neco mi ovlada ADSL modem

[fido-dido]

ok o vikendu prehodim sitovku a uvidim co se bude dit.

zatim tedy moc dekuji za tvuj cas

[motji]

Já bych ten soubor atapi.sys raději vyměnila...ted tu řádí rootkit, který právě napadá tento soubor a velmi špatně se zjištuje, ale ten Váš je krajně podezdřelý , takže pro můj klid na duší

Nemáte někde po ruce pc s Microsoft Windows XP Professional Service Pack 3 ?

[motji]

Zazálohujte si důležitá data, pro jistotu

Tak soubor už jsem sehnala

Z přílohy si stahněte soubor v raru, rozbalte ho a uložte přímo na disk C, aby cesta byla
c:\atapi.sys

Pokud nemáte, přesuňte Combofix na plochu
-otevřete si Poznámkový blok
-Do něj zkopírujte text z tohoto okénka

Kód: Vybrat vše

FCopy::
c:\atapi.sys  |  c:\windows\system32\drivers\atapi.sys

-uložte Vámi vytvořený TXT soubor jako CFScript.txt na plochu
-po uložení uchopte vámi vytvořený skript levým myšítkem a -přesuňte ho nad ikonu Combofixu, kde ho upustíte:




-po aplikaci na Vás vypadne další log,vložte ho sem

Upozornění : může se stát, že po aplikaci skriptu a restartu Windows nenaběhnou, v tom případě znovu restartujte a přitom mačkejte F8, pak zvolte Poslední známou funkční konfiguraci

[fido-dido]

ComboFix 09-12-03.06 - lukas 04.12.2009 18:33.2.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.1023.468 [GMT 1:00]
Spuštěný z: c:\documents and settings\lukas\Dokumenty\Stažené soubory\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\lukas\Plocha\CFScript.txt
AV: Norton AntiVirus *On-access scanning disabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

.
--------------- FCopy ---------------

c:\atapi.sys --> c:\windows\system32\drivers\atapi.sys
.
((((((((((((((((((((((((( Soubory vytvořené od 2009-11-04 do 2009-12-04 )))))))))))))))))))))))))))))))
.

2009-12-04 17:19 . 2008-04-13 22:10 96512 ------w- C:\atapi.sys
2009-12-02 20:14 . 2009-12-02 20:14 -------- d-----w- c:\program files\trend micro
2009-12-02 20:14 . 2009-12-02 20:14 -------- d-----w- C:\rsit
2009-11-28 14:49 . 2009-11-28 15:01 -------- d-----w- c:\program files\rajce
2009-11-21 13:02 . 2009-11-21 13:02 -------- d-----w- c:\program files\Common Files\DirectX
2009-11-21 12:53 . 2009-11-21 12:53 -------- d-----w- c:\program files\Buka
2009-11-21 12:30 . 2009-11-21 12:30 -------- d-----w- c:\program files\Alcohol Soft
2009-11-21 11:41 . 2009-11-21 11:41 721904 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-11-21 11:32 . 2009-11-28 06:04 -------- d-----w- c:\program files\uTorrent
2009-11-21 11:05 . 2009-11-21 11:05 -------- d-----w- c:\program files\IrfanView
2009-11-20 17:20 . 2009-11-20 17:20 -------- d-----w- c:\program files\Common Files\Adobe
2009-11-17 21:42 . 2009-11-17 21:42 -------- d-----w- c:\program files\Snapshot Viewer
2009-11-17 21:32 . 2009-11-17 21:43 -------- d-----w- c:\windows\ShellNew
2009-11-17 20:15 . 2009-11-17 20:15 -------- d-----w- c:\program files\Realore
2009-11-17 19:26 . 2009-11-17 19:26 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-11-17 19:24 . 2009-11-17 19:24 -------- d-----w- c:\program files\Common Files\Skype
2009-11-17 19:24 . 2009-11-17 19:24 -------- d-----r- c:\program files\Skype
2009-11-17 19:07 . 2009-11-17 19:41 -------- d-----w- c:\program files\ICQ6.5
2009-11-17 18:14 . 2009-11-17 18:16 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-11-17 18:02 . 2009-11-17 18:02 0 ----a-w- c:\windows\nsreg.dat
2009-11-17 17:28 . 2009-11-17 17:36 -------- d-----w- c:\program files\Common Files\Symantec Shared
2009-11-17 17:28 . 2009-11-17 17:28 60808 ----a-w- c:\windows\system32\S32EVNT1.DLL
2009-11-17 17:28 . 2009-11-17 17:28 124976 ----a-w- c:\windows\system32\drivers\SYMEVENT.SYS
2009-11-17 17:28 . 2009-11-17 17:28 -------- d-----w- c:\program files\Symantec
2009-11-17 17:28 . 2009-11-20 18:37 -------- d-----w- c:\windows\system32\drivers\NAV
2009-11-17 17:28 . 2009-11-17 17:28 -------- d-----w- c:\program files\Windows Sidebar
2009-11-17 17:28 . 2009-11-17 17:28 -------- d-----w- c:\program files\Norton AntiVirus
2009-11-17 17:27 . 2009-11-17 17:27 -------- d-----w- c:\program files\NortonInstaller
2009-11-17 16:41 . 2009-11-17 16:41 -------- d-----w- c:\program files\Total Uninstall 3
2009-11-17 16:31 . 2009-11-17 16:31 -------- d-----w- c:\program files\Common Files\Ahead
2009-11-17 16:31 . 2009-11-17 16:31 -------- d-----w- c:\program files\Nero
2009-11-17 16:20 . 2009-11-17 16:21 -------- d-----w- C:\totalcmd
2009-11-17 16:20 . 2006-10-23 05:55 545 ----a-w- c:\windows\UC.PIF
2009-11-17 16:20 . 2006-10-23 05:55 545 ----a-w- c:\windows\RAR.PIF
2009-11-17 16:20 . 2006-10-23 05:55 545 ----a-w- c:\windows\PKZIP.PIF
2009-11-17 16:20 . 2006-10-23 05:55 545 ----a-w- c:\windows\PKUNZIP.PIF
2009-11-17 16:20 . 2006-10-23 05:55 545 ----a-w- c:\windows\NOCLOSE.PIF
2009-11-17 16:20 . 2006-10-23 05:55 545 ----a-w- c:\windows\LHA.PIF
2009-11-17 16:20 . 2006-10-23 05:55 545 ----a-w- c:\windows\ARJ.PIF
2009-11-17 16:16 . 1999-10-11 01:00 41984 ------w- c:\windows\Ctregrun.exe
2009-11-17 16:15 . 2008-04-13 23:16 10880 -c--a-w- c:\windows\system32\dllcache\ndisip.sys
2009-11-17 16:15 . 2008-04-13 23:16 10880 ----a-w- c:\windows\system32\drivers\NdisIP.sys
2009-11-17 16:15 . 2008-04-13 23:16 15232 -c--a-w- c:\windows\system32\dllcache\streamip.sys
2009-11-17 16:15 . 2008-04-13 23:16 15232 ----a-w- c:\windows\system32\drivers\StreamIP.sys
2009-11-17 16:15 . 2008-04-13 23:16 11136 -c--a-w- c:\windows\system32\dllcache\slip.sys
2009-11-17 16:15 . 2008-04-13 23:16 11136 ----a-w- c:\windows\system32\drivers\SLIP.sys
2009-11-17 16:13 . 2009-11-17 16:16 -------- d-----w- c:\program files\Creative
2009-11-17 16:09 . 1997-04-18 10:46 297984 ----a-w- c:\windows\unin0405.exe
2009-11-17 16:09 . 2009-11-17 16:09 -------- d-----w- c:\documents and settings\lukas\WINDOWS
2009-11-17 16:06 . 2005-08-02 15:35 81920 ----a-w- c:\windows\system32\nvwddi.dll
2009-11-17 16:05 . 2009-11-17 16:05 -------- d-----w- c:\windows\system32\WinFox
2009-11-17 16:05 . 2005-03-25 17:24 9600 ----a-w- c:\windows\system32\drivers\WINFOXIO.sys
2009-11-17 16:00 . 2005-05-17 09:45 300032 ----a-r- c:\windows\system32\idecoi.dll
2009-11-17 16:00 . 2005-05-17 09:45 92800 ----a-r- c:\windows\system32\drivers\nvata.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-21 12:53 . 2009-11-17 15:58 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-11-17 21:41 . 2009-11-17 15:07 -------- d-----w- c:\program files\microsoft frontpage
2009-11-17 17:28 . 2009-11-17 17:28 805 ----a-w- c:\windows\system32\drivers\SYMEVENT.INF
2009-11-17 17:28 . 2009-11-17 17:28 7443 ----a-w- c:\windows\system32\drivers\SYMEVENT.CAT
2009-11-17 16:05 . 2001-10-25 14:00 46196 ----a-w- c:\windows\system32\perfc005.dat
2009-11-17 16:05 . 2001-10-25 14:00 309990 ----a-w- c:\windows\system32\perfh005.dat
2009-11-17 15:59 . 2009-11-17 15:59 -------- d-----w- c:\program files\Realtek Sound Manager
2009-11-17 15:59 . 2009-11-17 15:59 -------- d-----w- c:\program files\AvRack
2009-11-17 15:58 . 2009-11-17 15:55 -------- d-----w- c:\program files\Common Files\InstallShield
2009-11-17 15:58 . 2009-11-17 15:58 -------- d-----w- c:\program files\AMD
2009-11-17 15:46 . 2009-11-17 15:07 86327 ----a-w- c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat
2009-11-17 15:46 . 2009-11-17 15:07 3038 ----a-w- c:\windows\PCHealth\HelpCtr\PackageStore\SkuStore.bin
2009-11-17 15:21 . 2009-11-17 15:07 8972 ----a-w- c:\windows\PCHealth\HelpCtr\Config\Cntstore.bin
2009-11-17 15:07 . 2009-11-17 15:07 558142 ----a-w- c:\windows\java\Packages\7HZJ1N37.ZIP
2009-11-17 15:07 . 2009-11-17 15:07 2678 ----a-w- c:\windows\java\Packages\Data\PR9RVZ97.DAT
2009-11-17 15:07 . 2009-11-17 15:07 2678 ----a-w- c:\windows\java\Packages\Data\7LB93TB5.DAT
2009-11-17 15:07 . 2009-11-17 15:07 155995 ----a-w- c:\windows\java\Packages\0KB7LFNL.ZIP
2009-11-17 15:07 . 2009-11-17 15:07 2678 ----a-w- c:\windows\java\Packages\Data\ZHJTZTBH.DAT
2009-11-17 15:07 . 2009-11-17 15:07 2678 ----a-w- c:\windows\java\Packages\Data\BFBDVF3Z.DAT
2009-11-17 15:07 . 2009-11-17 15:07 2678 ----a-w- c:\windows\java\Packages\Data\4YA9FN57.DAT
2009-11-17 15:05 . 2009-11-17 15:05 21812 ----a-w- c:\windows\system32\emptyregdb.dat
.

((((((((((((((((((((((((((((( SnapShot@2009-12-03_05.32.16 )))))))))))))))))))))))))))))))))))))))))
.
+ 2002-08-29 01:27 . 2008-04-13 22:10 96512 c:\windows\system32\dllcache\atapi.sys
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ"="c:\program files\ICQ6.5\ICQ.exe silent" [X]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 139264]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-10-09 25623336]
"AlcoholAutomount"="c:\program files\Alcohol Soft\Alcohol 120\axcmd.exe" [2009-04-24 203928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-08-02 7110656]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-08-02 86016]
"Creative WebCam Tray"="c:\program files\Creative\Shared Files\CAMTRAY.EXE" [2004-07-30 245760]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2004-12-22 77824]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2005-08-02 1519616]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\ICQ6.5\\ICQ.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R0 SymDS;Symantec Data Store;c:\windows\system32\drivers\NAV\1101000.013\SymDS.sys [17.11.2009 20:57 328752]
R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NAV\1101000.013\SymEFA.sys [17.11.2009 20:57 171056]
R1 ccHP;Symantec Hash Provider;c:\windows\system32\drivers\NAV\1101000.013\cchpx86.sys [17.11.2009 20:57 501888]
R1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\NAV\1101000.013\Ironx86.sys [17.11.2009 20:57 114736]
R2 BHDrvx86;BHDrvx86;c:\documents and settings\All Users\Data aplikací\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\Definitions\BASHDefs\20091104.001\BHDrvx86.sys [5.11.2009 0:50 524848]
R2 NAV;Norton AntiVirus;c:\program files\Norton AntiVirus\Engine\17.1.0.19\ccSvcHst.exe [17.11.2009 20:57 126392]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [20.11.2009 17:22 102448]
R3 IDSxpx86;IDSxpx86;c:\documents and settings\All Users\Data aplikací\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\Definitions\IPSDefs\20091111.001\IDSXpx86.sys [17.11.2009 18:34 329592]
R3 P0630VID;Creative WebCam Live!;c:\windows\system32\drivers\P0630Vid.sys [17.11.2009 17:14 91830]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [21.11.2009 12:41 721904]

--- Ostatní služby/ovladače v paměti ---

*NewlyCreated* - KXTDAPOW
*NewlyCreated* - RKHDRV40
*Deregistered* - kxtdapow
*Deregistered* - rkhdrv40
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\lukas\Data aplikací\Mozilla\Firefox\Profiles\c91di3lp.default\
FF - prefs.js: browser.search.selectedEngine - SluneÄŤnice
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz/
FF - component: c:\documents and settings\All Users\Data aplikací\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\IPSFFPlgn\components\IPSFFPl.dll

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-04 18:40
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\NAV]
"ImagePath"="\"c:\program files\Norton AntiVirus\Engine\17.1.0.19\ccSvcHst.exe\" /s \"NAV\" /m \"c:\program files\Norton AntiVirus\Engine\17.1.0.19\diMaster.dll\" /prefetch:1"
.
Celkový čas: 2009-12-04 18:42
ComboFix-quarantined-files.txt 2009-12-04 17:42
ComboFix2.txt 2009-12-03 05:33

Před spuštěním: Volných bajtů: 124 522 602 496
Po spuštění: Volných bajtů: 124 511 662 080

- - End Of File - - 04F2E2B4865092DD9427768D5263B02B

[fido-dido]

tak jsem to zkouse kontolovat a zatim vse funguje jak ma. pristum na internet s wifi normalne jede.
uvidime jak dlouho to pojede.
mam pripravenou druhou sitovku pro svuj pocitac ale tu namontuji, pokud znova budu ostatni blokovat v pristupu na net.

[motji]

Zopakujte znovu
stáhněte MBR
http://www2.gmer.net/mbr/mbr.exe
-uložte ho na plochu


start-spustit
do okénka zkopírujte

Kód: Vybrat vše

"%userprofile%\plocha\mbr" -t

ok

vytvoří se log s názvem mbr.log, vložte ho zde .

A za pár dní dejte vědět jak to s pc vypadá, když tak bychom uklidili po použitých programech.


Stahněte dr. Web CureIt http://www.viry.cz/forum/viewtopic.php?f=29&t=47721
-udělejte sken , co najde nechte léčit, smazat
-sken může trvat několik hodin
-Soubor/Uložit výsledky - uložíte jako textovy soubor a zkopírujete zde
-sken může trvat několik hodin

[fido-dido]

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8676C1F8]<<
kernel: MBR read successfully
user & kernel MBR OK

[motji]

No, uvidíme za pár dní, chvilku to pozorujte a pak dejte vědět jak to vypadá . Pokud by modem zas zlobil, hned se ozvěte

[fido-dido]

ok
jeste vlozim druhy log az to dojede

[motji]

Fajn

[fido-dido]

log se mi nedari vytvorit. pokazde se asi po dokonceni se restartuje pocitac.

[motji]

Nevadí. Nevíte zda něco smazal?
Jak to vypadá s počítačem?

[fido-dido]

neco mazal, samozdrejme ze neco z programu na zlisteni logu.
zahledl jsem i nejaky vir, snad to byl trojsky kun ale to opravdu nevim. podruhe uz se tam neobjevil.

dneska byli pripojene na modem 2 pocitace. muj a pres wifi. mluvil jsem stim co ma pocitac pres wifi a vse normalne slapalo. zatim tedy vse funguje naprosto spravne.

vypada ze prehrani systemoveho soubory opravdu pomohlo.

koncem tydne dam dalsi zpavu jak to funguje

[motji]

Můžete pro můj klid otestovat na www.virustotal.com
c:\windows\system32\drivers\atapi.sys

Odinstalujte combofix přes
Start >> Spustit zkopírujte do okénka:

ComboFix /Uninstall

stiskněte Enter
-To odinstaluje ComboFix a smaže s ním související soubory a složky.



Stáhněte T-Cleaner
http://sweb.cz/Marinus/T-Cleaner.exe

-Spusťte,pro potvrzení volby mačkejte klávesu A, Enter
-po použití prográmek vymažte.Pozor,antiviry ho mohou falešně označit za vir


Stahněte TFC a použijte
TFC (http://oldtimer.geekstogo.com/TFC.exe)


Stáhněte Ccleaner,viz můj podpis
-nainstalujte a vyčištěte dočasné soubory, i registry

[fido-dido]

hotovo