zase ROOTKIT

[brankar]

BUDEM DAL POKRAČOVAT NEBO AŽ SE UKAŽOU NEVÍM JESTLI JSEM SE DOBŘE VYJÁDŘIL

[earl]

Bud jim to tam zaneste,at to pripoji u nich v kancelari a pokud to bude tu hlasku ukazovat,tak at zjisti,cim to je.

Anebo pc vycistime od odvirovacich utilit a zacneme znova,ponevadz clovek uz se v tom po tolika strankach zacina ztracet.

[brankar]

jestli potom všem máte nato ještě chut můžem to skusit znovu ,jinak se před vámi za tu ochotu :

[earl]

Sklanet netreba

Start - spustit - napiste ComboFix /Uninstall - a klepnout na OK

ComboFix /Uninstall


-----------------------------------------------------------------------------------------------------------------

Pouzijte T-Cleaner na vycisteni pc po utilitach pouzitych pri odvirovani.Postupujte dle instrukci na obrazovce.Pri detekci antivirem se jedna o falesny poplach.
-----------------------------------------------------------------------------------------------------------------

Vycistete pc Ccleanerem.

Vzdy nejprve Analyzovat a pak Spustit Cleaner.2x po sobe.

Windows-odskrtnout historii a historii automatickeho vyplnovani formularu - prisel byste o historii navstivenych stranek a o ulozena hesla ve formularich

(je to sice z pohledu zabezpeceni spatne,ale aspon pak uzivatel nenadava,kam ze mu to zmizelo )

Aplikace-u prohlizecu internetu odskrtnout Historii internetu.

Registry-nechat vse zaskrtle,Hledej problemy,Opravit vybrane problemy

(nechat ho udelat zalohu-ta je ulozena v Dokumentech-DULEZITE).

Taktez 2x-3x po sobe.

Pote mi presne popiste,jaky s pc problem.

Stáhnete DDS a uložte ho na plochu.

Zavřete všechna spuštěná okna a spusťte program, potvrďte licenční podmínky a postupujte podle pokynů. Začne scanování.

Až skončí, tak by měl vytvořit 2 logy proto se vam 2krát otevře notepad. Jeden log bude mít název DDS.txt a druhý attach.txt.

Zkopírujte sem pouze ten DDS.txt.

V pripade nejasnosti navod zde

Stahnete RootkitBooster

rozbalte do slozky na plose a spustte,

dejte Scan,po ukonceni povolte ulozeni logu,ten pak vlozte sem.

[brankar]

tady je ta hlaška před 5 minutama

Ochrana vyhledávání

Z Vašeho počítače, nebo počítače ve stejné síti (práce, škola a tak podobně), byl v poslední době zaznamenán zvýšený počet hledání.

Abychom si ověřili, že nejste robot a vydali Vám výsledky hledání,
opište prosím následující kód:
Přehraj kód


Omlouváme se za zdržení, více informací naleznete v nápovědě.

IP adresa vašeho připojení je 93.91.144.178

Jdu udělat vyše popsane rady

[brankar]

DDS (Ver_09-12-01.01) - NTFSx86
Run by user at 13:45:32,26 on ne 27.12.2009
Internet Explorer: 8.0.6001.18702
Microsoft Windows XP Home Edition 5.1.2600.3.1250.420.1029.18.511.305 [GMT 1:00]

AV: COMODO Antivirus *On-access scanning disabled* (Updated) {043803A5-4F86-4ef7-AFC5-F6E02A79969B}
AV: AVG *On-access scanning disabled* (Outdated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

============== Running Processes ===============

C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe -k netsvcs
svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\user\Plocha\dds.pif

============== Pseudo HJT Report ===============

uDefault_Search_URL = hxxp://www.google.com
uStart Page = hxxp://www.seznam.cz/
mStart Page = about:blank
uInternet Connection Wizard,ShellNext = iexplore
mURLSearchHooks: H - No File
TB: {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - No File
uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe
mRun: [SoundMan] SOUNDMAN.EXE
mRun: [StartCCC] "c:\program files\ati technologies\ati.ace\core-static\CLIStart.exe" MSRun
mRun: [COMODO Internet Security] "c:\program files\comodo\comodo internet security\cfp.exe" -h
mRun: [SunJavaUpdateSched] "c:\program files\java\jre6\bin\jusched.exe"
mRun: [SDFix] c:\sdfix\RunThis.bat /second
uPolicies-explorer: NoResolveTrack = 1 (0x1)
mPolicies-explorer: NoResolveTrack = 1 (0x1)
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\micros~2\office11\EXCEL.EXE/3000
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office11\REFIEBAR.DLL
DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA}
DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000}
TCP: {7E1B775D-FB9F-4945-8B6B-60D8BA4F52C7} = 10.1.1.1
Notify: !SASWinLogon - c:\program files\superantispyware\SASWINLO.dll
Notify: AtiExtEvent - Ati2evxx.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
SEH: SABShellExecuteHook Class: {5ae067d3-9afb-48e0-853a-ebb7f4a000da} - c:\program files\superantispyware\SASSEH.DLL

============= SERVICES / DRIVERS ===============

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-1-27 64160]
R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdguard.sys [2009-4-21 132808]
R1 SASDIFSV;SASDIFSV;c:\program files\superantispyware\sasdifsv.sys [2009-2-17 8944]
R1 SASKUTIL;SASKUTIL;c:\program files\superantispyware\SASKUTIL.SYS [2009-2-17 55024]
R2 cmdAgent;COMODO Internet Security Helper Service;c:\program files\comodo\comodo internet security\cmdagent.exe [2009-4-21 723632]
R3 PSched;Plánovač paketů technologie QoS;c:\windows\system32\drivers\psched.sys [2008-4-14 69120]
S3 SASENUM;SASENUM;c:\program files\superantispyware\SASENUM.SYS [2009-2-17 7408]

=============== Created Last 30 ================

2009-12-27 09:26:08 158 ----a-w- c:\windows\TSDataEx.ini
2009-12-24 07:16:01 0 d-----w- c:\documents and settings\user\DoctorWeb
2009-12-22 13:33:07 0 d-----w- c:\windows\ERUNT
2009-12-22 07:24:14 0 d-----w- c:\program files\ESET
2009-12-13 07:59:08 0 d-----w- c:\program files\Ares
2009-12-12 13:56:12 0 d-----w- C:\GTR2
2009-12-12 08:34:27 0 d-sh--w- c:\documents and settings\all users\DRM
2009-12-11 19:09:53 5466642 ----a-w- c:\windows\REGBK06.ZIP
2009-12-11 19:08:26 0 d---a-w- c:\windows\VDLL.DLL
2009-12-11 19:08:26 0 d-----w- c:\windows\RUNDL132.EXE
2009-12-06 17:26:07 0 d-----w- c:\docume~1\user\dataap~1\Thinstall
2009-11-28 17:37:51 0 d-----w- c:\program files\City Interactive

==================== Find3M ====================

2009-12-03 15:14:06 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-03 15:13:56 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-11-18 09:41:21 171552 ----a-w- c:\windows\system32\guard32.dll
2009-11-18 09:41:20 25160 ----a-w- c:\windows\system32\drivers\cmdhlp.sys
2009-11-18 09:41:20 132808 ----a-w- c:\windows\system32\drivers\cmdguard.sys
2009-11-14 09:39:50 91866 ----a-w- c:\windows\system32\perfc005.dat
2009-11-14 09:39:50 469558 ----a-w- c:\windows\system32\perfh005.dat
2009-11-13 08:51:34 29512 ----a-w- c:\windows\system32\TURegOpt.exe
2009-10-25 05:11:34 77312 ----a-w- c:\windows\MBR.exe
2009-10-22 10:29:52 3773087 ----a-w- c:\windows\REGBK05.ZIP
2009-10-11 03:17:27 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-10-10 04:54:42 5073806 ----a-w- c:\windows\REGBK04.ZIP
2009-10-02 20:41:13 5067769 ----a-w- c:\windows\REGBK03.ZIP

============= FINISH: 13:46:27,89 ===============

[earl]

A jeste poprosim o screen te hlasky.

[brankar]

tady je log rootkit buster


+----------------------------------------------------
| Trend Micro RootkitBuster
| Module version: 2.52.0.1013
+----------------------------------------------------


--== Dump Hidden MBR and Hidden File on C:\ ==--
No hidden files found.

--== Dump Hidden Registry Value on HKLM ==--
No hidden registry entries found.


--== Dump Hidden Process ==--
No hidden processes found.

--== Dump Hidden Driver ==--
No hidden drivers found.


skusím udělat screen na tu hlášku
ta hlaška se už zase nezobrazuje vypnul jsem prohlížeč a znova zapnul a už to tu hlášku nevihodilo

ta hlaska je přesně takhle jak jsem ji dal vyše

Ochrana vyhledávání

Z Vašeho počítače, nebo počítače ve stejné síti (práce, škola a tak podobně), byl v poslední době zaznamenán zvýšený počet hledání.

Abychom si ověřili, že nejste robot a vydali Vám výsledky hledání,
opište prosím následující kód:tady je určity kod bla,bla
a čtvereček do něhož se to napíše nic jiného
Přehraj kód


Omlouváme se za zdržení, více informací naleznete v nápovědě.

IP adresa vašeho připojení je 93.91.144.178

ještě ta adresa je uplně z jineho města než bydlím

je možno že to může byt jako kyž bych prolížel přes PROXY ?

[earl]

je možno že to může byt jako kyž bych prolížel přes PROXY ?

Ano,muze.

Logy jsou ok.

Cim dal vic mam pocit,ze s vami hraje provider podivnou hru.

Nepouzivate nejaky anonymizer?

[brankar]

Anonimizer možný to je ted mi syn řekl že to jednou skusil ale že neví už kde tak nevím jestli se to dá nějak zjistit ,jestli to má nějakou spojitost s těmito problémy

Ale spíš bych to viděl že budu připojen přes Router protože ta stejna adresa je opravdu na google hodně používana .

nebo je počítač s vícero počítačů připojen na jednu veřejnou IP adresu proto to hází tu hlašku
je mozny ze to bude veřejna IP ADRESA?
SNAD JSEM SE DO TOHO NEZAMOTAL JESTLI JO TAK MĚ OPRAV

[earl]

Anonimizer možný to je ted mi syn řekl že to jednou skusil ale že neví už kde tak nevím jestli se to dá nějak zjistit ,jestli to má nějakou spojitost s těmito problémy

Projdete v Ovladacich panelech aplet Pridat odebrat programy - tam by se dotycny program mel ukazat.

spíš bych to viděl že budu připojen přes Router

na to jsem se vas ptal,takze vy nemate router doma sebe?

nebo je počítač s vícero počítačů připojen na jednu veřejnou IP adresu proto to hází tu hlašku

to by bylo mozne,ovsem v tomto pripade by vam to mel provider dat vedet

je mozny ze to bude veřejna IP ADRESA?

ano,vase IP pridelena providerem (nebo routerem ) je 10.1.6.10 - ta je neverejna (LAN)

ovsem jak vas vidi internet,to je ta druha problemova - 93.91.144.178 - ta je verejna (WAN)

[brankar]

zdravím tu neveřejnou IP adresu mam od začatku co mame připojení
tu veřejnou jsem měl jinou to vim naprosto dobře
router u sebe nemam

[earl]

Ok,takze jsme se dostali k jadru pudla.

Kabel od pc vam vede ven z bytu,takze jste pripojen bud k routeru nebo spis switchi vaseho providera a ta verejna IP je jen a pouze JEHO zalezitost.

Takze na ne nastupte,ze takto by to tedy neslo.

Rozhodne dejte vedet,jak to dopadlo.

[brankar]

Takže to nebude těma virama jak povídaly
tak jestli tomu rozumím ma tuto IP adresu více majitelů

Dá se v počítači někde zjistit že jsem takhle připojen

Prosímtě dá se stoho neco vyčíst
Whois: 93.91.144.178

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '93.91.144.0 - 93.91.146.255'

inetnum: 93.91.144.0 - 93.91.146.255
netname: GRAPESC-INFRASTRUCTURE
descr: GRAPE SC, a.s.
country: CZ
admin-c: GS5801-RIPE
tech-c: GS5801-RIPE
status: ASSIGNED PA
mnt-by: MNT-GRAPESC
mnt-domains: MNT-GRAPESC
source: RIPE # Filtered

role: GRAPESC Skupina
address: Kukanova 2262
address: Chomutov
address: Czach Republic
phone: +420474620077
e-mail: benes@grapesc.cz
admin-c: LR2038-RIPE
admin-c: SB7373-RIPE
admin-c: RH3476-RIPE
admin-c: RM3777-RIPE
admin-c: JO1334-RIPE
tech-c: LR2038-RIPE
tech-c: SB7373-RIPE
tech-c: RH3476-RIPE
tech-c: RM3777-RIPE
nic-hdl: GS5801-RIPE
mnt-by: MNT-GRAPESC
source: RIPE # Filtered

% Information related to '93.91.144.0/20AS47232'

route: 93.91.144.0/20
descr: GRAPESC I.
origin: AS47232
mnt-by: MNT-GRAPESC
source: RIPE # Filtered

[earl]

Dá se v počítači někde zjistit že jsem takhle připojen

Presne tak,jak jste to udelal.

Whois: 93.91.144.178

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '93.91.144.0 - 93.91.146.255'

inetnum: 93.91.144.0 - 93.91.146.255 - rozsah sitovych adres,ktery dostal provider od RIPE k dispozici

ta vase tam spada take

netname: GRAPESC-INFRASTRUCTURE
descr: GRAPE SC, a.s. nazev spolecnosti,ktera ten rozsah dostala
country: CZ
admin-c: GS5801-RIPE
tech-c: GS5801-RIPE
status: ASSIGNED PA
mnt-by: MNT-GRAPESC
mnt-domains: MNT-GRAPESC
source: RIPE # Filtered



role: GRAPESC Skupina
address: Kukanova 2262
address: Chomutov
address: Czach Republic
phone: +420474620077
e-mail: benes@grapesc.cz kontaktni udaje
admin-c: LR2038-RIPE
admin-c: SB7373-RIPE
admin-c: RH3476-RIPE
admin-c: RM3777-RIPE
admin-c: JO1334-RIPE
tech-c: LR2038-RIPE
tech-c: SB7373-RIPE
tech-c: RH3476-RIPE
tech-c: RM3777-RIPE
nic-hdl: GS5801-RIPE
mnt-by: MNT-GRAPESC
source: RIPE # Filtered

% Information related to '93.91.144.0/20AS47232' Autonomni system

route: 93.91.144.0/20
descr: GRAPESC I.
origin: AS47232
mnt-by: MNT-GRAPESC
source: RIPE # Filtered

Takze jak rikam,fyzicky navstivte providera s pc pod pazi a nechte si tuto situaci vysvetlit.