VIRY.CZ

Jinak Avast 5 už funguje. Mám vyzkoušet Comodo firewall?

S tím firewallem, můžeš mi poradit, který freeware firewall bych měl nainstalovat?

Log z RSIT:

Logfile of random's system information tool 1.07 (written by random/random)
Run by Věra at 2010-05-09 18:19:26
Systém Microsoft Windows XP Professional Service Pack 2
System drive C: has 21 GB (35 ...

Avast dokončil scan. Nenalezl žádnou infekci, pouze zjistil u 3577 souborů, že jde o archiv chráněný heslem, takže je neotestoval.


Co dál?

Tu složku SAGEM můžu smazat, jedná se o ovladače ke starému ADSL modemu, který se již nepoužívá.
Počkám ale na tvé potvrzení.

Jinak Avast se spustit dá, ale ...

ccdecode.sys.bak
http://www.virustotal.com/cs/analisis/5a7ed636d8b2178ea21fa986cc9168def258aa4ffb9dcd792a81a1d615ac5d5e-1273404005

Cdaudio.sys.bak
http://www.virustotal.com/cs/analisis/aa4dd9e7aae5aab1146b360b17001f975d2f29a1281cf7b13e7136480410f347-1273404022

C:\Program Files\SAGEM\SAGEM F@st ...

c:\windows\system32\drivers\cdaudio.sys
http://www.virustotal.com/cs/analisis/aa4dd9e7aae5aab1146b360b17001f975d2f29a1281cf7b13e7136480410f347-1273402678

c:\windows\system32\drivers\ccdecode.sys
http://www.virustotal.com/cs/analisis/94317dbe975a3ee918d3fc2c54b2d766fb4dbfec5f85dcba5f30baf449673ee0 ...

Inkriminovaný soubor jsem smazal v nouzovém režimu. Nyní jsou procesy OK.

Skype vypadá, že už běží normálně. V pravé dolní liště se nezobrazuje ikona Avastu - nevím jestli Avast běží.

Log z OTL:
OTL logfile created on: 9.5.2010 12:41:41 - Run 1
OTL by OldTimer - Version 3.2.4.1 Folder = C ...

Aha, sorry za unáhlenost.

Log z ComboFix:

ComboFix 10-05-08.02 - Administrator 09.05.2010 11:17:17.4.1 - x86 NETWORK
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.420.1029.18.511.291 [GMT 2:00]
Spuštěný z: c:\documents and settings\Věra\Plocha\ComboFix.exe
AV: avast! antivirus 4.8 ...

Zdravím, paralelně jsem spustil combofix před vaším příspěvkem. V běžném provozu Windows. Po hodině se combofix neukončil. Restartoval jsem počítač. nyní dle vaší rady spustím combofix v nouzovém režimu s podporou sítě a pošlu log.

Dobrý den vážení rádci,

na domácím počítači hlásí Avast infekci Win32:Qandr [Rtk].
Počítač se zpomalil a v procesech běží schvost.exe na 100% výkonu procesoru. Další nyní viditeklný problém je znefunkčnění Skype.

Provedené akce -
1. scan Avastem - restart a scan po restartu před spuštěním Windows ...

Ahoj,
jak radí Stell. Dr.Web cureit je jen jeden z pomocníků. Já sám jsem strávil čištěním logu z mbr.exe minimálně několik týdnů za použití alespoň deseti programů. Nakonec (po odstranění viru samotného) pomohla pouze přímá editace sektorů disku. Vše je popsáno v rozsáhlé diskuzi výše. Neexistuje ...

Nechci předbíhat fundované rady Stella, ale určitě sem pošli log z mbr.exe. A výsledek po scanu GMERu.

OK, když se to vrátí a nebo mi zmizí peníze z účtů dám vědět
Zatím děkuji a pošlu sms.

Ten proces CTVHEIH.exe už neběží (restartoval jsem PC), takže ho nemůžu přezkoušet v Tempu už není.
Dle logu z unhookeru mě zaráží toto:
!!POSSIBLE ROOTKIT ACTIVITY DETECTED!! =)
???

Můžu si změnit všude hesla, ale pořád si nejsem jistý, že je nyní PC zdravé (viz. log mbg.exe a log unhooker).

Ještě jsem provedl scan pomocí RootkitRevealer :

HKU\.DEFAULT\Control Panel\International 11.7.2008 14:17 0 bytes Security mismatch.
HKU\.DEFAULT\Control Panel\International\Geo 11.7.2008 14:17 0 bytes Security mismatch.
HKU\S-1-5-21-1614895754-1972579041-682003330-1003\Control Panel ...

Tak provedeno. Jak jsem psal po formátu již G: zkontrolovat lze.

Aplikoval jsem Disinfektor.exe.

Nyní Rootkit Unhooker:

1. Report Scan
>SSDT State
>Shadow
>Processes
>Drivers
>Stealth
>Files
>Hooks
ntkrnlpa.exe+0x0006EC6E, Type: Inline - RelativeJump at address 0x80545C6E hook handler located ...