinfector i w stosownym momencie podpinasz pendrive'a, przez chwilę zrobi się strasznie, ale pen będzie zdrowy i zabezpieczony na przyszłość, podobnie jak i dysk.

Wykonaj jeszcze skan dokładny Malwarebytes, jak coś znajdzie - usuń i daj log.

Ten drugi plik wyślij tu http://virusscan.jotti.org/en i pokaż raport.


(Qbaloz1991) #7

Przeskanowałem ten drugi plik na stronie http://virusscan.jotti.org/en i wyszło mi to samo:

File is empty (0 bytes)!

Obawiam się, że na dokładny skan tym programem będę musiał poczekać do jutra. To będzie trwało pewnie troszkę czasu.

Jeżeli program po dokładnym skanie nic nie wykryje to mogę czuć się bezpieczny?

Co zrobić jeszcze z tym svchost, który cały czas znajduje się na moim komputerze i jest wykrywany przez Hijack jako wirus?


(Henio Mazurek) #8

To usuń ten plik. (nie svchost)

W logu z CF go nie ma. Wrzuć go na VirusTotal. Jeśli był to systemowy svchost to przy szybkim skanie powinien być sprawdzony przez Malwarebytes.

Wrzuciłem teraz Twojego loga na ten automat i rzeczywiście coś takiego pokazuje. Tyle, że tam pisze file missing. BITS i aktualizacje podczepiają się pod svchost i w logu jest, że on nie istnieje ale wtedy pewnie by internet nie działał, może nawet komp by się resetował. Może HT się pomylił, bo jeszcze takiego układu nie widziałem.

Sprawdź svchost na virustotal i podaj wynik.


(Qbaloz1991) #9
Nie można usunąć 83395b89: Nie można odnaleźć określonego pliku. Sprawdź czy ścieżka i nazwa pliku są określone poprawnie.

Da rade jakoś inaczej to zrobić? Nie ręcznie.

Skanowanie svchost na virusTotal:

http://www.virustotal.com/pl/analisis/7 ... eae1e32718


(Leon$) #10

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

:slight_smile:


(Qbaloz1991) #11

Ok, tutaj jest raport.

http://www.wklej.org/id/90854/

Chyba wszystko poszło ok:)

Pozostało mi dogłębne przeskanowanie komputera, ale to już niestety robota na jutro.


(Gutek) #12

Na koniec skan http://www.kaspersky.pl/virusscanner.html + raport


(Qbaloz1991) #13

Skan programem Malwarebytes' Anti-Malware:

http://www.wklej.org/id/91087/

Teraz mam pytanie. Czy gdy kliknę "usuń zaznaczone" to te wirusy zostaną pomyślnie usunięte z mojego komputera? Gdzieś wyczytałem, że płatna wersja tego programu kasuje, a publiczna jedynie wykrywa wirusy.


(Henio Mazurek) #14

Usuń - powinno się usunąć. Jeśli nie, wchodzisz w opcje folderów, zaznaczasz pokazywanie ukrytych plików i odznaczasz ukrywanie plików systemowych, następnie wchodzisz w C:\Recycler i usuwasz siłą pliki wskazane przez Malwarebytes.

Potem tylko wyłączasz na chwilę przywracanie systemu i powinno być OK.


(Qbaloz1991) #15

Wygląda na to, że nadal tam są. Siłowo nie mogę usunąć. Mógłbyś dać skrypt do tego programu Avanger? Nie chce sam nic pisać, bo jeszcze coś zepsuje i będzie lipa.


(deFco247) #16

Wklej do notatnika:

Files to delete:

C:\RECYCLER\S-1-5-21-1659004503-492894223-854245398-1003\Dc3\Quarantine\C\Documents and Settings\Janusz\file.exe.vir

C:\RECYCLER\S-1-5-21-1659004503-492894223-854245398-1003\Dc3\Quarantine\C\WINDOWS\system32\drivers\ati64si.sys.vir

C:\System Volume Information\_restore{DAF04A18-9F19-49AE-A6F6-6A4729774E37}\RP198\A0162179.sys

C:\System Volume Information\_restore{DAF04A18-9F19-49AE-A6F6-6A4729774E37}\RP198\A0162183.exe

Jeśli już wyłączyłeś Przywracanie systemu, to usuń dwie ostatnie linijki ze skryptu.