υπόπτα αρχεία svchost.exe

[Χάρης Μυλωνίδης]

Καλημέρα βρήκα 5 ύποπτα αρχεία svchost πρέπει να τα σβήσω;

Αν ναι πως θα γίνει να σβήσω μόνο αυτά και όχι κάτι άλλο;

Απο ότι φαίνεται στην φωτό δεν υπάρχουν κάποια services να συνεργάζονται με τα εν λόγω αρχεία.

 

[Sheogorath]

Ναι, άμεσα!

 

Λογικά έχεις bitcoin miner

[Χάρης Μυλωνίδης]

πως θα γίνει να τα σβήσω;

μπήκα στο φάκελο c:\windows\system32 και είδα ότι υπάρχει ένα svchost, πως θα ξέρω ποιο να σβήσω;

[Sheogorath]

Κάνε αυτό

 

https://forums.malwarebytes.org/index.php?/topic/125534-cant-remove-bitcoin-miner-and-svchostexe-virus/

 

Δούλεψε σε πάρα πολλούς εδώ μέσα και απαιτεί μόνο 5 λεπτά!

[Χάρης Μυλωνίδης]

έτρεξα το RogueKiller και με πήγε εδώ με το browser.

ορίστε και η εικόνα απο το RogueKiller.

 

πάτησα delete αλλά τα ξανα βγάζει, τι κάνω;

[Sheogorath]

Αυτό εδώ το έκανες?

 

 

 

"Run RogueKiller again and click Scan
When the scan completes > click on the Registry tab
Put a check next to all of these and uncheck the rest: (if found)
 

[RUN][sUSP PATH] HKLM\[...]\Wow6432Node\Run : Adobe (C:\Users\Sean\AppData\Roaming\Adobe\color.vbe) [-] -> FOUND

Now click Delete on the right hand column under Options


Please download and run ComboFix.

The most important things to remember when running it is to disable all your malware programs and run Combofix from your desktop.

http://www.bleepingc...to-use-combofix

Ensure you have disabled all anti virus and anti malware programs so they do not interfere with the running of ComboFix.

Information on disabling your malware programs can be found Here.

Make sure you run ComboFix from your desktop.
 

If you get the message Illegal operation attempted on registry key that has been marked for deletion after you run ComboFix....please reboot the computer, this should resolve the problem. You may have to do this several times if needed.
"

........................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................

 

Ειναι η απάντηση 4. Χτυπάει συνέχεια και η ειδοποίηση για Greeklish

 

Ας βάλω ένα random κείμενο στα ελληνικά:

 

Σε γνωρίζω από την κόψη του σπαθιού την τρομερή, σε γνωρίζω από την όψη που με βια μετράει την γη. Απ’ τα κόκκαλα βγαλμένη των Ελλήνων τα ιερά, και σαν πρώτα ανδρειωμένη, χαίρε, ω χαίρε, Ελευθεριά! (× 3)

[Χάρης Μυλωνίδης]

το combo fix δεν το είχα τρέξει, το έτρεξα τώρα όχι σαν αντμιν μέσα απο safe mode with networking.

αλλά δεν έκανε κάτι, πάλι εμφανίζονται τα αρχεία αυτά svchost.

πάρε το αρχείο καταγραφής απο το combo fix αν βοηθάει καθόλου.

 

ComboFix 15-05-09.01 - Xaris 10/05/2015 12:28:31.2.4 - x86 NETWORK
Microsoft Windows 7 Ultimate 6.1.7601.1.1253.30.1033.18.2046.1469 [GMT 3:00]
Running from: d:\apps\XRHSIMA\ComboFix.exe
AV: COMODO Antivirus *Enabled/Updated* {F0BC89B2-8937-0933-021B-B17D981F2A71}
SP: Comodo Defense+ *Enabled/Updated* {4BDD6856-AF0D-06BD-38AB-8A0FE39860CC}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Created a new restore point
.
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_WiseBootAssistant
.
.
((((((((((((((((((((((((( Files Created from 2015-04-10 to 2015-05-10 )))))))))))))))))))))))))))))))
.
.
2015-05-10 09:37 . 2015-05-10 09:37 -------- d-----w- c:\users\Φώτης_Φωτεινή\AppData\Local\temp
2015-05-10 09:37 . 2015-05-10 09:37 -------- d-----w- c:\users\Public\AppData\Local\temp
2015-05-10 09:37 . 2015-05-10 09:37 -------- d-----w- c:\users\Guest\AppData\Local\temp
2015-05-10 09:37 . 2015-05-10 09:37 -------- d-----w- c:\users\Default\AppData\Local\temp
2015-05-10 09:37 . 2015-05-10 09:37 -------- d-----w- c:\users\Administrator\AppData\Local\temp
2015-05-09 13:57 . 2015-05-09 14:28 35064 ----a-w- c:\windows\system32\drivers\TrueSight.sys
2015-05-09 13:56 . 2015-05-09 13:59 -------- d-----w- c:\programdata\RogueKiller
2015-04-25 10:35 . 2015-04-25 10:35 -------- d-----w- c:\program files\FinalWire
2015-04-20 09:28 . 2015-04-20 09:28 -------- d-----w- c:\users\Xaris\AppData\Local\Steam
2015-04-20 09:24 . 2015-04-20 11:49 -------- d-----w- c:\program files\Common Files\Steam
2015-04-20 09:24 . 2015-05-10 09:18 -------- d-----w- c:\program files\Steam
2015-04-15 15:55 . 2015-04-15 15:55 -------- d-----w- c:\windows\system32\appraiser
2015-04-15 10:46 . 2015-03-05 04:06 305152 ----a-w- c:\windows\system32\gdi32.dll
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2015-05-09 11:41 . 2015-03-14 10:50 72704 ----a-w- c:\windows\system32\eamclean.exe
2015-04-15 17:24 . 2014-11-12 15:03 114904 ----a-w- c:\windows\system32\drivers\MBAMSwissArmy.sys
2015-04-15 12:40 . 2013-12-17 10:36 778416 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2015-04-15 12:40 . 2013-12-17 10:36 142512 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2015-04-01 17:49 . 2013-09-24 08:54 91200 ----a-w- c:\windows\system32\drivers\inspect.sys
2015-04-01 17:49 . 2013-09-24 08:54 41248 ----a-w- c:\windows\system32\drivers\cmdhlp.sys
2015-04-01 17:49 . 2013-11-14 09:38 621144 ----a-w- c:\windows\system32\drivers\cmdguard.sys
2015-04-01 17:49 . 2013-09-24 08:54 17088 ----a-w- c:\windows\system32\drivers\cmderd.sys
2015-04-01 17:48 . 2013-11-14 09:38 33520 ----a-w- c:\windows\system32\cmdcsr.dll
2015-04-01 17:48 . 2013-09-24 08:53 444472 ----a-w- c:\windows\system32\guard32.dll
2015-04-01 17:45 . 2013-09-24 08:53 288472 ----a-w- c:\windows\system32\cmdvrt32.dll
2015-04-01 17:45 . 2013-09-24 08:53 40664 ----a-w- c:\windows\system32\cmdkbd32.dll
2015-03-25 11:27 . 2013-12-26 11:18 324096 ----a-w- c:\windows\system32\drivers\sptd.sys
2015-03-24 16:42 . 2009-07-13 22:09 3128320 ----a-w- c:\windows\system32\nvwgf2um.dll
2015-03-24 16:42 . 2009-06-10 21:19 7592960 ----a-w- c:\windows\system32\nvd3dum.dll
2015-03-24 16:42 . 2009-07-13 22:09 9853248 ----a-w- c:\windows\system32\drivers\nvlddmkm.sys
2015-03-24 16:39 . 2015-03-24 16:32 207872 ----a-w- c:\windows\PAExec.exe
2015-03-12 10:49 . 2015-03-12 10:49 19984 ----a-w- c:\windows\system32\drivers\EsgScanner.sys
2015-03-12 10:25 . 2015-03-12 10:25 1230848 ----a-w- c:\windows\system32\WindowsCodecs.dll
2015-03-12 10:25 . 2015-03-12 10:25 2744320 ----a-w- c:\windows\system32\rdpcorets.dll
2015-03-12 10:25 . 2015-03-12 10:25 221184 ----a-w- c:\windows\system32\rdpudd.dll
2015-03-12 10:25 . 2015-03-12 10:25 13824 ----a-w- c:\windows\system32\RdpGroupPolicyExtension.dll
2015-03-12 10:25 . 2015-03-12 10:25 828928 ----a-w- c:\windows\system32\msctf.dll
2015-03-12 10:25 . 2015-03-12 10:25 2381312 ----a-w- c:\windows\system32\win32k.sys
2015-03-12 10:24 . 2015-03-12 10:24 171520 ----a-w- c:\windows\system32\ubpm.dll
2015-03-12 10:24 . 2015-03-12 10:24 299008 ----a-w- c:\windows\system32\atmfd.dll
2015-03-12 10:24 . 2015-03-12 10:24 26624 ----a-w- c:\windows\system32\lpk.dll
2015-03-12 10:24 . 2015-03-12 10:24 70656 ----a-w- c:\windows\system32\fontsub.dll
2015-03-12 10:24 . 2015-03-12 10:24 34304 ----a-w- c:\windows\system32\atmlib.dll
2015-03-12 10:24 . 2015-03-12 10:24 10240 ----a-w- c:\windows\system32\dciman32.dll
2015-03-12 10:24 . 2015-03-12 10:24 417792 ----a-w- c:\windows\system32\WMPhoto.dll
2015-03-12 10:23 . 2015-03-12 10:23 3209728 ----a-w- c:\windows\system32\mf.dll
2015-03-12 10:23 . 2015-03-12 10:23 1174528 ----a-w- c:\windows\system32\crypt32.dll
2015-03-12 10:23 . 2015-03-12 10:23 370488 ----a-w- c:\windows\system32\drivers\cng.sys
2015-03-12 10:23 . 2015-03-12 10:23 78784 ----a-w- c:\windows\system32\drivers\mountmgr.sys
2015-03-12 10:23 . 2015-03-12 10:23 521384 ----a-w- c:\windows\system32\winload.exe
2015-03-12 10:23 . 2015-03-12 10:23 1329664 ----a-w- c:\windows\system32\quartz.dll
2015-03-12 10:23 . 2015-03-12 10:23 988160 ----a-w- c:\windows\system32\drmv2clt.dll
2015-03-12 10:23 . 2015-03-12 10:23 519680 ----a-w- c:\windows\system32\qdvd.dll
2015-03-12 10:23 . 2015-03-12 10:23 1005056 ----a-w- c:\windows\system32\cryptui.dll
2015-03-12 10:23 . 2015-03-12 10:23 744960 ----a-w- c:\windows\system32\blackbox.dll
2015-03-12 10:23 . 2015-03-12 10:23 157184 ----a-w- c:\windows\system32\pcasvc.dll
2015-03-12 10:23 . 2015-03-12 10:23 617984 ----a-w- c:\windows\system32\wmdrmsdk.dll
2015-03-12 10:23 . 2015-03-12 10:23 179200 ----a-w- c:\windows\system32\wintrust.dll
2015-03-12 10:23 . 2015-03-12 10:23 103936 ----a-w- c:\windows\system32\cryptnet.dll
2015-03-12 10:23 . 2015-03-12 10:23 489984 ----a-w- c:\windows\system32\evr.dll
2015-03-12 10:23 . 2015-03-12 10:23 354816 ----a-w- c:\windows\system32\mfplat.dll
2015-03-12 10:23 . 2015-03-12 10:23 406016 ----a-w- c:\windows\system32\drmmgrtn.dll
2015-03-12 10:23 . 2015-03-12 10:23 504320 ----a-w- c:\windows\system32\msscp.dll
2015-03-12 10:23 . 2015-03-12 10:23 143872 ----a-w- c:\windows\system32\cryptsvc.dll
2015-03-12 10:23 . 2015-03-12 10:23 475136 ----a-w- c:\windows\system32\audiosrv.dll
2015-03-12 10:23 . 2015-03-12 10:23 100864 ----a-w- c:\windows\system32\audiodg.exe
2015-03-12 10:23 . 2015-03-12 10:23 374784 ----a-w- c:\windows\system32\AudioEng.dll
2015-03-12 10:23 . 2015-03-12 10:23 265216 ----a-w- c:\windows\system32\msnetobj.dll
2015-03-12 10:23 . 2015-03-12 10:23 50176 ----a-w- c:\windows\system32\rrinstaller.exe
2015-03-12 10:23 . 2015-03-12 10:23 28160 ----a-w- c:\windows\system32\pcadm.dll
2015-03-12 10:23 . 2015-03-12 10:23 442880 ----a-w- c:\windows\system32\AUDIOKSE.dll
2015-03-12 10:23 . 2015-03-12 10:23 593920 ----a-w- c:\windows\system32\drivers\PEAuth.sys
2015-03-12 10:23 . 2015-03-12 10:23 50688 ----a-w- c:\windows\system32\appidapi.dll
2015-03-12 10:23 . 2015-03-12 10:23 103424 ----a-w- c:\windows\system32\mfps.dll
2015-03-12 10:23 . 2015-03-12 10:23 96768 ----a-w- c:\windows\system32\appidpolicyconverter.exe
2015-03-12 10:23 . 2015-03-12 10:23 195584 ----a-w- c:\windows\system32\AudioSes.dll
2015-03-12 10:23 . 2015-03-12 10:23 9728 ----a-w- c:\windows\system32\pcawrk.exe
2015-03-12 10:23 . 2015-03-12 10:23 81408 ----a-w- c:\windows\system32\cryptsp.dll
2015-03-12 10:23 . 2015-03-12 10:23 27648 ----a-w- c:\windows\system32\appidsvc.dll
2015-03-12 10:23 . 2015-03-12 10:23 23040 ----a-w- c:\windows\system32\mfpmp.exe
2015-03-12 10:23 . 2015-03-12 10:23 8192 ----a-w- c:\windows\system32\pcalua.exe
2015-03-12 10:23 . 2015-03-12 10:23 50176 ----a-w- c:\windows\system32\setbcdlocale.dll
2015-03-12 10:23 . 2015-03-12 10:23 275968 ----a-w- c:\windows\system32\EncDump.dll
2015-03-12 10:23 . 2015-03-12 10:23 10752 ----a-w- c:\windows\system32\msmmsp.dll
2015-03-12 10:23 . 2015-03-12 10:23 50176 ----a-w- c:\windows\system32\drivers\appid.sys
2015-03-12 10:23 . 2015-03-12 10:23 16896 ----a-w- c:\windows\system32\appidcertstorecheck.exe
2015-03-12 10:23 . 2015-03-12 10:23 8192 ----a-w- c:\windows\system32\spwmp.dll
2015-03-12 10:23 . 2015-03-12 10:23 4096 ----a-w- c:\windows\system32\dxmasf.dll
2015-03-12 10:23 . 2015-03-12 10:23 8704 ----a-w- c:\windows\system32\pcaevts.dll
2015-03-12 10:23 . 2015-03-12 10:23 4096 ----a-w- c:\windows\system32\msdxm.ocx
2015-03-12 10:23 . 2015-03-12 10:23 12625408 ----a-w- c:\windows\system32\wmploc.DLL
2015-03-12 10:23 . 2015-03-12 10:23 2048 ----a-w- c:\windows\system32\mferror.dll
2015-02-28 15:43 . 2010-02-08 05:33 165272 ----a-w- c:\windows\system32\appverif.exe
2015-02-17 14:04 . 2015-02-17 14:04 1202848 ----a-w- c:\windows\system32\FM20.DLL
2015-02-11 08:55 . 2015-02-11 08:55 82392 ----a-w- c:\windows\system32\xktoday.scr
2015-02-11 08:40 . 2015-02-11 08:40 76800 ----a-w- c:\windows\system32\wdi.dll
2015-02-11 08:40 . 2015-02-11 08:40 635904 ----a-w- c:\windows\system32\perftrack.dll
2015-02-11 08:40 . 2015-02-11 08:40 27136 ----a-w- c:\windows\system32\powertracker.dll
2015-02-11 08:39 . 2015-02-11 08:39 571904 ----a-w- c:\windows\system32\oleaut32.dll
2015-02-11 08:37 . 2015-02-11 08:37 308224 ----a-w- c:\windows\system32\scesrv.dll
.
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2015-03-16 399736]
"XarkaToday"="c:\program files\Today Calendar\Today.exe" [2015-02-11 3518680]
"Steam"="c:\program files\Steam\steam.exe" [2015-04-20 2889408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2012-06-11 10996368]
"COMODO Internet Security"="c:\program files\COMODO\COMODO Internet Security\cistray.exe" [2015-04-20 1359064]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2013-05-30 96056]
.
c:\users\Xaris\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
FastStone Capture.lnk - d:\apps\XRHSIMA\Fast Stone Capture 7.6 Portable\FSCapture.exe -Silent [2013-11-23 1264640]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDeletePrinter"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\hitmanpro37]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\hitmanpro37.sys]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HitmanPro37Crusader]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HitmanPro37CrusaderBoot]
@=""
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]
2013-09-05 14:04 3478392 ----a-w- c:\program files\Adobe\Acrobat 11.0\Acrobat\acrotray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2013-09-05 14:04 958576 ----a-w- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeAAMUpdater-1.0]
2012-09-20 05:27 444904 ----a-w- c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
2009-02-26 16:36 30040 ----a-w- c:\program files\Microsoft Office\Office12\GrooveMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HD Tune Pro]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRISOVM.EXE]
2011-11-15 03:50 312376 ----a-w- c:\program files\PowerISO\PWRISOVM.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2014-01-17 14:24 421888 ----a-w- c:\program files\QuickTime\QTTask.exe
.
R2 MBAMService;MBAMService;c:\program files\Malwarebytes Anti-Malware\mbamservice.exe [2015-01-22 969016]
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [2015-01-02 315488]
R3 cleanhlp;cleanhlp;c:\emsisoft\bin\cleanhlp32.sys [2015-03-13 50200]
R3 cmdvirth;COMODO Virtual Service Manager;c:\program files\COMODO\COMODO Internet Security\cmdvirth.exe [2015-04-20 1664728]
R3 dmvsc;dmvsc;c:\windows\system32\drivers\dmvsc.sys [2010-11-20 62464]
R3 EsgScanner;EsgScanner;c:\windows\system32\DRIVERS\EsgScanner.sys [2015-03-12 19984]
R3 IEEtwCollectorService;Internet Explorer ETW Collector Service;c:\windows\system32\IEEtwCollector.exe [2015-03-13 102912]
R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\MBAMSwissArmy.sys [2015-04-15 114904]
R3 MBAMWebAccessControl;MBAMWebAccessControl;c:\windows\system32\drivers\mwac.sys [2015-01-22 51928]
R3 netr28u;RT2870 USB Wireless LAN Card Driver for Vista;c:\windows\system32\DRIVERS\netr28u.sys [2009-07-13 657408]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2012-08-23 14848]
R3 Revoflt;Revoflt;c:\windows\system32\DRIVERS\revoflt.sys [2015-01-27 27192]
R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\synth3dvsc.sys [2010-11-20 77184]
R3 terminpt;Microsoft Remote Desktop Input Driver;c:\windows\system32\drivers\terminpt.sys [2012-08-23 24064]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2013-10-02 49152]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [2012-08-23 27136]
R3 tsusbhub;tsusbhub;c:\windows\system32\drivers\tsusbhub.sys [2010-11-20 112640]
R3 WatAdminSvc;Windows Activation Technologies Service;c:\windows\system32\Wat\WatAdminSvc.exe [2012-04-22 1343400]
S0 sptd;sptd;c:\windows\\SystemRoot\System32\Drivers\sptd.sys [x]
S1 A2DDA;A2 Direct Disk Access Support Driver;c:\emsisoft\bin\a2ddax86.sys [2015-03-13 22056]
S1 cmderd;COMODO Internet Security Eradication Driver;c:\windows\system32\DRIVERS\cmderd.sys [2015-04-01 17088]
S1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\DRIVERS\cmdguard.sys [2015-04-01 621144]
S2 GsServer;GoodSync Server;C:/Program Files/Siber Systems/GoodSync/gs-server.exe /service [x]
S2 MBAMScheduler;MBAMScheduler;c:\program files\Malwarebytes Anti-Malware\mbamscheduler.exe [2015-01-22 1871160]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2015-01-22 23256]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2011-09-29 490088]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ SSDPSRV upnphost SCardSvr TBS fdrespub AppIDSvc QWAVE wcncsvc SensrSvc
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
HPService REG_MULTI_SZ HPSLPSVC
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2015-04-29 17:11 988488 ----a-w- c:\program files\Google\Chrome\Application\42.0.2311.135\Installer\chrmstp.exe
.
Contents of the 'Scheduled Tasks' folder
.
2015-05-10 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2013-12-17 12:40]
.
2015-05-10 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2014-06-07 16:13]
.
2015-05-10 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2014-06-07 16:13]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://gr.yahoo.com?fr=fp-comodo
uInternet Settings,ProxyOverride = *.local
IE: E&ξαγωγή στο Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
TCP: Interfaces\{9C063D59-925D-4501-91FA-B726CBEB46FC}: NameServer = 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1
FF - ProfilePath - c:\users\Xaris\AppData\Roaming\Mozilla\Firefox\Profiles\jopqx6m9.default-1424253271107\
.
- - - - ORPHANS REMOVED - - - -
.
SafeBoot-CleanHlp
SafeBoot-CleanHlp.sys
.
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\GsServer]
"ImagePath"="\"C:/Program Files/Siber Systems/GoodSync/gs-server.exe\" /service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\GsServer]
"ImagePath"="\"C:/Program Files/Siber Systems/GoodSync/gs-server.exe\" /service"
.
--------------------- LOCKED REGISTRY KEYS ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\cmdAgent\Mode\Configurations]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,59,00,53,00,\
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\cmdAgent\Mode\Data]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\cmdAgent\Mode\Options]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
[HKEY_LOCAL_MACHINE\SYSTEM\Software\COMODO\Cam]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
[HKEY_LOCAL_MACHINE\SYSTEM\Software\COMODO\Firewall Pro]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,59,00,53,00,\
.
--------------------- DLLs Loaded Under Running Processes ---------------------
.
- - - - - - - > 'Explorer.exe'(4804)
c:\windows\system32\prnfldr.dll
c:\windows\system32\dxp.dll
c:\windows\System32\netshell.dll
c:\windows\system32\Wlanapi.dll
.
------------------------ Other Running Processes ------------------------
.
c:\program files\COMODO\COMODO Internet Security\cmdagent.exe
c:\program files\Siber Systems\GoodSync\gs-server.exe
c:\program files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\program files\COMODO\COMODO Internet Security\cavwp.exe
c:\windows\System32\WUDFHost.exe
c:\windows\system32\taskhost.exe
c:\program files\Microsoft Mouse and Keyboard Center\itype.exe
c:\program files\Microsoft Mouse and Keyboard Center\ipoint.exe
c:\windows\system32\conhost.exe
c:\windows\system32\DllHost.exe
c:\windows\system32\sppsvc.exe
c:\program files\COMODO\COMODO Internet Security\cis.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Completion time: 2015-05-10 12:45:14 - machine was rebooted
ComboFix-quarantined-files.txt 2015-05-10 09:45
.
Pre-Run: 16.413.134.848 bytes free
Post-Run: 15.930.830.848 bytes free
.
- - End Of File - - 85B18D04C4D15695CB43BA6B5226C726
A36C5E4F47E84449FF07ED3517B43A31

 

 

όσο για το RogueKiller τα έκανα αυτά που λέει για το registry.

[Sheogorath]

Εχμμμ. Να ρωτήσω, κανα Anitvirus έχεις? Mάλλον είναι επίμονα. Προτείνω το Avast.

 

Τώρα για κάτι παραπάνω δεν γνωρίζω, θα διαβάσω λίγο και θα επανέλθω αν βρω κάτι έξτρα το απόγευμα.

 

Καλή τύχη!

[Χάρης Μυλωνίδης]

Antivirus ναι έχω της comodo.

δεν γίνεται να τα αφαιρέσω μέσα απο το autoruns των sysyinternals tools;

[flik]

Δεν ξέρω γιατί ντε και καλά πιστεύεις οτι έχεις ιό. Το πρόγραμμα που σου δείχνει οτι είναι ύποπτα τα αρχεία δεν το γνωρίζω, αλλά καλύτερα κάνε τα εξής.

Κατέβασε και σκάναρε με το TDSSKiller (ψάχνει για rootkits)
http://usa.kaspersky.com/downloads/TDSSKiller

 

Σκάναρε με hitmanpro και zemana antimalware. Και τα δυο δωρεάν για trial. Μετά τα αφαιρείς όταν κάνουν τη δουλειά τους. Δες τα στο google.

 

Τρέξε και το eset online scanner αν θες να είσαι ακόμα πιο σίγουρος.

 

 

Όσο αφορά το startup, έχει το comodo ένα πολύ καλό εργαλείο (autorun analyzer).

Δε θυμάμαι αν είανι ενσωματωμένο στο antivirus τους, αλλιώς υπάρχει σε αυτό το πακέτο που μεταξύ άλλων περιέχει και process analyzer:

https://www.comodo.com/business-security/network-protection/cleaning_essentials.php

[Χάρης Μυλωνίδης]

οκ θα τα δοκιμασώ, το tdsskiller το έχω δοκιμάσει δεν έδειξε κάτι.

[rfc]

Εγω πιστευω οτι δεν εισαι μολυσμενος.......

[Χάρης Μυλωνίδης]

το βρήκα σε ένα σάϊτ εδώ, το πρόγραμμα αυτό.

Δεν ξέρω μου φαίνεται περίεργο και ύποπτο που δεν υπάρχουν services στα αρχεία αυτά.

Μπορεί να έχει δίκιο ο @Sheogorath να είναι κάποιο bitcoin miner ή κάποιο rootkit

[flik]

Μια βλακεία πρόγραμμα είναι.

Κι εμένα μου βγάζει 2 warnings ίδια με τα δικά σου.

 

Τα rootkits είναι δύσκολο να αφαιρεθούν, αλλά με τόσα προγράμματα αν τα έτρεξες, θα υπήρχε κάποια ένδειξη παραπάνω. Ιδίως με combofix και tdsskiller θα έδειχναν κάτι.