VIRY.CZ

Logfile of random's system information tool 1.06 (written by random/random)
Run by mzahradnik at 2010-03-30 15:45:38
Microsoft Windows XP Professional Service Pack 3
System drive C: has 15 GB (10%) free of 152 GB
Total RAM: 2046 MB (19% free)

HijackThis download failed

======Scheduled tasks folder ...

Zatim bezi dobre, Diky.

Zasilam log z MBAM:

Malwarebytes' Anti-Malware 1.44
Verze databáze: 3510
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

22.2.2010 12:57:17
mbam-log-2010-02-22 (12-57-09)_mbam

Typ kontroly: Kompletní kontrola (C:\|)
Zkontrolované objekty: 221783
Uplynulý čas: 1 hour(s), 18 minute ...

Zasilam log z OTM:

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
File move failed. C:\Documents and Settings\tpavlik\Start Menu\Programs\Startup\monnid32.exe scheduled to be moved on reboot.
C:\WINDOWS\system32 ...

Ahoj,

AVG naslo BackDoor.Generic12.AEIU a do viroveho trezoru presunulo tyhle soubory:

C:\System Volume Information\_restore{46DE8921-1D39-44D2-A9E9-64119261F211}\RP1161\A0139075.sys, Trojský kůň BackDoor.Generic12.AEIU, Přesunuto do trezoru, 2010-02-20 19:50:44, Soubor, C:\WINDOWS\system32 ...

Vsechny ostatni zalozky prosly.

Drivers :
ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2010/01/06 18:35
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP3
==================================================

Drivers ...

Dobre rano,
zasilam vytvorene logy:

MBR:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys atapi.sys hal.dll pciide.sys PCIIDEX.SYS
kernel: MBR read ...

-> Posilam vyjadreni kolegy:
"Na foru AVG radili nahradit napadeny atapi.sys puvodnim souborem z adresare i386. To jsem zkusil a puvodni soubor zalohoval jako atapi_sys_old_lukas. Zmena ale zpusobila neustale temer 100% vytizeni procesu csrss.exe, tak jsem zmenu vratil zpet a novy soubor zalohoval ...

Dobre rano,

-> soubory jsou podle Virustotalu v poradku - zadny nalez

-> atapi.sys prejmenovaval kolega, ktery se snazil infekce zbavit. Muzu jej smazat.

-> posilam pouze prvni log, protoze pokazde kdyz jsem spustil kompletni test GMER, tak system spadl do BSOD. Navic vzdy s jinou hlaskou STOP ...

Posilam.
Dekuji.

ComboFix 10-01-03.05 - lpecina 04.01.2010 14:17:55.2.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1250.420.1033.18.2046.1514 [GMT 1:00]
Spuštěný z: e:\install\odvirovace\ComboFix.exe

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ ...

Dobry den,

AVG naslo Trojskeho kone v System Volume Information. Identifikovalo ho jako: SHeur2.CDOC
bohuzel jej ale zrejme nedokazalo odstranit. Vypnul jsem System Restore -> provedl test AVG -> zapnul SR -> Zadneho trojaka AVG jiz nenaslo.
Nazev souboru je A0096509.exe

Dekuji za kontrolu ...