Pro Motji: trojan Generic15.apnz

[Albi1]

Dobrý podvečer, výmaz byl pomocí Bart-PE, našel jsem všechna umístění a vše smazal.

Log z Combofix:

ComboFix 10-04-08.06 - Rodina 12.04.2010 17:24:34.7.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.420.1029.18.3070.2717 [GMT 2:00]
Spuštěný z: c:\documents and settings\Rodina\Plocha\potvora.exe
Použité ovládací přepínače :: c:\documents and settings\Rodina\Plocha\CFScript.txt
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_zsipqa


((((((((((((((((((((((((( Soubory vytvořené od 2010-03-12 do 2010-04-12 )))))))))))))))))))))))))))))))
.

2010-04-11 21:20 . 2009-08-21 13:04 182912 ------w- c:\windows\system32\dllcache\ndis.sys
2010-04-11 21:20 . 2009-08-21 13:04 182912 ------w- c:\windows\system32\drivers\ndis.sys
2010-04-11 19:27 . 2010-04-11 19:43 -------- d-----w- C:\potvora
2010-04-11 16:33 . 2010-04-11 19:23 -------- d-----w- C:\A
2010-04-10 22:11 . 2006-08-21 10:24 105344 ----a-r- c:\windows\system32\drivers\nvata_2.sys
2010-04-09 21:10 . 2010-04-09 21:10 -------- d-sh--w- c:\documents and settings\Administrator\IETldCache
2010-04-09 20:17 . 2010-04-09 20:17 -------- d-----w- C:\_OTM
2010-04-08 21:07 . 2010-04-09 23:14 135104 ----a-w- c:\windows\system32\drivers\sfi.dat
2010-04-08 20:42 . 2010-04-08 20:42 -------- d---a-w- c:\windows\system32\runouce.exe
2010-04-07 23:31 . 2004-08-17 13:49 33280 ----a-w- c:\windows\system32\RUNDLL32.EXE
2010-04-07 21:15 . 2004-08-17 13:49 14336 ------w- c:\windows\system32\SVCHOST.EXE
2010-04-07 21:00 . 2004-08-03 20:59 95360 ------w- c:\windows\system32\drivers\ATAPI.SYS
2010-04-07 20:47 . 2007-06-13 13:23 1033728 ------w- c:\windows\explorer.exe
2010-04-07 20:04 . 2010-04-07 20:04 -------- d-----r- c:\documents and settings\LocalService\Oblíbené položky
2010-04-07 00:44 . 2009-02-09 10:11 111104 ------w- c:\windows\system32\services.exe
2010-03-29 16:15 . 1999-11-10 09:05 86016 ----a-w- c:\windows\unvise32qt.exe
2010-03-29 16:14 . 2010-04-08 22:15 -------- d-----w- c:\windows\system32\QuickTime
2010-03-22 16:27 . 2010-03-22 16:27 -------- d-----w- c:\program files\MSECache
2010-03-21 17:55 . 2005-07-08 13:44 159616 ----a-w- c:\windows\system32\drivers\vax347b.sys
2010-03-21 17:55 . 2004-04-30 08:33 5248 ----a-w- c:\windows\system32\drivers\vax347s.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-11 17:21 . 2009-04-09 21:01 -------- d-----w- c:\program files\Microsoft IntelliPoint
2010-04-11 16:30 . 2001-10-25 14:00 46196 ----a-w- c:\windows\system32\perfc005.dat
2010-04-11 16:30 . 2001-10-25 14:00 309990 ----a-w- c:\windows\system32\perfh005.dat
2010-04-09 22:34 . 2001-10-25 14:00 5888 ----a-w- c:\windows\system32\drivers\dmload.sys
2010-03-29 22:46 . 2009-04-06 19:43 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-29 22:45 . 2009-04-06 19:43 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-20 19:32 . 2010-03-13 15:29 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-03-11 21:42 . 2010-03-11 21:42 -------- d-----w- c:\program files\Common Files\Java
2010-03-11 21:42 . 2009-06-17 19:39 -------- d-----w- c:\program files\Java
2010-02-27 14:33 . 2009-04-05 19:31 717296 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-02-25 06:18 . 2004-08-17 13:49 916480 ------w- c:\windows\system32\wininet.dll
2010-01-18 06:30 . 2010-01-18 06:30 499712 ----a-w- c:\windows\system32\msvcp71.dll
.

((((((((((((((((((((((((((((( SnapShot@2010-04-11_19.39.44 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-04-12 15:31 . 2010-04-12 15:31 16384 c:\windows\temp\Perflib_Perfdata_7cc.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-01-11 13666408]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-01-11 110696]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ASUS SmartDoctor"=c:\program files\ASUS\SmartDoctor\SmartDoctor.exe /start
"Shield"=i:\program files\Acronis\PrivacyExpert\Shield.exe
"ctfmon.exe"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Ai Gear Help"="i:\program files\ASUS\AI Gear\GearHelp.exe"
"AsusStartupHelp"=c:\program files\ASUS\AASP\1.00.15\AsRunHelp.exe
"CanonMyPrinter"=c:\program files\Canon\MyPrinter\BJMyPrt.exe /logon
"GameFace Messenger"=c:\program files\GameFace Messenger\GameFace.exe
"Launch Ai Booster"="i:\program files\ASUS\AI Booster\OverClk.exe"
"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
"COMODO Internet Security"="i:\program files\Comodo\COMODO Internet Security\cfp.exe" -h

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R0 vax347b;vax347b;c:\windows\system32\drivers\vax347b.sys [21.3.2010 19:55 159616]
R0 vax347s;vax347s;c:\windows\system32\drivers\vax347s.sys [21.3.2010 19:55 5248]
R2 psh_drv;Process Activity Acronis Monitor;c:\windows\system32\drivers\psh_drv.sys [5.5.2009 22:10 98880]
R2 psh_svc;Acronis Malware Shield Service;c:\program files\Common Files\Acronis\Ochranný štít\psh_svc.exe [18.4.2006 14:01 993466]
S2 gupdate;Služba Google Update (gupdate);"c:\program files\Google\Update\GoogleUpdate.exe" /svc --> c:\program files\Google\Update\GoogleUpdate.exe [?]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\2.tmp --> c:\windows\system32\2.tmp [?]
S3 TF1D091000SER;TF1D091000SER USB Device for Legacy Serial Communication;c:\windows\system32\drivers\TF1D091000SER.sys [14.10.2009 20:03 99968]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [5.4.2009 21:31 717296]
.
.
------- Doplňkový sken -------
.
uStart Page = about:blank
IE: &Download by Orbit - i:\program files\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - i:\program files\Orbitdownloader\orbitmxt.dll/204
IE: Do&wnload selected by Orbit - i:\program files\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - i:\program files\Orbitdownloader\orbitmxt.dll/202
IE: E&xportovat do aplikace Microsoft Office Excel - i:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: WikiKomentáře Google... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
LSP: %SYSTEMROOT%\system32\nvappfilter.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-12 17:32
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8AB96AC8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xb810cfc3
\Driver\ACPI -> ACPI.sys @ 0xb7f38cb8
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x8058241c
ParseProcedure -> ntkrnlpa.exe @ 0x8058155c
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x8058241c
ParseProcedure -> ntkrnlpa.exe @ 0x8058155c
NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> NDIS.sys @ 0xb7da4ba0
PacketIndicateHandler -> NDIS.sys @ 0xb7d93a0b
SendHandler -> NDIS.sys @ 0xb7da7b31
user & kernel MBR OK

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\2.tmp"
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_USERS\S-1-5-21-839522115-1004336348-682003330-1003\Software\SecuROM\License information*]
"datasecu"=hex:88,ae,3c,f7,6a,60,52,ee,88,b8,b4,f0,ae,ab,03,50,eb,c3,79,e1,8f,
ff,13,a6,3a,65,65,7f,1a,54,43,aa,30,4b,9c,df,5b,e9,3e,2b,90,c7,69,c8,13,e1,\
"rkeysecu"=hex:c1,5e,89,33,22,42,0b,65,a9,98,89,af,bf,b5,50,39
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'lsass.exe'(960)
c:\windows\system32\relog_ap.dll
c:\windows\system32\nvappfilter.dll

- - - - - - - > 'explorer.exe'(1748)
c:\windows\system32\nvappfilter.dll
c:\windows\system32\webcheck.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\program files\Common Files\Acronis\Schedule2\schedul2.exe
c:\windows\ATKKBService.exe
c:\program files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
i:\program files\AlcoholSoft\Alcohol 120\StarWind\StarWindService.exe
c:\program files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
c:\windows\system32\wdfmgr.exe
c:\program files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
c:\program files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\RUNDLL32.EXE
.
**************************************************************************
.
Celkový čas: 2010-04-12 17:35:19 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-04-12 15:35
ComboFix2.txt 2010-04-11 19:43
ComboFix3.txt 2010-04-11 17:32

Před spuštěním: 2 580 381 696
Po spuštění: 2 541 936 640

- - End Of File - - F88329A765C65F6B854C34BD8D79D285

[motji]

Jak to vypadá s počítačem?
Co je jednotka I?

odinstalujte všechny virtuální jednotky (Daemon nebo alcohol)

Stáhněte SPTD http://www.duplexsecure.com/en/downloads
-vyberte verzi podle svého operačního systému. SPTD for Windows (32 bit) nebo (64b)
-uložte na plochu a spusťte
- zvolte možnost Uninstall
- restart PC
- spusťte gmer


Stáhněte Gmer http://www.viry.cz/forum/viewtopic.php?f=29&t=62878
- rozbalte a spusťte
-proběhne sken, po skončení se otevře okno s výsledky, kliknete na Save a tím si uložíte log,který sem vložíte

-Podle návodu v odkazu proveďte druhý sken a log sem také vložte.

stáhněte MBR
http://www2.gmer.net/mbr/mbr.exe
-uložte ho na plochu


start-spustit
do okénka zkopírujte

Kód: Vybrat vše

"%userprofile%\plocha\mbr" -t

ok

vytvoří se log s názvem mbr.log, vložte ho zde

[Albi1]

Jak to vypadá s počítačem nevím, protože na něm provádím pouze naše pokusy a jednotka I je logický disk. Moje současná architektura disků je asi taková:
D - fyzický disk, pouze data (první fyzický disk)
C - logický disk na druhém fyzickém disku - systém
I - logický disk na druhém fyzickém disku - programy a data

Jdu na Váš postup.

[Albi1]

SPTD mi nejde spustit, hlásí, že není platnou aplikací win32.
Co s tím?

[Albi1]

Všechny režimy kompatibility jsem vyzkoušel - bez úspěchu.

[motji]

to je sice blbost, ale nic s tím neuděláme.

Stahněte http://www.jpshortstuff.247fixes.com/Defogger.exe
- zmáčkněte tlačítko disable,
-restartujte pc,




A pak spustte gmer.

[Albi1]

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-04-12 21:30:54
Windows 5.1.2600 Service Pack 2
Running: gmer.exe; Driver: C:\DOCUME~1\Rodina\LOCALS~1\Temp\pfpyrpow.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Tcpip \Device\Ip NVTcp.sys (NVIDIA Networking Protocol Driver./NVIDIA Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp NVTcp.sys (NVIDIA Networking Protocol Driver./NVIDIA Corporation)

Device -> \Driver\nvata \Device\Harddisk0\DR0 8AB23AC8

---- Files - GMER 1.0.15 ----

File C:\WINDOWS\system32\drivers\nvata.sys suspicious modification

---- EOF - GMER 1.0.15 ----



GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-12 21:30:01
Windows 5.1.2600 Service Pack 2
Running: gmer.exe; Driver: C:\DOCUME~1\Rodina\LOCALS~1\Temp\pfpyrpow.sys


---- System - GMER 1.0.15 ----

SSDT \SystemRoot\system32\DRIVERS\psh_drv.sys (Malware Shield Driver/Acronis) ZwCreateFile [0xB40B2460]
SSDT \SystemRoot\system32\DRIVERS\psh_drv.sys (Malware Shield Driver/Acronis) ZwCreateKey [0xB40B13C0]
SSDT \SystemRoot\system32\DRIVERS\psh_drv.sys (Malware Shield Driver/Acronis) ZwCreateProcess [0xB40B0EB0]
SSDT \SystemRoot\system32\DRIVERS\psh_drv.sys (Malware Shield Driver/Acronis) ZwCreateProcessEx [0xB40B0FB0]
SSDT \SystemRoot\system32\DRIVERS\psh_drv.sys (Malware Shield Driver/Acronis) ZwCreateSection [0xB40B2960]
SSDT \SystemRoot\system32\DRIVERS\psh_drv.sys (Malware Shield Driver/Acronis) ZwCreateThread [0xB40B3230]
SSDT \SystemRoot\system32\DRIVERS\psh_drv.sys (Malware Shield Driver/Acronis) ZwDeleteFile [0xB40B2360]
SSDT \SystemRoot\system32\DRIVERS\psh_drv.sys (Malware Shield Driver/Acronis) ZwDeleteKey [0xB40B1730]
SSDT \SystemRoot\system32\DRIVERS\psh_drv.sys (Malware Shield Driver/Acronis) ZwDeleteValueKey [0xB40B1820]
SSDT \SystemRoot\system32\DRIVERS\psh_drv.sys (Malware Shield Driver/Acronis) ZwOpenFile [0xB40B2630]
SSDT \SystemRoot\system32\DRIVERS\psh_drv.sys (Malware Shield Driver/Acronis) ZwSetContextThread [0xB40B2F00]
SSDT \SystemRoot\system32\DRIVERS\psh_drv.sys (Malware Shield Driver/Acronis) ZwSetInformationFile [0xB40B27B0]
SSDT \SystemRoot\system32\DRIVERS\psh_drv.sys (Malware Shield Driver/Acronis) ZwSetValueKey [0xB40B1930]
SSDT \SystemRoot\system32\DRIVERS\psh_drv.sys (Malware Shield Driver/Acronis) ZwSuspendThread [0xB40B3480]
SSDT \SystemRoot\system32\DRIVERS\psh_drv.sys (Malware Shield Driver/Acronis) ZwTerminateProcess [0xB40B2B10]
SSDT \SystemRoot\system32\DRIVERS\psh_drv.sys (Malware Shield Driver/Acronis) ZwTerminateThread [0xB40B3120]
SSDT \SystemRoot\system32\DRIVERS\psh_drv.sys (Malware Shield Driver/Acronis) ZwWriteFile [0xB40B2060]
SSDT \SystemRoot\system32\DRIVERS\psh_drv.sys (Malware Shield Driver/Acronis) ZwWriteVirtualMemory [0xB40B2C80]

---- Kernel code sections - GMER 1.0.15 ----

.rsrc C:\WINDOWS\system32\drivers\dmload.sys entry point in ".rsrc" section [0xB85AF114]
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB71A5380, 0x550AF5, 0xE8000020]
init C:\WINDOWS\system32\drivers\Senfilt.sys entry point in "init" section [0xB4E16A00]

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\System32\svchost.exe[1208] ntdll.dll!NtProtectVirtualMemory 7C90D6EE 5 Bytes JMP 009F000A
.text C:\WINDOWS\System32\svchost.exe[1208] ntdll.dll!NtWriteVirtualMemory 7C90DFAE 5 Bytes JMP 00A0000A
.text C:\WINDOWS\System32\svchost.exe[1208] ntdll.dll!KiUserExceptionDispatcher 7C90E47C 5 Bytes JMP 009E000C
.text C:\WINDOWS\System32\svchost.exe[1208] USER32.dll!GetCursorPos 7E36BD76 5 Bytes JMP 010E000A
.text C:\WINDOWS\System32\svchost.exe[1208] ole32.dll!CoCreateInstance 774EFAC3 5 Bytes JMP 010D000A
.text C:\WINDOWS\Explorer.EXE[1712] ntdll.dll!NtProtectVirtualMemory 7C90D6EE 5 Bytes JMP 00BD000A
.text C:\WINDOWS\Explorer.EXE[1712] ntdll.dll!NtWriteVirtualMemory 7C90DFAE 5 Bytes JMP 00CB000A
.text C:\WINDOWS\Explorer.EXE[1712] ntdll.dll!KiUserExceptionDispatcher 7C90E47C 5 Bytes JMP 00BC000C

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Tcpip \Device\Ip NVTcp.sys (NVIDIA Networking Protocol Driver./NVIDIA Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp NVTcp.sys (NVIDIA Networking Protocol Driver./NVIDIA Corporation)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 snapman.sys (Acronis Snapshot API/Acronis)

Device -> \Driver\nvata \Device\Harddisk0\DR0 8AB23AC8

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x63 0x91 0x0C 0x13 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x63 0x91 0x0C 0x13 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x63 0x91 0x0C 0x13 ...

---- Files - GMER 1.0.15 ----

File C:\WINDOWS\system32\drivers\dmload.sys suspicious modification
File C:\WINDOWS\system32\drivers\nvata.sys suspicious modification

---- EOF - GMER 1.0.15 ----

[motji]

Přečtěte si prosím sz .

Zkuste zabalit do raru (po jednom souboru, to sby jste si neinfikoval druhý počítač) a otestovat na www.virustotal.com
C:\WINDOWS\system32\drivers\dmload.sys
C:\WINDOWS\system32\drivers\nvata.sys
C:\WINDOWS\system32\DRIVERS\nv4_mini.sys

[Albi1]

Co znamená SZ?

[motji]

Uplně nahoře na stránce máte napsané např. 1 přijatá zpráva ,
sz je soukromá zpráva

[Albi1]

http://www.virustotal.com/analisis/e816 ... 1271105329
http://www.virustotal.com/cs/analisis/7 ... 1271105486
http://www.virustotal.com/cs/analisis/e ... 1271105695
http://www.virustotal.com/cs/analisis/5 ... 1271105856

Všechno čisté.

[motji]

Když dovolíte, dám konzultaci s kolegou a dám Vám zítra vědět další postup.
Dobrou noc

[Albi1]

Dobrou noc i Vám

[motji]

Po dohodě po sz, jdeme dělat pokusy .
Odinstalujte ten starý combofix
přes Start - Spustit
- zkopírujte do okénka:

ComboFix /Uninstall

-stiskněte Enter
-To odinstaluje ComboFix a smaže s ním související soubory a složky.

stahněte nový combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

arrow: Pokud nemáte, přesuňte Combofix na plochu
-otevřete si Poznámkový blok
-Do něj zkopírujte text z tohoto okénka

Kód: Vybrat vše

TDL::
C:\WINDOWS\system32\drivers\dmload.sys
C:\WINDOWS\system32\drivers\nvata.sys 

-uložte Vámi vytvořený TXT soubor jako CFScript.txt na plochu
-po uložení uchopte vámi vytvořený skript levým myšítkem a -přesuňte ho nad ikonu Combofixu, kde ho upustíte:




-po aplikaci na Vás vypadne další log,vložte ho sem

Upozornění : může se stát, že po aplikaci skriptu a restartu Windows nenaběhnou, v tom případě znovu restartujte a přitom mačkejte F8, pak zvolte Poslední známou funkční konfiguraci

[Albi1]

Mezi tím posílám logy z Gmeru počítače pro komunikaci.

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-04-13 19:40:29
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\Profil\LOCALS~1\Temp\ffrdypow.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)
AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys

---- EOF - GMER 1.0.15 ----


GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-13 20:36:52
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\Profil\LOCALS~1\Temp\ffrdypow.sys


---- System - GMER 1.0.15 ----

SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwClose [0xB6A0088E]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwCreateFile [0xB6A000EC]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwCreateKey [0xB69FFDCE]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwCreateSection [0xB6A01938]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwDeleteKey [0xB69FFED8]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwDeleteValueKey [0xB69FFFC2]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwLoadDriver [0xB6A00BBC]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwOpenFile [0xB6A003F4]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwSetInformationFile [0xB6A00526]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwSetValueKey [0xB69FFBFC]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwTerminateProcess [0xB6A00B04]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwWriteFile [0xB6A0070C]

---- Kernel code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB9353360, 0x34CDBF, 0xE8000020]

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)
AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys

Device \Driver\prodrv06 \Device\ProDrv06 E1AF0008
Device \Driver\atapi \Device\Ide\IdePort0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP2T1L0-e sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-6 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort2 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort3 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\prohlp02 \Device\ProHlp02 E10171B0

---- EOF - GMER 1.0.15 ----