Svchost_b.exe | Win32:Delf-LRY

taknie · 21 Styczeń 2009 12:59

Witam.

Ostatnio nie zachowałem ostrożności i uruchomiłem wcześniej nie przeskanowany plik, po którym to uruchomieniu komputer zaczął intensywnie myśleć, pojawił się duplikat tego zawirusowanego pliku pod tą samą nazwą z rozszerzeniem pliku wykonywalnego. Komputera nie restartowałem, zeskanowałem plik na jotti, ale tylko avast! wykrył zagrożenie o nazwie: Win32:Delf-LRY. Zainstalowałem avasta! w wersji 4.8, zeskanowałem wszystkie pliki przed uruchomieniem systemu (jak radził avast!). Wykrył chyba 4 wirusy, co ciekawe w dużo starszych plikach, np. w pliku z programem polepszającym jakość muzyki pobranym z rapidshare’a (wiadomo, że w większości takich plików są “bonusy” - pliku nigdy wcześniej nie uruchamiałem), jednak dziwi mnie to, że wykrył dokładnie wirusa o tej samej nazwie Win32:Delf-LRY. Może to zbieg okoliczności, może nie. Usunąłem wszystkie wykryte przez avasta! zakażone pliki i dalej kontynuowałem zwyczajną pracę na komputerze. Dzisiaj natomiast po uruchomieniu systemu postanowiłem wyłączyć uciążliwe aktualizacje w avast! i przy uruchamianiu programu (badanie pamięci) wykryty został inny wirus o nazwie svchost_b.exe, znajdujący się w C:\WINDOWS\svchost_b. Google powiedziało mi tylko, że optymalnym programem do usunięcia tego pliku będzie program Easy SpyRemover (opis virusa z google w pdf). Program ściągnąłem ze strony głównej w wersji 4.4. Oczywiście tenże super reklamowany produkt nie wykrył kompletnie nic (może to dlatego, że przeniosłem w avast! zainfekowany plik do “skrzynki”). Według jotti oraz tego pdf nie jest to chyba jakiś groźny wirus (oczywiście z tego co ja zrozumiałem) jednak chciałbym dowiedzieć się dokładnie co siedzi na kompie, gdzie znajdują się tego pliki, a najlepiej jak to usunąć. Mam nadzieje, że wyjaśniłem problem dość szczegółowo oraz na tyle dobrze żeby ktoś mógł mi pomóc.

Pozdrawiam.

sebos_krk · 21 Styczeń 2009 13:08

Zastosuj się do tego tematu i wrzuć na forum logi z Hijacka oraz ComboFixa.

Logi wklej na http://wklejto.pl/ lub http://wklej.org

Na forum daj tylko link.

taknie · 21 Styczeń 2009 14:43

Przepraszam, ale tak się rozpisałem, że zapomniałem dodać iż logi, przynajmniej z HJT są według mnie czyste:

http://wklej.org/hash/ca4d28d951/

A tych z Combofixa nie umiem analizować, ale też wydają się być czyste, poza tym, że znalazłem jeden wpis dotyczący “svchost_b”:

http://wklej.org/hash/362a545797/

Z logów Combofixa pousuwałem niepotrzebne wpisy żeby było to chociaż trochę przejrzyste, bo muszę dodać, że mój młodszy brat (raczej humanista) ma ogromny talent do instalowania wszelkiego rodzaju badziewia, a wiadomo kto to później ma czyścić :s

A tak przy okazji zapytam o program, który bardzo ładnie wyświetlał o bodajże czterech “najważniejszych” portach (kolor zielony - ok, zamkniety; żółty - istnieje zagrożenie; czerwony - otwarty, a powinien być zamkniety) z możliwością ich zabezpieczenia, ale na śmierć zapomniałem jak się nazywał, a google wyświetla masę innych programów

Wracając do tematu, mam nadzieję, że teraz jest już wszystko ok i ktoś postara się mi pomóc.

Pozdrawiam.

huber2t · 21 Styczeń 2009 15:21

Program nazywał się WWDC

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

c:\windows\SDA19E513.tmp

c:\temp\flasm.exe


Folder::

c:\windows\svchost_b

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link

taknie · 21 Styczeń 2009 16:35

Dziękuje za nazwę programu. Dokładnie tego szukałem.

Proszę bardzo logi:

http://wklej.org/hash/8647886028/

Niestety pliku “SDA19E513.tmp” nie dało się usunąć o czym informują logi :s Może operację trzeba przeprowadzić w trybie awaryjnym?

Plik flasm.exe usunąłem, chociaż wiem, że nie jest to szkodliwy plik (chyba, że go zainfekowało).

Proszę o dalsze rady.

Pozdrawiam.

huber2t · 21 Styczeń 2009 16:41

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

c:\windows\system32\addcc0.dll

c:\windows\system32\4c4eb0.dll

c:\windows\system32\29e99692.dll

c:\windows\system32\22edd67.dll

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link

taknie · 21 Styczeń 2009 17:15

http://wklej.org/hash/b660fcf0fb/

huber2t · 21 Styczeń 2009 17:36

W logu nic nie widzę

usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.

Przeczyść system Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

lub

Dr.WEB CureIt!