Avast hlásí Malware

[Roli]

Ano AVP Tool odinstaluj a pokračuj jak jsem psal.

Ještě přes Start >> Spustit zkopíruj do okna:

ComboFix /Uninstall

a stiskni Enter

To odinstaluje ComboFix a smaže s ním související soubory a složky.

Jinak až to bude tak to bude.

[eileen]

Program doskenoval a zde je výsledek:


c.bat;C:\ComboFix;Pravděpodobně BATCH.Virus;;
psexec.cfexe;C:\ComboFix;Program.PsExec.171;Chybná cesta k souboru ;
mv2p070RC2p.exe\Mv2PlayerPlus.exe;C:\programy\mv2p070RC2p.exe;Trojan.PWS.Banker.28836;;
mv2p070RC2p.exe;C:\programy;V archivu jsou infikované objekty;;
_desktop.ini;C:\WINDOWS\OPTIONS\CABS;Win32.HLLW.Gavir.ini;Smazán.;

Ještě doplním, že už jel scan, než jsi mi napsal, že mám odinstalovat AVpTool a Combofix a Combofix nemohu odinstalovat tak, jak mi píšeš, pořád mě to varuje, že tam je virus. Vlastně ani nevím, jestli se nainstaloval, ale každopádně mě to nechce pustit přes START na OVLÁDACÍ PANELY a PŘIDAT NEBO ODEBRAT a ani na UŽIVATELSKÉ ÚČTY. Hlásí mi to, že k tomu pravděpodobně nemám oprávnění.

[Roli]

Použij T-Cleaner, který smaže případné zbytky po aplikacích které jsme použili.

Jen před stažením a při použití stopni antivir, protože ho muže detekovat jako vir ale není tomu tak.


Písni mi co ti oznamuje když šahneš na ComboFix že tam je virus.

[eileen]

Jsem opět zde. R-Cleaner mi nic nedělá, když nainstaluji a zmáčknu klávesu A, nic se neděje.

Co se týče Combofix, podle mě, se ani nenainstaloval, jelikož když zadám do kolonky SPUSTIT podle tvé rady ComboFix /Uninstall a zmáčknu Enter, jakoby začne najíždět instalace, která se ale nedokončí a buď přestane a nic se neděje, nebo tam vyskočí okno "Chyba", kde je napsáno:

Varování! Není bezpečné dále pokračovat, obsah a součásti Combofixu byly narušeny. Stáhněte si, prosím, novou kopii z:
http://www.bleepingcomputer.com/combofi ... e-combofis
Poznámka: Může být infikován parazitickým souborovým virem (typicky: Virut).

Jestli je nainstalován nemohu zjistit, jelikož mě to nepustí ani do Přidat odebrat programy, ani mě to nenechá odpojit síť, nemám prý oprávnění.


Upravuji, T-Cleaner už mi to pročistil, Combofix je pryč, ale do Přidat odebrat apod. mě to nepustí.

[Roli]

Zajímavé ani jeden skener zatím nic závažného nenašel a přesto ti to hlásí VIRUT.

Zkus tedy ještě použít ty další aplikace.

[eileen]

Grisoft nenašel nic, log se sem nevejde.

Norman už je horší, zde je log:

Norman Malware Cleaner
Version 1.6.2
Copyright © 1990 - 2009, Norman ASA. Built 2010/02/01 14:17:37

Norman Scanner Engine Version: 6.04.03
Nvcbin.def Version: 6.04.00, Date: 2010/02/01 14:17:37, Variants: 4865728

Scan started: 01/02/2010 22:06:34

Running pre-scan cleanup routine:
Operating System: Microsoft Windows XP Professional 5.1.2600 Service Pack 3
Logged on user: DOMA-MKREK2Y2UM\Burgerovi

Removed registry value: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System -> DisableRegistryTools = 0x00000000

Scanning bootsectors...

Number of sectors found: 0
Number of sectors scanned: 0
Number of sectors not scanned: 0
Number of infections found: 0
Number of infections removed: 0
Total scanning time: 0s


Scanning running processes and process memory...

Number of processes/threads found: 4605
Number of processes/threads scanned: 4605
Number of processes/threads not scanned: 0
Number of infected processes/threads terminated: 0
Total scanning time: 1m 21s


Scanning file system...

Scanning: prescan

Scanning: C:\*.*

C:\Program Files\DreamCom\OLE\InstExcl.exe (Infected with W32/Delf.AYWA)
Deleted file

C:\Program Files\SlySoft\AnyDVD\AnyDVD.v6.4.x.x.Patcher.v1.1.exe (Infected with W32/Suspicious_Gen.FFEE)
Deleted file

C:\programy\Any DVD\AnyDVD.v6.4.x.x.Patcher.v1.1.exe (Infected with W32/Suspicious_Gen.FFEE)
Deleted file

C:\programy\Any DVD\anydvd.zip/AnyDVD.v6.4.x.x.Patcher.v1.1.exe (Infected with W32/Suspicious_Gen.FFEE)
Deleted file

C:\programy\bsplayer231.974_clip.exe/noname.nsis/file11/noname.nsis/file0 (Error whilst scanning file: I/O Error (0x00000026))

C:\programy\bsplayer231.974_clip.exe/noname.nsis/file31/fsback.bmp (Error whilst scanning file: I/O Error (0x00220005))

C:\programy\bsplayer231.974_clip.exe/noname.nsis/file32 (Error whilst scanning file: I/O Error (0x00220005))

C:\programy\cestina icq\ICQ Lite 5.04.2321 CZ.exe (Infected with W32/Smalltroj.GEON)
Deleted file

C:\programy\VSO.Software.ConvertXtoDVD.v2.2.3.258.Keymaker.Incl-EMBRACE.rar/VSO.Software.ConvertXtoDVD.v2.2.3.258.Keymaker.Incl-EMBRACE\keygen.exe (Infected with Suspicious_F.gen)
Deleted file

C:\System Volume Information\_restore{EFA541F8-7482-40E8-96E8-B902DECD20EC}\RP4\A0000346.exe (Infected with W32/Delf.AYWA)
Deleted file

C:\System Volume Information\_restore{EFA541F8-7482-40E8-96E8-B902DECD20EC}\RP4\A0000347.exe (Infected with W32/Suspicious_Gen.FFEE)
Deleted file

C:\System Volume Information\_restore{EFA541F8-7482-40E8-96E8-B902DECD20EC}\RP4\A0000348.exe (Infected with W32/Suspicious_Gen.FFEE)
Deleted file

C:\System Volume Information\_restore{EFA541F8-7482-40E8-96E8-B902DECD20EC}\RP4\A0000349.exe (Infected with W32/Smalltroj.GEON)
Deleted file

Scanning: postscan


Running post-scan cleanup routine:

Number of files found: 116922
Number of archives unpacked: 1245
Number of files scanned: 116918
Number of files not scanned: 4
Number of files skipped due to exclude list: 0
Number of infected files found: 10
Number of infected files repaired/deleted: 10
Number of infections removed: 10
Total scanning time: 26m 26s


Ještě doupravím, že po posledním čištění se mi neobjevují na některých stránkách loga, někde ani fotky, asi se mi někde něco smazalo, ale vůbec nevím kde a co vrátit, nastavit.

[Roli]

Ještě použij Avira Rescue System, ZDE je celkem slušný návod.

Jinak Norman většinou ustřílel cracky a keygen

[eileen]

Stáhla jsem tento

http://dlpro.antivir.com/package/rescue ... mon-en.iso

po ztažení exe souboru mi po vstrčení CD do mechaniky hlásil PC, že na CD nelze nic zapisovat. Tady ten odkaz nahoře se vypálil v neru, na to samé CD, ale samo se nic nespustí, když dám otevřít CD, opět mi vyjede okno, že nemám přístup a oprávnění, jako u spousty věcí v ovládacích panelech.
Nevím, proč mě to nechce pustit třeba do obnovení systému apod.

[Roli]

A co to zkusit v Nouzovém režimu (při restartu mačkej F8, pak vyber z nabídky Stav nouze).

[eileen]

To je pro mě španělská vesnice. Takže se musím napřed zeptat, jestli při dalším restartu, pakliže se mi to třeba nepovede, se PC nastartuje normálně a myslel jsi to tak, že v nouzovém režimu by se jako třeba to CD spustilo a pokračovala bych podle toho návodu na tu Aviru Rescue?

[Roli]

Ano restartuj PC a při tom mačkej F8, pokud to nestihneš systém najede normálně tak musíš znovu.

Jestliže nepujde to záchrané CD vypálit ani v Nouzovém režimu, mohla bys tam znovu zkusit použít ComboFix

[eileen]

Stav nouze, nebo stav nouze s prací v síti?
To Combofix mi nešlo před tím ale ani nainstalovat.

[Roli]

Pokud si nejdříve ComboFix stáhneš a uložiš na plochu tak stačí pouze Stav nouze, kde ho pak spustíš.

[eileen]

CD nešlo vypálit ani tam, combofix jsem nainstalovala a zde je log:

ComboFix 10-02-03.03 - Administrator 03.02.2010 19:59:49.1.2 - x86 NETWORK
Spuštěný z: c:\documents and settings\Administrator\Plocha\ComboFix.exe
.
ADS - WINDOWS: deleted 24 bytes in 1 streams.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\ICQ6.5\ICQLRun.exe
c:\program files\Mozilla Firefox\plc4.dll

.
((((((((((((((((((((((((( Soubory vytvořené od 2010-01-03 do 2010-02-03 )))))))))))))))))))))))))))))))
.

2010-02-02 20:22 . 2010-02-02 20:22 -------- d-----w- C:\DVD_VIDEO_RECORDER
2010-01-27 20:23 . 2010-01-27 20:23 -------- d-----w- c:\documents and settings\Burgerovi\DoctorWeb
2010-01-26 21:54 . 2010-01-26 21:54 -------- d--h--w- c:\windows\PIF
2010-01-24 17:13 . 2010-01-25 08:32 -------- d-----w- c:\program files\Centauri
2010-01-18 21:04 . 2010-01-18 21:05 -------- d-----w- c:\program files\CentrumczToolbar
2010-01-17 22:22 . 2010-01-17 22:24 -------- d-----w- C:\Return to Castle Wolfenstein
2010-01-09 20:44 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-09 20:44 . 2010-01-09 20:44 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-01-09 20:44 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-07 16:39 . 2010-01-07 16:39 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2010-01-07 16:39 . 2010-01-07 16:39 -------- d-----w- c:\windows\Logs
2010-01-07 16:39 . 2010-01-07 16:39 -------- d-----w- c:\program files\Common Files\PataMat

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-03 19:01 . 2009-07-14 16:37 -------- d-----w- c:\program files\ICQ6.5
2010-01-26 22:02 . 2008-09-21 13:53 438 -c--a-w- c:\windows\system32\drivers\fwdrv.err
2010-01-20 12:10 . 2009-12-15 07:43 -------- d-----w- c:\program files\Alík-Veselá matematika
2010-01-09 18:01 . 2008-09-21 13:51 -------- d-----w- c:\program files\Codec Pack - All In 1
2010-01-09 18:01 . 2008-09-21 13:51 737280 ----a-w- c:\windows\iun6002.exe
2009-12-15 07:42 . 2009-12-15 07:38 253952 ------w- c:\windows\Setup1.exe
2009-12-15 07:42 . 2009-12-15 07:38 73728 ----a-w- c:\windows\ST6UNST.EXE
2008-10-17 16:02 . 2008-10-17 16:01 24 -csh--w- c:\windows\S92B73F67.tmp
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"NeroHomeFirstStart"="c:\program files\Common Files\Ahead\Lib\NMFirstStart.exe" [2006-10-09 10752]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-12 16132608]
"JMB36X IDE Setup"="c:\windows\JM\JMInsIDE.exe" [2006-10-30 36864]
"36X Raid Configurer"="c:\windows\System32\JMRaidSetup.exe" [2007-02-06 1953792]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2007-04-12 8429568]
"nwiz"="nwiz.exe" [2007-04-12 1626112]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2007-04-12 81920]
"LogitechCommunicationsManager"="c:\program files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe" [2008-08-14 565008]
"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam\Quickcam.exe" [2008-08-14 2407184]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2009-11-12 198160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Kerio\\Personal Firewall 4\\kpf4gui.exe"=
"c:\\Program Files\\BitLord\\BitLord.exe"=
"c:\\programy\\STRONG DC\\StrongDC.exe"=
"c:\\Program Files\\ICQ6.5\\ICQ.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 aswSP;avast! Self Protection; [x]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2009-08-17 20560]
S1 fwdrv;Firewall Driver;c:\windows\system32\drivers\fwdrv.sys [2004-04-15 147456]

.
Obsah adresáře 'Naplánované úlohy'

2010-02-02 c:\windows\Tasks\HPpromotions journeysoftware.job
- c:\program files\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe [2005-04-22 15:36]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.yahoo.com
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Administrator\Data aplikací\Mozilla\Firefox\Profiles\8enkd1hr.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.yahoo.com/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - component: c:\program files\BS.Player ControlBar\FirefoxDTT\components\BSToolbarFF.dll
FF - component: c:\program files\CentrumczToolbar\Firefox\Cetrumcz@igeared\components\IGeared_cetrumczp_xputils2.dll
FF - component: c:\program files\CentrumczToolbar\Firefox\Cetrumcz@igeared\components\IGeared_cetrumczp_xputils3.dll
FF - component: c:\program files\CentrumczToolbar\Firefox\Cetrumcz@igeared\components\IGeared_cetrumczp_xputils35.dll
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - component: c:\program files\Real\RealPlayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

ActiveSetup-{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E555} - c:\programy\Any DVD\AnyDVD leftover killer 1.3.exe
AddRemove-Winamp Toolbar for Firefox - c:\documents and settings\Burgerovi\Data aplikací\Mozilla\Firefox\Profiles\i4wye4it.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-03 20:01
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
Celkový čas: 2010-02-03 20:02:25
ComboFix-quarantined-files.txt 2010-02-03 19:02

Před spuštěním: Volných bajtů: 158 389 047 296
Po spuštění: Volných bajtů: 158 390 697 984

WindowsXP-KB310994-SP2-Home-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

- - End Of File - - 9C70CD31345E7C36219274BE5ECD1CAB

Vůbec netuším, jestli je to to, co jsem měla udělat, prostě jsem ho nastartovala v nouzovém režimu. Po té mě to hodilo na obnovení systému, což jsem nevěděla, jestli mám něco nastavit, nebo ne, takže jsem to zrušila, ale v nouzovém režimu mě to tam pustilo. Restartovala jsem PC, jsem v normálním režimu a už mě to v ovládacích panelech nikam zase nepustím. Prosím, napiš mi, proč.

[eileen]

Zrušilo mi to avast, nemám antivir, nejde nic nainstalovat, prostě jsem už zoufalá. Vrátila jsem PC v nouzovém režimu na odpoledne, ale nepomohlo. Vážně nevím, co mám teď dělat. Proooosím, pomoc!!!!!!