vylécení pc

[Rudy]

Mám ten dojem, že se honíme za nějakou chimérou. Toho vira ukazuje jen Avast, všechny ostatní utility jsou zticha.

[maldapav]

jsem z toho špatnej,hlavně,když tomu ještě moc nerozumím.před 10 dny jsem zkoušel nainstalovat avast 5,když jsem zjistil,že je to v ang.,přepsala se mi ta 4,tak jsem ji stahnul znova,za pár dní mi to začlo ten vir ukazovat.nemohl jsem něco udělat špatně?mám zkusit jiný antivir?

[Rudy]

AVP je de facto Kaspersky a nenašel ho. Opravdu mi to připadá, že je to chiméra. Nic ho nenajde, není vidět přesto, že to není rootkit, nelze ho otestovat na virustotal, hlásí ho jenom Avast a odstřelit se nedá. Můžete v podstatě zkusit jakýkoli antivir. Po instalaci musíte mu ale vypnout rez. štít.

[maldapav]

üž vím,jak na virus total,tohle mi ukázal,a taky nevím co je to chiméra,tak sorry.tohle je ta analýzaSrpski | Македонски | العربية | Suomi | ihMdI | | עברית | | Slovenščina | Dansk | Русский | Română | Türkçe | Nederlands | Ελληνικά | Français | Svenska | Português | Italiano | | | Magyar | Deutsch | Polski | Español | English
Virustotal je služba, která analyzuje podezřelé soubory na přítomnost virů, červů, trojanů a dalšího malware, pomocí detekčního jádra mnoha antivirů. Více informací...
AnalýzaHledání součtůStatistikyEmail/UploaderO VT

Soubor Not available, prior to VT database update přijatý 2009.01.15 13:29:00 (UTC)
Současný stav: Dokončeno

Výsledek: 2/36 (5.56%)
Formátované Vytisknout výsledky Antivirus Verze Poslední aktualizace Výsledek
AhnLab-V3 - - -
AntiVir - - HTML/Crypted.Gen
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - -
Fortinet - - -
GData - - -
Ikarus - - -
K7AntiVirus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32 - - -
Norman - - -
Panda - - -
PCTools - - -
Prevx1 - - -
Rising - - -
SecureWeb-Gateway - - Heuristic.Script.Crypted
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
TrendMicro - - -
VBA32 - - -
ViRobot - - -
VirusBuster - - -
Rozšiřující informace
File size: 15374425 bytes
MD5 : 9f0f28181d7e0ea8b146b186415b0108
SHA1 : bd21a3c07a7c33179f7589e845a10b305d4e4e74
SHA256: f56992bbc681716b121ce66dcf8ab3015028d8b4c1ce74d36b1c5d5825d74027
TrID : File type identification
Warning: file seems to be plain text/ASCII
TrID is best suited to analyze binary files!
Unknown!
ssdeep: 24576:1nCk6of2aBVK1xAeJsPEPMxeVxBfHorhik9o33J4J0G0FLOWts8YrmEtwAtln368:i2N
PEiD : -
RDS : NSRL Reference Data Set
-


VAROVÁNÍ: VirusTotal je služba poskytovaná zdarma společnosti Hispasec Sistemas. Kvalita výsledků není nijak zaručena. Výsledky jsou závislé na tvůrci daného produktu. Vysledky testů nemusí být 100% správné. Tyto výsledky nemusí znamenat, že daný soubor je infikován, nebo čistý!

VirusTotal © Hispasec Sistemas - Blog - Kontakt: info@virustotal.com - Terms of Service & Privacy Policy

[Rudy]

Tak ho zkuste odstřelit Combofixem:

Skript:

Collect::
C:/WINDOWS/TEMP/CLAMAV-86e551538 JS:Script SH-inf

Teď je PC naprosto čistý (až na tento soubor) a není v něm tedy nic, co by ho mohlo obnovit. Dosud jste mi také neodpověděl, zda jste měl někdy něco v PC od ClamAntivirus. Zajímavé je, ža na VT ho Avast považuje za čistý a za infekci ho označují pouze 2 antiviry. nechce se mi moc věřit, že se opravdu jedná o virus.

[maldapav]

cf jsem ještě nezkusil,ale už asi vím,kde je problém.zapnu pc a v souboru windows/templ naběhne vir,ale po krátkém čase se ta složka ztratí,sama,proto to nikdo nemuže potom najít

[Rudy]

Opravdu zjímavé. Tohle jsem ještě neviděl a ani se to tu snad nikdy neřešilo. Nechápu potom, co může virus v PC dělat, když se po čase sám ztratí. Nemám tušení, co s tím. Do třetice otázka: Měl jste někdy v PC nějaký program od ClamAntivirus? Název souboru tomu totiž nasvědčuje.

[maldapav]

toto je te n log z cfComboFix 10-02-01.01 - Pavel 06.02.2010 21:13:02.5.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.420.1029.18.2047.1583 [GMT 1:00]
Spuštěný z: c:\documents and settings\Pavel\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Pavel\Plocha\CFScript.txt
AV: avast! antivirus 4.8.1368 [VPS 100206-1] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((( Soubory vytvořené od 2010-01-06 do 2010-02-06 )))))))))))))))))))))))))))))))
.

2010-02-03 19:19 . 2010-02-03 19:19 -------- d-----w- c:\windows\system32\wbem\Repository
2010-02-01 13:49 . 2010-02-01 13:49 -------- d-----w- C:\rsit
2010-01-27 14:42 . 2010-01-27 14:43 -------- d-----w- c:\windows\system32\NtmsData
2010-01-23 19:53 . 2010-01-23 19:56 -------- d-----w- c:\program files\JPEG Resampler
2010-01-19 14:16 . 2010-01-19 19:37 -------- d-----w- c:\program files\Vietcong

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-06 20:04 . 2008-10-28 10:33 -------- d-----w- c:\program files\Spyware Terminator
2010-02-06 16:55 . 2008-04-14 12:00 163644 ----a-w- c:\windows\system32\drivers\secdrv.sys
2010-02-06 16:40 . 2008-10-28 10:39 -------- d-----w- c:\program files\WinClamAVShield
2010-02-02 18:49 . 2009-02-20 14:38 -------- d-----w- c:\program files\DAEMON Tools Lite
2010-02-02 18:48 . 2008-11-29 13:46 -------- d-----w- c:\program files\DAEMON Tools Toolbar
2010-02-01 15:08 . 2008-10-28 10:24 -------- d-----w- c:\program files\Alwil Software
2010-01-21 10:35 . 2009-03-03 16:10 -------- d-----w- c:\program files\Microsoft Silverlight
2010-01-19 11:57 . 2010-01-25 16:41 38848 ----a-w- c:\windows\system32\ava7.tmp
2010-01-19 11:57 . 2010-01-25 16:41 152672 ----a-w- c:\windows\system32\asw6.tmp
2010-01-18 17:25 . 2009-02-20 19:11 -------- d-----w- c:\program files\Cesta kolem světa za 80 dní
2010-01-04 17:30 . 2008-10-28 10:10 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-01-03 12:07 . 2009-01-22 14:39 -------- d-----w- c:\program files\Activision
2009-12-31 14:39 . 2009-12-30 12:43 -------- d-----w- c:\program files\Cesta do středu Země
2009-12-30 12:54 . 2009-12-30 12:50 -------- d-----w- c:\program files\Ankh
2009-12-29 07:27 . 2009-08-13 15:48 -------- d-----w- c:\program files\Ubisoft
2009-12-28 08:01 . 2009-12-28 07:49 -------- d-----w- c:\program files\FlatOut2
2009-12-26 18:15 . 2008-11-11 17:58 -------- d-----w- c:\program files\Google
2009-12-21 19:08 . 2008-04-14 12:00 916480 ------w- c:\windows\system32\wininet.dll
2009-12-16 20:39 . 2008-10-31 19:57 -------- d-----w- c:\program files\Common Files\Adobe
2009-12-15 18:30 . 2009-12-15 18:30 -------- d-----w- c:\program files\Terasoft
2009-12-14 09:32 . 2009-11-30 17:58 -------- d-----w- c:\program files\The KMPlayer
2009-12-10 11:09 . 2008-04-14 12:00 78030 ----a-w- c:\windows\system32\perfc005.dat
2009-12-10 11:09 . 2008-04-14 12:00 429018 ----a-w- c:\windows\system32\perfh005.dat
2009-12-09 20:17 . 2009-04-16 16:23 -------- d-----w- c:\program files\Hypermax
2009-11-30 17:50 . 2008-11-29 13:44 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-11-24 23:54 . 2008-10-28 10:24 1280480 ------w- c:\windows\system32\aswBoot.exe
2009-11-24 23:51 . 2008-10-28 10:24 93424 ------w- c:\windows\system32\drivers\aswmon.sys
2009-11-24 23:50 . 2008-10-28 10:24 94160 ------w- c:\windows\system32\drivers\aswmon2.sys
2009-11-24 23:50 . 2008-10-29 14:08 114768 ------w- c:\windows\system32\drivers\aswSP.sys
2009-11-24 23:50 . 2008-10-29 14:08 20560 ------w- c:\windows\system32\drivers\aswFsBlk.sys
2009-11-24 23:49 . 2008-10-28 10:24 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-11-24 23:48 . 2008-10-28 10:24 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-11-24 23:47 . 2008-10-28 10:24 27408 ------w- c:\windows\system32\drivers\aavmker4.sys
2009-11-24 23:47 . 2008-10-28 10:24 97480 ------w- c:\windows\system32\AVASTSS.scr
2009-11-21 16:03 . 2008-04-14 12:00 471552 ----a-w- c:\windows\AppPatch\aclayers.dll
.

((((((((((((((((((((((((((((( SnapShot@2010-02-01_18.28.13 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-02-06 20:19 . 2010-02-06 20:19 16384 c:\windows\Temp\Perflib_Perfdata_5c0.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2007-07-18 451872]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-06-01 153136]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-11-20 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-01-03 13508608]
"nwiz"="nwiz.exe" [2008-01-03 1626112]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-01-03 86016]
"RTHDCPL"="RTHDCPL.EXE" [2007-03-21 16126464]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864]
"36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2007-03-21 1953792]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"SpywareTerminator"="c:\program files\Spyware Terminator\SpywareTerminatorShield.exe" [2008-10-28 1783808]
"ISUSPM Startup"="c:\program files\Common Files\InstallShield\UpdateService\isuspm.exe" [2005-08-11 249856]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2006-03-20 86960]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Media Key.lnk - c:\program files\Media Key\MagicKey.exe [2008-12-3 159744]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=
"c:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=
"c:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=
"c:\\Program Files\\Electronic Arts\\Medal of Honor Airborne\\UnrealEngine3\\Binaries\\MOHA.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);c:\windows\system32\drivers\sfdrv01a.sys [5.7.2006 13:46 63352]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [29.10.2008 15:08 114768]
R1 kbfilter;Keyboard Filter Driver;c:\windows\system32\drivers\kbfilter.sys [3.12.2008 18:52 12856]
R1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [28.10.2008 11:33 141312]
R1 UsbFltr;WayTechUSBFilterDriver;c:\windows\system32\drivers\UsbFltr.sys [3.12.2008 18:52 9291]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [29.10.2008 15:08 20560]
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\atl01_xp.sys [28.10.2008 11:13 38656]
S2 gupdate1c9a3e9afe29ca;Google Update Service (gupdate1c9a3e9afe29ca);c:\program files\Google\Update\GoogleUpdate.exe [13.3.2009 15:36 133104]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [29.11.2008 14:44 691696]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-07-18 16:53 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Obsah adresáře 'Naplánované úlohy'

2010-02-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-03-13 14:36]

2010-02-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-03-13 14:36]

2010-02-06 c:\windows\Tasks\User_Feed_Synchronization-{5FC305F7-AF0E-4BD5-B765-136A4FE291E0}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 03:31]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
uInternet Connection Wizard,ShellNext = iexplore
IE: Crawler Search - tbr:iemenu
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
Handler: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - c:\progra~1\Crawler\Toolbar\ctbr.dll
DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://212.158.133.188/activex/AMC.cab
FF - ProfilePath - c:\documents and settings\Pavel\Data aplikací\Mozilla\Firefox\Profiles\1klnrolo.default\
FF - prefs.js: browser.search.selectedEngine - DAEMON Search
FF - prefs.js: browser.startup.homepage - hxxp://www.daemon-search.com/startpage|http:// ... s:official
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-06 21:19
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll prosync1.sys >>UNKNOWN [0x89DEE900]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xba91cf28
\Driver\ACPI -> ACPI.sys @ 0xba77fcb8
\Driver\atapi -> prosync1.sys @ 0xbadae6c1
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Attansic L1 Gigabit Ethernet 10/100/1000Base-T Controller -> SendCompleteHandler -> NDIS.sys @ 0xba605bb0
PacketIndicateHandler -> NDIS.sys @ 0xba612a21
SendHandler -> NDIS.sys @ 0xba5f087b
user & kernel MBR OK

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'explorer.exe'(3348)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\windows\system32\RUNDLL32.EXE
c:\windows\RTHDCPL.EXE
c:\windows\system32\nvsvc32.exe
c:\program files\Spyware Terminator\sp_rsser.exe
c:\program files\Windows Media Player\WMPNetwk.exe
c:\program files\Media Key\OSD.EXE
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\program files\Common Files\Ahead\Lib\NMIndexingService.exe
c:\program files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
.
**************************************************************************
.
Celkový čas: 2010-02-06 21:23:01 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-02-06 20:22
ComboFix2.txt 2010-02-04 22:24
ComboFix3.txt 2010-02-02 20:58
ComboFix4.txt 2010-02-01 20:07
ComboFix5.txt 2010-02-06 20:08

Před spuštěním: Volných bajtů: 169 599 004 672
Po spuštění: Volných bajtů: 169 627 312 128

- - End Of File - - D0B465C729B167303ADD8783954F50AA
já jsem ten pc dostal v létě 2008 vytuněnej od známého,hned jsem tam dal avast a st,tak nevím jestli tam něco bylo,ale od té doby je to pořád stejné,začalo to ukazovat až ted před týdnem,bud po zrychlení internetu nebo po přeinstalování avastu

[Rudy]

Toto smažte z disku:

c:\program files\WinClamAVShield

Dále podle návodu: http://www.viry.cz/forum/viewtopic.php?f=15&t=2791 smažte vše, co má v sobě řetězec ClamAV. Bude to patně zbytek po ClamAntivirus.

[maldapav]

to se omlouvám,,budu potřebovat pomocprotože vubec netuším,co dávat za slova,vyberu klíč HCU,ale jak to přejmenovat a co dál, už je na mně asi moc,

[Rudy]

Otevřete Regedit>úpravy>najít. Pak zadáte "ClamAV" (bez uvozovek)>Enter. Po nálezu klíče stisknete >Delete<, potvrdíte, pak F3 a celé se to bude opakovat. Takto pokračujte, dokud se neobjeví hláška, že prohledávání bylo skončeno.

[maldapav]

děkuji,zatím to vypadá dobře,vir nenaběh,ale ten WinClamAVShields mi nejde vymazat,ukazuje mi to ,že je používán jiným programem a nevím,jak ho vypnout

[Rudy]

Pokud vir nenabíhá, nechte to tak. Ne všechny klíče se dají vymazat.

[maldapav]

díky moc,hodně jste mi pomohl,dost jem si oddechl

[Rudy]

Nemáte zač! I když si myslím, že to byl jen nějaký zbytek po CLAMu.