Pro Motji: trojan Generic15.apnz

[motji]

Vyměníme jeden soubor a pak mi otestujete pár souborů, internet by už pak měl běžet v pořádku . Můžete už klidně pracovat v běžném režimu .

Z přílohy stahněte soubory, rozbalte a nakopírujte přímo na disk C, tak aby cesta byla
c:\ndis.sys
c:\A\ndis.sys (tento soubor je ve složce A, složka je rovnou v příloze )

Stáhněte Avenger
http://swandog46.geekstogo.com/avenger.exe

-spustíte program a potvrdíte kliknutím na ok,tím potvrzujete, že všechny činnosti s tím spojené činíte na vlastní riziko.
-Po odkliknutí se objeví hlavní okno programu,do bílého okna něj zkopírujte tento skript:

Kód: Vybrat vše

Begin copying here:
Files to move:
c:\ndis.sys | c:\windows\system32\drivers\ndis.sys
c:\A\ndis.sys | c:\windows\system32\dllcache\ndis.sys

-zaškrtněte políčko scan for rootkits

a klikněte na tlačítko Execute.
-Potom se objeví okno,kde kliknutím Yes potvrdíte spuštění skriptu. Pak znovu tlačítkem yes potvrdíte restart počítače.
-Po restartu by se měl otevřít poznámkový blok s logem o vykonání skriptu, bude také uložený v C:\avenger.txt.
-Log vložte sem


Pokud nemáte, přesuňte Combofix na plochu
-otevřete si Poznámkový blok
-Do něj zkopírujte text z tohoto okénka

Kód: Vybrat vše

RenV::
c:\program files\Analog Devices\Core\smax4pnp .exe
c:\program files\Analog Devices\SoundMAX\smax4       .exe
c:\program files\Canon\SolutionMenu\cnslmain .exe
c:\program files\Common Files\Acronis\Schedule2\schedhlp .exe
c:\program files\Common Files\Ahead\Lib\nerocheck .exe
c:\program files\Common Files\Ahead\Lib\nmbgmonitor .exe
c:\program files\Common Files\Java\Java Update\jusched .exe
c:\program files\Logitech\Gaming Software\lwemon .exe
c:\program files\Microsoft IntelliPoint\ipoint .exe

Restore::
c:\windows\SoftwareDistribution\Download\ab04a73630759d84a46114bfca20f64c\ndis.sys

-uložte Vámi vytvořený TXT soubor jako CFScript.txt na plochu
-po uložení uchopte vámi vytvořený skript levým myšítkem a -přesuňte ho nad ikonu Combofixu, kde ho upustíte:




-po aplikaci na Vás vypadne další log,vložte ho sem

Upozornění : může se stát, že po aplikaci skriptu a restartu Windows nenaběhnou, v tom případě znovu restartujte a přitom mačkejte F8, pak zvolte Poslední známou funkční konfiguraci


Otestujte na http://www.virustotal.com
c:\windows\system32\drivers\nvata_2.sys
c:\windows\system32\RUNDLL32.EXE
c:\windows\system32\SVCHOST.EXE
c:\windows\system32\drivers\ATAPI.SYS
c:\windows\explorer.exe
c:\windows\system32\services.exe


Používáte Daemon nebo alcohol?

[Albi1]

Používám Alcohol120% - pokud vím, nechává jeden skrytý soubor, který může být detekován jako rootkit.
Jdu na další akci.

[motji]

Jen jsem se ptala, protože pak použijeme Gmer, a drivery od alcoholu zkreslují výsledky .

[Albi1]

Ty dva soubory se malinko bránily zápisu na C:, ale pomocí BART-PE se to podařilo.
Virustotal dodám vzápětí.

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: could not open file "c:\ndis.sys" for move operation
File move operation "c:\ndis.sys|c:\windows\system32\drivers\ndis.sys" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)


Error: could not open file "c:\A\ndis.sys" for move operation
File move operation "c:\A\ndis.sys|c:\windows\system32\dllcache\ndis.sys" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)


Completed script processing.

*******************

Finished! Terminate.


ComboFix 10-04-08.06 - Rodina 11.04.2010 19:21:31.5.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.420.1029.18.3070.2716 [GMT 2:00]
Spuštěný z: c:\documents and settings\Rodina\Plocha\potvora.exe
Použité ovládací přepínače :: c:\documents and settings\Rodina\Plocha\CFScript.txt
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\SoftwareDistribution\Download\ab04a73630759d84a46114bfca20f64c\ndis.sys . . . je infikován!!

Nakažená kopie c:\windows\system32\Drivers\imagedrv.sys byla nalezena a vyléčena.
Obnovena kopie z - Kitty ate it :p
Nakažená kopie c:\windows\system32\Drivers\imagedrv.sys byla nalezena a vyléčena.
Obnovena kopie z - Kitty ate it :p
.
((((((((((((((((((((((((( Soubory vytvořené od 2010-03-11 do 2010-04-11 )))))))))))))))))))))))))))))))
.

2010-04-11 19:02 . 2009-08-21 13:04 182912 ----a-w- C:\ndis.sys
2010-04-11 16:33 . 2010-04-11 19:00 -------- d-----w- C:\A
2010-04-11 09:47 . 2010-04-11 11:13 -------- d-----w- C:\potvora
2010-04-10 22:11 . 2006-08-21 10:24 105344 ----a-r- c:\windows\system32\drivers\nvata_2.sys
2010-04-09 21:10 . 2010-04-09 21:10 -------- d-sh--w- c:\documents and settings\Administrator\IETldCache
2010-04-09 20:17 . 2010-04-09 20:17 -------- d-----w- C:\_OTM
2010-04-08 21:07 . 2010-04-09 23:14 135104 ----a-w- c:\windows\system32\drivers\sfi.dat
2010-04-08 20:42 . 2010-04-08 20:42 -------- d---a-w- c:\windows\system32\runouce.exe
2010-04-07 23:31 . 2004-08-17 13:49 33280 ----a-w- c:\windows\system32\RUNDLL32.EXE
2010-04-07 21:15 . 2004-08-17 13:49 14336 ------w- c:\windows\system32\SVCHOST.EXE
2010-04-07 21:00 . 2004-08-03 20:59 95360 ------w- c:\windows\system32\drivers\ATAPI.SYS
2010-04-07 20:47 . 2007-06-13 13:23 1033728 ------w- c:\windows\explorer.exe
2010-04-07 20:04 . 2010-04-07 20:04 -------- d-----r- c:\documents and settings\LocalService\Oblíbené položky
2010-04-07 00:44 . 2009-02-09 10:11 111104 ------w- c:\windows\system32\services.exe
2010-03-29 16:15 . 1999-11-10 09:05 86016 ----a-w- c:\windows\unvise32qt.exe
2010-03-29 16:14 . 2010-04-08 22:15 -------- d-----w- c:\windows\system32\QuickTime
2010-03-22 16:27 . 2010-03-22 16:27 -------- d-----w- c:\program files\MSECache
2010-03-21 17:55 . 2005-07-08 13:44 159616 ----a-w- c:\windows\system32\drivers\vax347b.sys
2010-03-21 17:55 . 2004-04-30 08:33 5248 ----a-w- c:\windows\system32\drivers\vax347s.sys
2010-03-13 15:29 . 2010-03-20 19:32 664 ----a-w- c:\windows\system32\d3d9caps.dat

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-11 17:21 . 2009-04-09 21:01 -------- d-----w- c:\program files\Microsoft IntelliPoint
2010-04-11 16:30 . 2001-10-25 14:00 46196 ----a-w- c:\windows\system32\perfc005.dat
2010-04-11 16:30 . 2001-10-25 14:00 309990 ----a-w- c:\windows\system32\perfh005.dat
2010-04-09 22:34 . 2001-10-25 14:00 5888 ----a-w- c:\windows\system32\drivers\dmload.sys
2010-04-06 19:21 . 2004-08-03 21:14 212736 ------w- c:\windows\system32\drivers\ndis.sys
2010-03-29 22:46 . 2009-04-06 19:43 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-29 22:45 . 2009-04-06 19:43 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-11 21:42 . 2010-03-11 21:42 -------- d-----w- c:\program files\Common Files\Java
2010-03-11 21:42 . 2009-06-17 19:39 -------- d-----w- c:\program files\Java
2010-02-27 14:33 . 2009-04-05 19:31 717296 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-02-25 06:18 . 2004-08-17 13:49 916480 ------w- c:\windows\system32\wininet.dll
2010-01-18 06:30 . 2010-01-18 06:30 499712 ----a-w- c:\windows\system32\msvcp71.dll
2010-01-12 04:03 . 2010-01-05 22:32 61440 ----a-w- c:\windows\system32\OpenCL.dll
2010-01-12 04:03 . 2010-01-05 22:32 11632640 ----a-w- c:\windows\system32\nvcompiler.dll
2010-01-12 04:03 . 2009-09-27 15:12 4104192 ----a-w- c:\windows\system32\nvcuda.dll
2010-01-12 04:03 . 2009-09-27 15:12 4077672 ----a-w- c:\windows\system32\nvcuvenc.dll
2010-01-12 04:03 . 2009-09-27 15:12 2283526 ----a-w- c:\windows\system32\nvdata.bin
2010-01-12 04:03 . 2009-09-27 15:12 2259560 ----a-w- c:\windows\system32\nvcuvid.dll
2010-01-12 04:03 . 2006-08-11 13:43 1081344 ----a-w- c:\windows\system32\nvapi.dll
2010-01-12 04:03 . 2006-08-11 13:42 14458880 ----a-w- c:\windows\system32\nvoglnt.dll
2010-01-12 04:03 . 2006-08-11 13:42 6359168 ----a-w- c:\windows\system32\nv4_disp.dll
2010-01-12 04:03 . 2006-08-11 13:42 182888 ----a-w- c:\windows\system32\nvcodins.dll
2010-01-12 04:03 . 2006-08-11 13:42 10276768 ----a-w- c:\windows\system32\drivers\nv4_mini.sys
2010-01-11 21:17 . 2010-01-11 21:17 278120 ----a-w- c:\windows\system32\nvmccs.dll
2010-01-11 21:17 . 2010-01-11 21:17 154216 ----a-w- c:\windows\system32\nvsvc32.exe
2010-01-11 21:17 . 2010-01-11 21:17 145000 ----a-w- c:\windows\system32\nvcolor.exe
2010-01-11 21:17 . 2010-01-11 21:17 13666408 ----a-w- c:\windows\system32\nvcpl.dll
2010-01-11 21:17 . 2010-01-11 21:17 110696 ----a-w- c:\windows\system32\nvmctray.dll
2010-01-11 21:17 . 2010-01-11 21:17 81920 ----a-w- c:\windows\system32\nvwddi.dll
.

------- Sigcheck -------

[-] 2010-04-06 . 558635D3AF1C7546D26067D5D9B6959E . 212736 . . [5.1.2600.2180] . . c:\windows\system32\dllcache\ndis.sys
[-] 2010-04-06 . 558635D3AF1C7546D26067D5D9B6959E . 212736 . . [5.1.2600.2180] . . c:\windows\system32\drivers\ndis.sys
[-] 2008-04-13 . 558635D3AF1C7546D26067D5D9B6959E . 182656 . . [5.1.2600.2180] . . c:\windows\SoftwareDistribution\Download\ab04a73630759d84a46114bfca20f64c\ndis.sys
.
((((((((((((((((((((((((((((( SnapShot@2010-04-10_22.31.22 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-04-11 17:27 . 2010-04-11 17:27 16384 c:\windows\temp\Perflib_Perfdata_7e0.dat
+ 2001-10-25 14:00 . 2010-04-11 16:30 40128 c:\windows\system32\perfc009.dat
- 2001-10-25 14:00 . 2010-04-09 20:17 40128 c:\windows\system32\perfc009.dat
+ 2001-10-25 14:00 . 2010-04-11 16:30 311740 c:\windows\system32\perfh009.dat
- 2001-10-25 14:00 . 2010-04-09 20:17 311740 c:\windows\system32\perfh009.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-01-11 13666408]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-01-11 110696]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ASUS SmartDoctor"=c:\program files\ASUS\SmartDoctor\SmartDoctor.exe /start
"Shield"=i:\program files\Acronis\PrivacyExpert\Shield.exe
"ctfmon.exe"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Ai Gear Help"="i:\program files\ASUS\AI Gear\GearHelp.exe"
"AsusStartupHelp"=c:\program files\ASUS\AASP\1.00.15\AsRunHelp.exe
"CanonMyPrinter"=c:\program files\Canon\MyPrinter\BJMyPrt.exe /logon
"GameFace Messenger"=c:\program files\GameFace Messenger\GameFace.exe
"Launch Ai Booster"="i:\program files\ASUS\AI Booster\OverClk.exe"
"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
"COMODO Internet Security"="i:\program files\Comodo\COMODO Internet Security\cfp.exe" -h

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R0 vax347b;vax347b;c:\windows\system32\drivers\vax347b.sys [21.3.2010 19:55 159616]
R0 vax347s;vax347s;c:\windows\system32\drivers\vax347s.sys [21.3.2010 19:55 5248]
R2 psh_drv;Process Activity Acronis Monitor;c:\windows\system32\drivers\psh_drv.sys [5.5.2009 22:10 98880]
R2 psh_svc;Acronis Malware Shield Service;c:\program files\Common Files\Acronis\Ochranný štít\psh_svc.exe [18.4.2006 14:01 993466]
S2 gupdate;Služba Google Update (gupdate);"c:\program files\Google\Update\GoogleUpdate.exe" /svc --> c:\program files\Google\Update\GoogleUpdate.exe [?]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\2.tmp --> c:\windows\system32\2.tmp [?]
S3 TF1D091000SER;TF1D091000SER USB Device for Legacy Serial Communication;c:\windows\system32\drivers\TF1D091000SER.sys [14.10.2009 20:03 99968]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [5.4.2009 21:31 717296]
.
.
------- Doplňkový sken -------
.
uStart Page = about:blank
IE: &Download by Orbit - i:\program files\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - i:\program files\Orbitdownloader\orbitmxt.dll/204
IE: Do&wnload selected by Orbit - i:\program files\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - i:\program files\Orbitdownloader\orbitmxt.dll/202
IE: E&xportovat do aplikace Microsoft Office Excel - i:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: WikiKomentáře Google... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
LSP: %SYSTEMROOT%\system32\nvappfilter.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-11 19:28
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe >>UNKNOWN [0x8AC08580]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xb810cfc3
\Driver\ACPI -> ACPI.sys @ 0xb7f38cb8
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x8058241c
ParseProcedure -> ntkrnlpa.exe @ 0x8058155c
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x8058241c
ParseProcedure -> ntkrnlpa.exe @ 0x8058155c
NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> NDIS.sys @ 0x8abc4ba0
PacketIndicateHandler -> NDIS.sys @ 0x8abb3a0b
SendHandler -> NDIS.sys @ 0x8abc7b31
user & kernel MBR OK

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\2.tmp"
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_USERS\S-1-5-21-839522115-1004336348-682003330-1003\Software\SecuROM\License information*]
"datasecu"=hex:88,ae,3c,f7,6a,60,52,ee,88,b8,b4,f0,ae,ab,03,50,eb,c3,79,e1,8f,
ff,13,a6,3a,65,65,7f,1a,54,43,aa,30,4b,9c,df,5b,e9,3e,2b,90,c7,69,c8,13,e1,\
"rkeysecu"=hex:c1,5e,89,33,22,42,0b,65,a9,98,89,af,bf,b5,50,39
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'lsass.exe'(964)
c:\windows\system32\relog_ap.dll
c:\windows\system32\nvappfilter.dll

- - - - - - - > 'explorer.exe'(2488)
c:\windows\system32\nvappfilter.dll
c:\windows\system32\webcheck.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\program files\Common Files\Acronis\Schedule2\schedul2.exe
c:\windows\ATKKBService.exe
c:\program files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
i:\program files\AlcoholSoft\Alcohol 120\StarWind\StarWindService.exe
c:\program files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
c:\windows\system32\wdfmgr.exe
c:\program files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
c:\program files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\RUNDLL32.EXE
.
**************************************************************************
.
Celkový čas: 2010-04-11 19:32:09 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-04-11 17:32

Před spuštěním: 2 642 288 640
Po spuštění: 2 604 220 416

- - End Of File - - EB9C5646CAC2541DDDB633DF256B4BF2

[Albi1]

Takže soubory testovány po Avenger a Combofix (viz výše):

http://www.virustotal.com/cs/analisis/0 ... 1271009823
http://www.virustotal.com/cs/analisis/c ... 1271010025
http://www.virustotal.com/cs/analisis/4 ... 1271010189
http://www.virustotal.com/cs/analisis/7 ... 1271010334
http://www.virustotal.com/cs/analisis/6 ... 1271010439
http://www.virustotal.com/cs/analisis/5 ... 1271010620

Na C se vytvořil adresář s číselným názvem a v něm mimo jiné je tento spouštěcí soubor:
boot.bat s následujícím scriptem. Je to v pořádku?

@IF EXIST mdCheck00.dat DEL /A/F mdCheck00.dat
@IF EXIST DIS_WFP DEL /A/F DIS_WFP
@ECHO.@SET "ChkSum=%ChkSum%">>SetPath.bat

@TITLE .
@CD /D "%~DP0"

@IF EXIST chcp.bat CALL chcp.bat >N_\%random% 2>&1
@IF NOT DEFINED ControlSet CALL CCS.bat
@IF NOT EXIST debug???.dat ECHO OFF
@IF [%1]==[AVDEL] GOTO AVDEL
@IF [%1]==[ERU] GOTO ERU

CLS


@ECHO.
:: ECHO.Rebooting Windows . . . Please wait
@ECHO.%Line28%
NIRCMD WIN HIDE CLASS PROGMAN
NIRCMD WIN ACTIVATE TITLE .
PEV -k Catchme.tmp


@SWREG ACL "HKEY_LOCAL_MACHINE\Security\Policy\Accounts\S-1-5-32-544\Privilgs" /GA:F /Q
@SWREG QUERY "HKEY_LOCAL_MACHINE\Security\Policy\Accounts\S-1-5-32-544\Privilgs" >temp00
@GREP -Eisq 140{21} temp00 || CALL :SDBG-B >N_\%random% 2>&1
@GREP -Eisq 140{21}.*140{21} temp00 && CALL :SDBG-B >N_\%random% 2>&1
@SWREG ACL "HKEY_LOCAL_MACHINE\Security\Policy\Accounts\S-1-5-32-544\Privilgs" /RESET /Q
@SWREG ACL "HKEY_LOCAL_MACHINE\Security\Policy\Accounts\S-1-5-32-544\Privilgs" /RO:F /RA:F /Q



@IF NOT EXIST rboot.dat TYPE myNul.dat >rboot.dat
@IF EXIST d-del4AV.dat (
@CALL :AVDEL
) ELSE IF EXIST ND.mov CALL :AVDEL


ECHO.START /I /B %ComSpec% /C CALL Find3M.bat>>Combobatch.bat


SWREG QUERY "hklm\software\microsoft\windows nt\currentversion\image file execution options\userinit.exe" >N_\%random% &&(
SWREG ADD "hkey_local_machine\software\microsoft\windows nt\currentversion\winlogon" /v Userinit /d "%systemroot%\explorer.exe,"
)>N_\%random% 2>&1



SET "HOME=%CD%"
@>RunOnce00.dat (
ECHO.REGEDIT4
ECHO.
ECHO.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runonceex]
ECHO."flags"=dword:00000008
ECHO.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runonceex\000]
ECHO."*combofix"="%cd:\=\\%\\%kmd% /c %cd:\=\\%\\Combobatch.bat"
ECHO.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
ECHO."combofix"="%cd:\=\\%\\%kmd% /c %home:\=\\%Combobatch.bat"
ECHO.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
ECHO."combofix"="%cd:\=\\%\\%kmd% /c %cd:\=\\%\\Combobatch.bat"
)
REGT /S RunOnce00.dat >N_\%random% 2>&1



@IF NOT EXIST %systemroot%\erdnt MD %systemroot%\erdnt >N_\%random%

@IF NOT EXIST %systemroot%\erdnt\CFrecovery.bat @(
ECHO.set AllowAllPaths = true
ECHO.set AllowRemovableMedia = true
ECHO.set AllowWildCards = true
ECHO.set NoCopyPrompt = true
)>%systemroot%\erdnt\CFrecovery.bat



IF EXIST erunt.dat TYPE erunt.dat | GREP -Fsq \ && CALL :ERU
DEL /A/F RunOnce00.dat Desktop.ini 2>N_\%random%


Catchme -l N_\%random% -Iapx >temp00
GREP -Fiq "%system:~2%\winlogon.exe" temp00 && IF NOT EXIST fboot.dat (
NirCmd exitwin reboot force
NirCmd wait 10000
)
Catchme -U
NIRCMD WAIT 5000
PV -kf csrss.exe
EXIT



:ERU
Handle erdnt\subs >temp00
SED -R "/.* pid: (\d*) +(\S*):.*/I!d;s//@Handle -c \2 -y -p \1/" temp00 >temp00.bat
CALL temp00.bat
DEL /A/F temp00.bat temp00 >N_\%random% 2>&1

IF EXIST %systemroot%\erdnt\subs\ RD /S/Q %systemroot%\erdnt\subs >N_\%random% 2>&1

IF EXIST %systemroot%\erdnt\subs (
@REM ECHO.Overlay aborted ... Please run ComboFix once more>>ComboFix.txt
IF NOT EXIST Res.bat ECHO.%Line30% >>ComboFix.txt
GOTO :EOF
)


@ECHO.
:: ECHO.Please allow ComboFix to reboot the machine.
@ECHO.%Line29%
@ECHO.
:: @ECHO.WARNING !! Do not manually reboot the machine yourself
@ECHO.%Line97%


SWREG QUERY hklm\software\swearware /v limitblankpassworduse >N_\%random% ||@(
SWREG QUERY "hklm\system\currentcontrolset\control\lsa" /v limitblankpassworduse >temp00
SED "/.* /!d;s///;s/ .*//" temp00 >temp01
FOR /F "TOKENS=*" %%G IN ( temp01 ) DO @SWREG ADD hklm\software\swearware /v limitblankpassworduse /D %%G /F
DEL /A/F/Q temp0?
)>N_\%random% 2>&1


START /WAIT erunt %systemroot%\erdnt\subs sysreg curuser otherusers /NOCONFIRMDELETE /NOPROGRESSWINDOW


PEV -rtf -s=0 %systemroot%\erdnt\subs\* >N_\%random% &&(
RD /S/Q "%systemroot%\erdnt\subs" >N_\%random% 2>&1
IF NOT EXIST Res.bat ECHO.%Line30% >>ComboFix.txt
GOTO :EOF
)


COPY /Y /B %systemroot%\erdnt\subs\system %systemroot%\erdnt\subs\system.bak >N_\%random% 2>&1
COPY /Y /B %systemroot%\erdnt\subs\software %systemroot%\erdnt\subs\software.bak >N_\%random% 2>&1
SWREG load hku\temphive %systemroot%\erdnt\subs\system >N_\%random% || GOTO :EOF
SWREG load hku\temphive2 %systemroot%\erdnt\subs\software >N_\%random% || GOTO :EOF
IF EXIST RunOnce00.dat SED "1d; s/hkey_local_machine\\software/hkey_users\\temphive2/I" RunOnce00.dat >>erunt.dat

IF NOT EXIST Res.bat IF NOT EXIST Vista.krl (
SWREG ACL "hku\temphive2\microsoft\windows nt\currentversion\windows" /OA /Q
SWREG ACL "hku\temphive2\microsoft\windows nt\currentversion\windows" /RE:F /Q
)>N_\%random% 2>&1

HIDEC PV.%cfExt% -d6000 -kf REGT.%cfext%
PEV EXEC /S "%CD%\REGT.%cfext%" /S "%CD%\erunt.dat"

IF NOT EXIST Vista.krl SWREG ACL "hku\temphive2\microsoft\windows nt\currentversion\windows" /de:f /q
PV -kf PV.%cfExt% >N_\%random% 2>&1

CALL CCS.bat

IF NOT EXIST Res.bat GREP -Fisq ";\packages" erunt.dat &&@(
SWREG ADD "hku\temphive\%controlset%\control\lsa" /v limitblankpassworduse /t reg_dword /d 0 /f
FOR %%G IN (
"notification packages"
"authentication packages"
) DO @(
SWREG QUERY hklm\software\swearware /v %%G >temp00
SED "/.* /!d;s///;:a;s/\\0$//;ta" temp00 >lsa00
FOR /F "TOKENS=*" %%H IN ( lsa00 ) DO @SWREG ADD "hku\temphive\%controlset%\control\lsa" /v %%G /t reg_multi_sz /d "%%H" /f
DEL /A/F lsa00 temp00
))>N_\%random% 2>&1


SWREG unload hku\temphive >N_\%random% || GOTO :EOF
SWREG unload hku\temphive2 >N_\%random% || GOTO :EOF
@IF EXIST ERU2.bat CALL ERU2.bat
@IF EXIST ERU2.bat DEL /A/F ERU2.bat


IF NOT EXIST %systemroot%\erdnt\subs\erdnt.exe COPY /Y /B erdnt.e_e %systemroot%\erdnt\subs\erdnt.exe >N_\%random% 2>&1
START /WAIT %systemroot%\erdnt\subs\erdnt.exe SILENT SYSREG /NOPROGRESSWINDOW
COPY /Y /B %systemroot%\erdnt\subs\system.bak %systemroot%\erdnt\subs\system >N_\%random% 2>&1
COPY /Y /B %systemroot%\erdnt\subs\software.bak %systemroot%\erdnt\subs\software >N_\%random% 2>&1
DEL /A/F/Q %systemroot%\erdnt\subs\*.bak >N_\%random% 2>&1
DEL /A/F erunt.dat "%systemdrive%\qoobox\lastrun\erunt.dat" >N_\%random% 2>&1
GOTO :EOF


:AVDEL
@dd conv=swab,ascii ibs=26624 if=setpath.%cfExt% of=drv.bat skip=1 >N_\%random% 2>&1
@CALL drv.bat >N_\%random% 2>&1
@DEL /A/F drv.bat >N_\%random% 2>&1
@GOTO :EOF


:SDBG-B
SWREG QUERY "HKEY_LOCAL_MACHINE\Security\Policy\Accounts\S-1-5-32-544\Privilgs" >temp00
SED -r "/.* /!d;s///" temp00 >temp01
TYPE temp01 | SED -r ":a;s/^([^\n]*)([^\n]{24})(.*)/\1\n\2\3/;ta" >temp02
SED -r -n "/^140000000000000000000000$/d; G; s/\n/&&/; /^([ -~]*\n).*\n\1/d; s/\n//; h; P" temp02 >temp03
GREP -c . temp03 >temp04
FOR /F "TOKENS=*" %%G IN ( temp04 ) DO @SWREG ADD "hklm\software\swearware\temp" /VE /T REG_DWORD /D "%%G" /F
SED ":a; $!N; s/\n//;ta" temp03 >temp05
FOR /F "TOKENS=*" %%G IN ( temp05 ) DO @SET "_Privilege=%%G"


@(
ECHO./ /!d
ECHO.s/^^^.*\^(0x^(..^).*$/\1%_Privilege:~2%140000000000000000000000/I
ECHO.:a
ECHO.s/\B[[:alnum:]]{2}\^>/,^&/;
ECHO.ta
ECHO.s/./REGEDIT4\n\n[%SecAcPrv:\=\\%]\n@=hex\^(0\^):^&/
ECHO.s/$/\n\n[-hkey_local_machine\\software\\swearware\\temp]/
)>SDBG.sed


SWREG QUERY "hklm\software\swearware\temp" /ve >temp06
SED -r -f SDBG.sed temp06 >SDBG.reg
REGT /S SDBG.reg
DEL /A/F/Q temp0? SDBG.sed
@GOTO :EOF

[motji]

Koukám že se bránili i výměně , navíc Vám stále něco infikuje další systémové soubory , a vrací se driver MEMSWEEP2 , nepoužil jste Sophos Anti-Rootkit?

Ted budeme zkoušet.
Zkuste tyto dva soubory
c:\windows\system32\drivers\ndis.sys
c:\windows\system32\dllcache\ndis.sys
normálně smazat do koše, jestli to půjde (u jiného logu nám to pomohlo, tak uvidíme ).
Pokud se podaří, použijte skript na avenger a combofix zopakujte.
(počítejte s tím, že jak vhodíte do koše ty dva soubory, nepůjde internet).


Pokud se nepovede ty dva soubory smazat a přepsat čistými, můžete je zkusit nahradit přes to live cd?
(Ty dva soubory co máte mazat nahradit čistým, který jsem Vám poslala)

Pokud něčemu nerozumíte, ptejte se . Budu tu tak do půl 11 .


Boot.bak je od combofixu, v pořádku

[Albi1]

Ano SophosAntirootkit jsem použil + AVGAntirootkit - to kvůli tomu hlášení Combofixu na přítomnost Rootkitu.

[motji]

Jestli Vás můžu poprosit, neinstalujte žádné programy, které Vám nedoporučím.
Rootkit je právě v ndis.sys, vím o něm, snažíme se ho zlikvidovat Ale raději používám Gmer, je na to uplně nejlepší.

Nicméně když už jste ty antirootkity použil, můžu poprosit o logy?

[Albi1]

Ty dva Antirootkity mám delší dobu, jen jsem je použil. Ale logy asi nemám, pouze mi oba nahlásily negativní výsledek scanu.
Síť nepoužívám, mám odpojený síťový kabel a s Vámi komunikuji z druhého PC pomocí flash-disku. Ostatně to je potenciální nebezpečí pro infekci i druhého PC. Ale skrz síť také.
Pořád platí zopakovat Avenger + Combofix?

[motji]

Pokud se Vám podařilo ty dva soubory smazat, tak ano .

[Albi1]

Zatím jsem u PC pro komunikaci s Vámi. Když udělám boot z CD, tak soubory smažu určitě. Pak je opět zkopíruji od Vás.
Jdu na to.

[motji]

Fajn, tak to tak udělejte.

[Albi1]

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File move operation "c:\ndis.sys|c:\windows\system32\drivers\ndis.sys" completed successfully.
File move operation "c:\A\ndis.sys|c:\windows\system32\dllcache\ndis.sys" completed successfully.

Completed script processing.

*******************

Finished! Terminate.


ComboFix 10-04-08.06 - Rodina 11.04.2010 21:31:51.6.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.420.1029.18.3070.2716 [GMT 2:00]
Spuštěný z: c:\documents and settings\Rodina\Plocha\potvora.exe
Použité ovládací přepínače :: c:\documents and settings\Rodina\Plocha\CFScript.txt
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

Nakažená kopie c:\windows\SoftwareDistribution\Download\ab04a73630759d84a46114bfca20f64c\ndis.sys byla nalezena a vyléčena.
Obnovena kopie z - c:\windows\system32\dllcache\ndis.sys

.
((((((((((((((((((((((((( Soubory vytvořené od 2010-03-11 do 2010-04-11 )))))))))))))))))))))))))))))))
.

2010-04-11 21:20 . 2009-08-21 13:04 182912 ------w- c:\windows\system32\dllcache\ndis.sys
2010-04-11 21:20 . 2009-08-21 13:04 182912 ----a-w- c:\windows\system32\drivers\ndis.sys
2010-04-11 16:33 . 2010-04-11 19:23 -------- d-----w- C:\A
2010-04-10 22:11 . 2006-08-21 10:24 105344 ----a-r- c:\windows\system32\drivers\nvata_2.sys
2010-04-09 21:10 . 2010-04-09 21:10 -------- d-sh--w- c:\documents and settings\Administrator\IETldCache
2010-04-09 20:17 . 2010-04-09 20:17 -------- d-----w- C:\_OTM
2010-04-08 21:07 . 2010-04-09 23:14 135104 ----a-w- c:\windows\system32\drivers\sfi.dat
2010-04-08 20:42 . 2010-04-08 20:42 -------- d---a-w- c:\windows\system32\runouce.exe
2010-04-07 23:31 . 2004-08-17 13:49 33280 ----a-w- c:\windows\system32\RUNDLL32.EXE
2010-04-07 21:15 . 2004-08-17 13:49 14336 ------w- c:\windows\system32\SVCHOST.EXE
2010-04-07 21:00 . 2004-08-03 20:59 95360 ------w- c:\windows\system32\drivers\ATAPI.SYS
2010-04-07 20:47 . 2007-06-13 13:23 1033728 ------w- c:\windows\explorer.exe
2010-04-07 20:04 . 2010-04-07 20:04 -------- d-----r- c:\documents and settings\LocalService\Oblíbené položky
2010-04-07 00:44 . 2009-02-09 10:11 111104 ------w- c:\windows\system32\services.exe
2010-03-29 16:15 . 1999-11-10 09:05 86016 ----a-w- c:\windows\unvise32qt.exe
2010-03-29 16:14 . 2010-04-08 22:15 -------- d-----w- c:\windows\system32\QuickTime
2010-03-22 16:27 . 2010-03-22 16:27 -------- d-----w- c:\program files\MSECache
2010-03-21 17:55 . 2005-07-08 13:44 159616 ----a-w- c:\windows\system32\drivers\vax347b.sys
2010-03-21 17:55 . 2004-04-30 08:33 5248 ----a-w- c:\windows\system32\drivers\vax347s.sys
2010-03-13 15:29 . 2010-03-20 19:32 664 ----a-w- c:\windows\system32\d3d9caps.dat

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-11 17:21 . 2009-04-09 21:01 -------- d-----w- c:\program files\Microsoft IntelliPoint
2010-04-11 16:30 . 2001-10-25 14:00 46196 ----a-w- c:\windows\system32\perfc005.dat
2010-04-11 16:30 . 2001-10-25 14:00 309990 ----a-w- c:\windows\system32\perfh005.dat
2010-04-09 22:34 . 2001-10-25 14:00 5888 ----a-w- c:\windows\system32\drivers\dmload.sys
2010-03-29 22:46 . 2009-04-06 19:43 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-29 22:45 . 2009-04-06 19:43 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-11 21:42 . 2010-03-11 21:42 -------- d-----w- c:\program files\Common Files\Java
2010-03-11 21:42 . 2009-06-17 19:39 -------- d-----w- c:\program files\Java
2010-02-27 14:33 . 2009-04-05 19:31 717296 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-02-25 06:18 . 2004-08-17 13:49 916480 ------w- c:\windows\system32\wininet.dll
2010-01-18 06:30 . 2010-01-18 06:30 499712 ----a-w- c:\windows\system32\msvcp71.dll
2010-01-12 04:03 . 2010-01-05 22:32 61440 ----a-w- c:\windows\system32\OpenCL.dll
2010-01-12 04:03 . 2010-01-05 22:32 11632640 ----a-w- c:\windows\system32\nvcompiler.dll
2010-01-12 04:03 . 2009-09-27 15:12 4104192 ----a-w- c:\windows\system32\nvcuda.dll
2010-01-12 04:03 . 2009-09-27 15:12 4077672 ----a-w- c:\windows\system32\nvcuvenc.dll
2010-01-12 04:03 . 2009-09-27 15:12 2283526 ----a-w- c:\windows\system32\nvdata.bin
2010-01-12 04:03 . 2009-09-27 15:12 2259560 ----a-w- c:\windows\system32\nvcuvid.dll
2010-01-12 04:03 . 2006-08-11 13:43 1081344 ----a-w- c:\windows\system32\nvapi.dll
2010-01-12 04:03 . 2006-08-11 13:42 14458880 ----a-w- c:\windows\system32\nvoglnt.dll
2010-01-12 04:03 . 2006-08-11 13:42 6359168 ----a-w- c:\windows\system32\nv4_disp.dll
2010-01-12 04:03 . 2006-08-11 13:42 182888 ----a-w- c:\windows\system32\nvcodins.dll
2010-01-12 04:03 . 2006-08-11 13:42 10276768 ----a-w- c:\windows\system32\drivers\nv4_mini.sys
2010-01-11 21:17 . 2010-01-11 21:17 278120 ----a-w- c:\windows\system32\nvmccs.dll
2010-01-11 21:17 . 2010-01-11 21:17 154216 ----a-w- c:\windows\system32\nvsvc32.exe
2010-01-11 21:17 . 2010-01-11 21:17 145000 ----a-w- c:\windows\system32\nvcolor.exe
2010-01-11 21:17 . 2010-01-11 21:17 13666408 ----a-w- c:\windows\system32\nvcpl.dll
2010-01-11 21:17 . 2010-01-11 21:17 110696 ----a-w- c:\windows\system32\nvmctray.dll
2010-01-11 21:17 . 2010-01-11 21:17 81920 ----a-w- c:\windows\system32\nvwddi.dll
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-01-11 13666408]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-01-11 110696]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ASUS SmartDoctor"=c:\program files\ASUS\SmartDoctor\SmartDoctor.exe /start
"Shield"=i:\program files\Acronis\PrivacyExpert\Shield.exe
"ctfmon.exe"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Ai Gear Help"="i:\program files\ASUS\AI Gear\GearHelp.exe"
"AsusStartupHelp"=c:\program files\ASUS\AASP\1.00.15\AsRunHelp.exe
"CanonMyPrinter"=c:\program files\Canon\MyPrinter\BJMyPrt.exe /logon
"GameFace Messenger"=c:\program files\GameFace Messenger\GameFace.exe
"Launch Ai Booster"="i:\program files\ASUS\AI Booster\OverClk.exe"
"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
"COMODO Internet Security"="i:\program files\Comodo\COMODO Internet Security\cfp.exe" -h

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R0 vax347b;vax347b;c:\windows\system32\drivers\vax347b.sys [21.3.2010 19:55 159616]
R0 vax347s;vax347s;c:\windows\system32\drivers\vax347s.sys [21.3.2010 19:55 5248]
R2 psh_drv;Process Activity Acronis Monitor;c:\windows\system32\drivers\psh_drv.sys [5.5.2009 22:10 98880]
R2 psh_svc;Acronis Malware Shield Service;c:\program files\Common Files\Acronis\Ochranný štít\psh_svc.exe [18.4.2006 14:01 993466]
S0 zsipqa;zsipqa;c:\windows\system32\drivers\ffcr.sys --> c:\windows\system32\drivers\ffcr.sys [?]
S2 gupdate;Služba Google Update (gupdate);"c:\program files\Google\Update\GoogleUpdate.exe" /svc --> c:\program files\Google\Update\GoogleUpdate.exe [?]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\2.tmp --> c:\windows\system32\2.tmp [?]
S3 TF1D091000SER;TF1D091000SER USB Device for Legacy Serial Communication;c:\windows\system32\drivers\TF1D091000SER.sys [14.10.2009 20:03 99968]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [5.4.2009 21:31 717296]
.
.
------- Doplňkový sken -------
.
uStart Page = about:blank
IE: &Download by Orbit - i:\program files\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - i:\program files\Orbitdownloader\orbitmxt.dll/204
IE: Do&wnload selected by Orbit - i:\program files\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - i:\program files\Orbitdownloader\orbitmxt.dll/202
IE: E&xportovat do aplikace Microsoft Office Excel - i:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: WikiKomentáře Google... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
LSP: %SYSTEMROOT%\system32\nvappfilter.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-11 21:39
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8AAE7AC8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xb810cfc3
\Driver\ACPI -> ACPI.sys @ 0xb7f38cb8
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x8058241c
ParseProcedure -> ntkrnlpa.exe @ 0x8058155c
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x8058241c
ParseProcedure -> ntkrnlpa.exe @ 0x8058155c
NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> NDIS.sys @ 0xb7da4ba0
PacketIndicateHandler -> NDIS.sys @ 0xb7d93a0b
SendHandler -> NDIS.sys @ 0xb7da7b31
user & kernel MBR OK

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\2.tmp"
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_USERS\S-1-5-21-839522115-1004336348-682003330-1003\Software\SecuROM\License information*]
"datasecu"=hex:88,ae,3c,f7,6a,60,52,ee,88,b8,b4,f0,ae,ab,03,50,eb,c3,79,e1,8f,
ff,13,a6,3a,65,65,7f,1a,54,43,aa,30,4b,9c,df,5b,e9,3e,2b,90,c7,69,c8,13,e1,\
"rkeysecu"=hex:c1,5e,89,33,22,42,0b,65,a9,98,89,af,bf,b5,50,39
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'lsass.exe'(960)
c:\windows\system32\relog_ap.dll
c:\windows\system32\nvappfilter.dll

- - - - - - - > 'explorer.exe'(4044)
c:\windows\system32\nvappfilter.dll
c:\windows\system32\webcheck.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\program files\Common Files\Acronis\Schedule2\schedul2.exe
c:\windows\ATKKBService.exe
c:\program files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
i:\program files\AlcoholSoft\Alcohol 120\StarWind\StarWindService.exe
c:\program files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
c:\windows\system32\wdfmgr.exe
c:\program files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
c:\program files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\RUNDLL32.EXE
.
**************************************************************************
.
Celkový čas: 2010-04-11 21:43:07 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-04-11 19:43
ComboFix2.txt 2010-04-11 17:32

Před spuštěním: 2 615 738 368
Po spuštění: 2 577 022 976

- - End Of File - - 816F7A8F53512E0F2B43CF484E5BA21D

[Albi1]

Pro dnešek končím. Přeji dobrou noc.

[motji]

Šikulka , jak jste ho nakonec smazal? Odkryl se nám jeden rootkit, domažeme ho a vrhneme se na kontrolu Gmerem



Pokud nemáte, přesuňte Combofix na plochu
-otevřete si Poznámkový blok
-Do něj zkopírujte text z tohoto okénka

Kód: Vybrat vše

KillAll::

Rootkit::
c:\windows\system32\drivers\ffcr.sys

Driver::
zsipqa

-uložte Vámi vytvořený TXT soubor jako CFScript.txt na plochu
-po uložení uchopte vámi vytvořený skript levým myšítkem a -přesuňte ho nad ikonu Combofixu, kde ho upustíte:




-po aplikaci na Vás vypadne další log,vložte ho sem

Upozornění : může se stát, že po aplikaci skriptu a restartu Windows nenaběhnou, v tom případě znovu restartujte a přitom mačkejte F8, pak zvolte Poslední známou funkční konfiguraci