VIRY.CZ

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A1DE700]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver ...

OTL logfile created on: 30.1.2010 14:08:37 - Run 2
OTL by OldTimer - Version 3.1.27.0 Folder = C:\Documents and Settings\Administrator\Plocha
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000405 ...

Tak ted' mi to našlo 2x Win32:Spyware-gen a dokonce 3x Win32:Bredolab-BR a to vše ve složce System Volume Information.

Ahoj,
no ještě včera večer mi našel asi 2 trojany ale už si nepamatuji kde přesně byly.Zkusim to spustit ještě jednou.

Tak ahoj.A díky za spolupraci

SysProt AntiRootkit v1.0.1.0
by swatkat

******************************************************************************************
******************************************************************************************

Process:
Name: [System Idle Process]
PID: 0
Hidden: No
Window Visible: No ...

Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrator at 2010-01-29 16:26:53
Systém Microsoft Windows XP Professional Service Pack 2
System drive C: has 4 GB (14%) free of 30 GB
Total RAM: 2047 MB (67% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan ...

Restartovano.

Myslim, že ten program mi někdo doporučil tady na foru ale to už je rok zpatky
Nicmeně po odstranění souboru mi naskočilo okno s tím, že některé soubory nejdou vymazat:(...mám to ignorovat a restartovat?

Malwarebytes' Anti-Malware 1.44
Verze databáze: 3657
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

29.1.2010 15:49:59
mbam-log-2010-01-29 (15-49-53).txt

Typ kontroly: Kompletní kontrola (C:\|D:\|)
Zkontrolované objekty: 250905
Uplynulý čas: 50 minute(s), 48 second(s)

Infikované ...

V novzovem režimu mi to hodilo chybu.a pak se objevilo okenko:
drwtsn32.exe - Vstupní bod nebyl nalezen
"Vstupní bod procedury SymSetSymWithAddr64 se nepodařilo v dynamicky propojované knihovně DBGHELP.dll nelézt."

Tady zatím jen log z OTL, protože když jsem spustil gmer.exe, tak po chvilce rychleho skenu se mi restartoval počitač:(

All processes killed
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-1606980848-2052111302-682003330-500\Software\Microsoft\Internet Explorer\URLSearchHooks ...

Nevim jestli jsem to vše udělal spravně ale s tím prvním syntaxem se to zas seklo, pak jsem tam dal pouze
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
reg query "HKLM\Software\Microsoft\Windows NT\CurrentVersion\winlogon" /v GinaDLL /c

a vyjelo mi toto:

OTL ...

Ten OTL se zřejmě zasekl(neodpovída) u skenování souboru schvost.exe:(

Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrator at 2010-01-29 12:03:24
Systém Microsoft Windows XP Professional Service Pack 2
System drive C: has 3 GB (11%) free of 30 GB
Total RAM: 2047 MB (63% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan ...