pcmark.info

Nevím jak to bude nějak platné s virama se nekamarádím, ale všiml jsem si že ti ty programy vyhazujou určitý adresy s odkazama na registry. Co je zkusit smazat, třeba by tím ta "nákazu" ztratila nějakou komunikaci a přestalo by ti to schazovat.

Ryan píše:

oyza píše:kdyz to tak ctu, neni nad to ten disk prsknout do jineho pc, ktery ma nejaky solidni av a projet to tam

na tohle jsou antiviry krátké... pokud znáš A co umí detekovvat a mazat rootkity na slušné úrovni, rád se nechám poučit

dobra, taky samozrejme adaware a spybot. nekoumal jsem co tam ma za s****u, ale evidentne to bude nejaka vymazlena zapklitost

ještě jeden dotaz - nemohlo ComboFixu bránit ve fixnutí to, že byl spuštěný antivir s rezidentní ochranou ?

ano mohlo

Dále jsem projel komp AVG Anti-Rootkit, který ohlásil tento rootkit:
Windows/system32/drivers/aol87gj4.sys - Hidden driver file

Díky - ComboFix to shodilo i s touto změnou, zkusil jsem Avanger v nouzovém režimu, po jeho restartu to v přihlašovací tabulce windowsu opět restarovalo. Po vypnutí a následném zapnutí PC se objevil report Avaneru:
ALogfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\qcfdjeba

*******************

Script file located at: \??\C:\Documents and Settings\^sscheed.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\sslzdlt.dll not found!
Deletion of file C:\WINDOWS\sslzdlt.dll failed!

Could not process line:
C:\WINDOWS\sslzdlt.dll
Status: 0xc0000034

File C:\WINDOWS\system32\affv11952p1now.sys deleted successfully.


Registry key \Registry\Machine\System\CurrentControlSet\Services\affv11952p1now not found!
Unload of driver affv11952p1now failed!

Could not process line:
affv11952p1now
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


Ještě předtím než jsem dělal toto mi bylo doporučené, abych použil v Avangeru tento script:
Files to delete:
C:\WINDOWS\DUMP5d7e.tmp
C:\Program Files\tmp128484.exe
C:\Program Files\tmp130257.exe
C:\Program Files\tmp1883298.exe
C:\Program Files\tmp1884129.exe
C:\Program Files\tmp18904403.exe
C:\Program Files\tmp18918984.exe
C:\Program Files\tmp40117.exe
C:\Program Files\tmp41439.exe
C:\Program Files\tmp42390.exe
C:\Program Files\tmp42410.exe
C:\Program Files\tmp43973.exe
C:\Program Files\tmp44904.exe
C:\Program Files\tmp44924.exe
C:\Program Files\tmp5458078.exe
C:\Program Files\tmp5461322.exe

a pak projel skenem pomocí MWAV -
to jsem udělal, ale MWAV "pro změnu" restartoval i v nouzovém režimu,.ale stačil jsem opsat tyto hlášky o napadení :
Objekt "trojan-downloader.bat.ftp.ab Trojan Downloader"
Objekt "trojan-downloader.bat.ftp.ab Trojan Downloader"
Objekt "trojan-downloader.bat.ftp.ab Trojan Downloader"
Soubor C/avanger/backup.zip/avanger/tmp128484.exe//PE_Patch_PECompact/PecBundle/PECompact je infikován virem Trojan-Downloader.Win32.Alphabet.gen (některá lomítka jsou obrácená)
- toto bylo v nouzovém režimu, v normálním bylo ještě něco o viru Kazaa, bohužel to jsem nestačil zapsat

Jinak moc dík za čas, budu zkoušet všechno, doufám, že se to nakonec podaří

oyza píše:kdyz to tak ctu, neni nad to ten disk prsknout do jineho pc, ktery ma nejaky solidni av a projet to tam

na tohle jsou antiviry krátké... pokud znáš A co umí detekovvat a mazat rootkity na slušné úrovni, rád se nechám poučit

kdyz to tak ctu, neni nad to ten disk prsknout do jineho pc, ktery ma nejaky solidni av a projet to tam

to už jsme zkoušeli, bohužel mi to shazuje i ComboFix

tohle je jiná script... tam v tom prvním jsem zapomněl ještě jedny dvojtečky, dole už jsou... ale pokud to shazuje i tak, stáhni program Avenger z http://www.spyware.cz/spyware.cz/download/avenger.exe --> spusť --> zadej volbu Input script manually --> klik na lupu --> do nového okna vlož text:

Files to delete:
C:\WINDOWS\sslzdlt.dll
C:\WINDOWS\system32\affv11952p1now.sys

Drivers to unload:
affv11952p1now

--> klik na DONE --> klik na semafor --> vše potvrď --> po restartu zašli log, který ti program vyhodí.

VŠE DĚLEJ V NOUZOVÉM REŽIMU!

ivanti píše:grafikou to asi nebude, před cca 3-4 týdny to šlapalo ještě normálně a mezitím jsem neinstaloval nové ovladače. Jinak nevím kde mám nastavit auto restart. Jinak díky moc za pomoc

ovladaci panely-system-upresnit - spusteni a zotaveni*nastaveni tam to je

Omlouvám se, byl jsem minule trochu pod vlivem a hned to na mých radách bylo znát... zopakujte postup s ComboFixem, ale proveďte to takto:

Otevři poznámkový blok --> do něj zkopíruj tento text:

File::
C:\WINDOWS\sslzdlt.dll

Rootkit::
C:\WINDOWS\system32\affv11952p1now.sys

--> ulož tento dokument jako CFScript.txt --> chytni texťák a přesuň ho nad ikonku ComboFixu --> pusť a spustí se ComboFIx --> pokračuj klasicky podle pokynů a ComboFix nákazu smaže --> pak pošli nový log který ComboFix vytvoří

grafikou to asi nebude, před cca 3-4 týdny to šlapalo ještě normálně a mezitím jsem neinstaloval nové ovladače. Jinak nevím kde mám nastavit auto restart. Jinak díky moc za pomoc

dotyčný má v PC nákazu... zítra se ozvu a zkusíme na to jít ještě jinak. nic není ztraceno;-)

mate vypnutio ve widlich auto restart? haze to bez autorestartu bluescreen a co na nem je za hlasku? jinak posledni zkusenost s jednim kompem, ktery restartoval pri hrach a video programech, byly blby ovladace pro grafarnu. zkusil jsem jiny a uz to slape

Vypadá to, že už si to snad vymýšlím, ale shodilo mi to komp při běhu programu SDFix v nouzovém režimu

pardon, udal jsem špatný link... mělo to být toto: http://www.viry.cz/forum/viewtopic.php?t=40395

díky, ale nepřineslo to úspěch, po restartu do normálního režimu nastal ihned zase reset kompu. Přikládám report ze SmitFraudFixu:
SmitFraudFix v2.294

Scan done at 19:00:48.99, 2008-02-24
Run from C:\Downloads\SmitfraudFix
OS: Microsoft Windows XP [Verze 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{D096A752-B93E-4ED5-B84D-086A54AF34D7}: NameServer=10.0.150.150,213.195.202.5
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D096A752-B93E-4ED5-B84D-086A54AF34D7}: NameServer=10.0.150.150,213.195.202.5
HKLM\SYSTEM\CS2\Services\Tcpip\..\{D096A752-B93E-4ED5-B84D-086A54AF34D7}: NameServer=10.0.150.150,213.195.202.5


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

nevadí, zkuste toto: http://www.viry.cz/forum/viewtopic.php?t=16475

Shazuje to i v nouzovém režimu - před skenováním se objeví v ComboFixu hláška:
ComboFix has changed your clock settings.
Do not change it back. It shall be restored later.

Při samotném skenu se dostane asi na 41% a pak se objeví hláška C:ComboFix/Dir Root - nelze otevřít, používá ji jiná aplikace (toto nenní přesné znění)

proveď to v nouzovém režimu

Zkusil jsem to, ale shazuje to pc při běhu ComboFixu