Mel jsem Security Tool a asi i TrojanDownloader.Wigon.BS ...

[stell]

ak combofix nepojde,tak este jeden script pre OTL,a potom spust combofix,normalne bez scriptu.

Kód: Vybrat vše

:files
C:\Windows\regedit.exe|c:\regedit.exe /replace
:commands
[emptytemp]

[Zabaak]

Ok, to jsem udelal, ale skoncilo to zase hlaskou o regeditu. Takze ani nedobehl do konce aby byl log.

[stell]

jasne,, sprav co som napisal pred tvojim prispevkom

[Zabaak]

Jeste se objevila hlaska, ze Kos na jednotce C je poskozen, dal jsem vysypat:
Tady je log:


All processes killed
========== FILES ==========
Unable to replace file: C:\Windows\regedit.exe with c:\regedit.exe without a reboot.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: All Users

User: Boza
->Temp folder emptied: 361 bytes
->Temporary Internet Files folder emptied: 2745952 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 434 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 16765 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 3,00 mb


OTL by OldTimer - Version 3.1.37.1 log created on 03162010_234153

Files\Folders moved on Reboot...
C:\Documents and Settings\Boza\Local Settings\Temporary Internet Files\Content.IE5\PHZMNJEF\afr[1].htm moved successfully.
C:\Documents and Settings\Boza\Local Settings\Temporary Internet Files\Content.IE5\PHZMNJEF\search[1].htm moved successfully.
C:\Documents and Settings\Boza\Local Settings\Temporary Internet Files\Content.IE5\PHZMNJEF\viewtopic[2].htm moved successfully.
C:\Documents and Settings\Boza\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat moved successfully.
C:\WINDOWS\temp\Perflib_Perfdata_1b4.dat moved successfully.

Registry entries deleted on Reboot...

Jdu pustit Combofix bez skriptu.

[stell]

mas inst CD-ROM??

[Zabaak]

Tak Combofix skoncil zase na hlasce o Regeditu. Instalacni CD mam, ale preinstalaci se zatim branim. Nicmene to k tomu asi pozvolna speje...

[stell]

nie,expandujes regedit z konzoly pre zotavenie,ziadna preinstalacia,,ono je to tazke ked su vymazane sytemove subory,,
takze pojdes na konzolu pre zotavenie a zadas prikaz [d]=pismenko tvojej jednotky cd/dvd-
expand d:\i386\regedit.ex_ c:\windows [enter]
exit [enter]
http://www.viry.cz/forum/viewtopic.php?f=11&t=7294

[stell]

ok,ja dnes koncim,ak vsetko uspesne prebehne spust combofix,ak nie napis,aj zajtra je den,

[Zabaak]

Jasne, jeste napisu dnesi souhrn:
v konzoli z nabootovane instalacky se taky nedalo v DOSu k C:\WINDOWS pristupovat (Pristup odepren). Jinak regedit na instalacce neni zabaleny, takze normalne by ho stacilo kopirovat - expandovat nejde. Tak jsem bootnul Slax linux a regedit v nem nakopiroval do C:\WINDOWS Resrartnul jsem to Win, pustim ComboFix a zase konci hlaskou o chybejicim regeditu. Imho je neco divnyho s filesystemem, i kdyz data se zatim tvari v pohode. Stejne jako se nejde dostat do adresare s Win se treba nejde dostat do adresare QooBox ktery si vytvoril nejaky z toho leciciho sw. Co dale? chkdsk, fixmbr asi ne, kdyz to bootuje normalne, ne?
Nebo neco s pravama? Ze by neco sebralo prava k pristupu do techto adresaru?

[JaRon]

no divny pripad ,,,
1. otestuj HDD s prikazoveho riadku chkdsk ak najde chyby nechaj opravit /F
2. vytvor bootCD Avira a nechaj PC otestovat
3. ak body 1 a 2 zlyhaju vidim to na opravnu instalaciu Win - R

[Zabaak]

Zdravim,
bohuzel se nepovedl ani bod 3. Odmitlo to zkopirovat soubor explorer.exf (nebo tak neco) z instalacniho CD, odhaduju to zase na ten problem s pristupem do nekterych adresaru, zvlaste Windows. Proste jakoby neco je nejak zablokovalo, no nevim.

Takze reseni bylo smazat celou partition a instalovat znova. Jeste ze data jsou na druhe partition.

Takze dekuji vsem za rady a timto to pokladam za vyresene. Nicmene co to bylo, by me fakt zajimalo... Nicmene uz potrebuju delat, tak se preinstalace po tydnu laborovani jevila jako nejrychlejsi.

[JaRon]

ahoj,
dobre si urobil
posledne prejavy mi skor pripadali ako poskodene registre, najdene virusy nesposobuju skody tohto typu ,,,