VIRY.CZ

Nezkoušel, nechám to ve stávajícím stavu a příští měsíc s novým železem přejdu na w7.
Tímto děkuji za Váš čas.

Tak se mi podařilo postupně proskenovat systémový disk a DrWeb našel 5 virů, včetně Combofixu. Pokud si dobře pamatuji tak veškerá havěť byla ve složce System Volume Information. Vše bylo smazáno, log měl na konci kolem 30MB.

Tak jsem to zkoušel o víkendu a nedokázal jsem se dostal k zdárnému proskenování celého kompu.
Při úvodním expres skenu to nic nenašlo.
Při kompletním skenu došlo vždy k restartu kompu, chybě či BSD...nevím jakou roli v tom hrají brebery a jakou ovladače či jiný SW, pro lepší představu posílám ...

Pátral jsem na c: a nyní jsem již našel Vámi zmiňovaný soubor C:\Qoobox\ComboFix-quarantined-files.txt, zde je jeho obsah:

2010-01-13 19:20:17 . 2010-01-13 19:20:17 97 ----a-w- C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-NPSStartup.reg.dat
2010-01-13 19:20:17 . 2010-01-13 19:20:17 96 ----a-w- C ...

Moc Vám děkuji za Vaše rádcovství a zde je výstup z OTL:

All processes killed
========== OTL ==========
Service iPod Service stopped successfully!
Service iPod Service deleted successfully!
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\NPSStartup deleted ...

OTL Extras logfile created on: 14.1.2010 15:02:24 - Run 1
OTL by OldTimer - Version 3.1.24.0 Folder = C:\Documents and Settings\de Muerto\Plocha
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000405 ...

OLT.txt:

OTL logfile created on: 14.1.2010 15:02:24 - Run 1
OTL by OldTimer - Version 3.1.24.0 Folder = C:\Documents and Settings\de Muerto\Plocha
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale ...

ad 2)
DDS (Ver_09-12-01.01) - NTFSx86
Run by de Muerto at 22:08:57,32 on st 13.01.2010
Internet Explorer: 8.0.6001.18702
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.2047.1606 [GMT 1:00]

AV: avast! antivirus 4.8.1368 [VPS 100113-0] *On-access scanning disabled* (Updated ...

ad 1)
Running from: C:\Documents and Settings\de Muerto\Plocha\Win32kDiag.exe
Log file at : C:\Documents and Settings\de Muerto\Plocha\Win32kDiag.txt
WARNING: Could not get backup privileges!

Searching 'C:\WINDOWS'...
Finished!

Teď se probral komp...CF spuštěn z příkazové řádky dle návodu...nejdříve chtěl odpálit Avasta, následovalo okno s upozorněním na virtuální mechaniku. Přiznám se, tady nevím, který program ho s virtuální mechanikou dráždí (Daemon T. vypnut, Nero taky).
Nicméně následoval restart a CF začal se skenem ...

Log z AVASTu:

10.1.2010 17:01:32 de Muerto 1948 Virus "Win32:Small-GWM [Trj]" byl nalezen v souboru "C:\DOCUME~1\DEMUER~1\LOCALS~1\Temp\GUQF296\we.exe\[UPX]".
10.1.2010 17:01:55 de Muerto 1948 Virus "Win32:Small-GWM [Trj]" byl nalezen v souboru "C:\DOCUME~1\DEMUER~1\LOCALS~1\Temp\GUQF296\we.exe ...

Po skenu ComboFix-em na mne vyskočilo toto okno:
http://i840.photobucket.com/albums/zz323/deMuerto/verbez/wokno1.jpg

Tyto soubory mám na c:
http://i840.photobucket.com/albums/zz323/deMuerto/verbez/wokno2.jpg

A tyto v adresáři C:\Qoobox
http://i840.photobucket.com/albums/zz323/deMuerto ...

Tak v rootu na c: nic není, soubor stejného názvu je v této složce:
c:\ComboFix\ComboFix.txt
mj se na c: utvořily následující složky:
cmdcons
Qoobox

Log ze zmíněného souboru:
ComboFix 10-01-11.04 - de Muerto 12.01.2010 21:31:04.1.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420 ...

2. log:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-12 21:17:23
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\DEMUER~1\LOCALS~1\Temp\pgtdypoc.sys


---- System - GMER 1.0.15 ----

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module ...

Děkuji za odpověď a radu.
Při spuštění GMERu se mi restartoval komp, na třetí pokus se mi podařilo ho spustit, zde je výsledek 1. skenu, 2. právě probíhá.


GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-01-12 19:02:26
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C ...