Odvirování PC, zrychlení počítače, vzdálená pomoc prostřednictvím služby neslape.cz

win32/Jeffo.A virus

Máte problém s virem? Vložte sem log z FRST nebo RSIT.

Moderátor: Moderátoři

Pravidla fóra
Pokud chcete pomoc, vložte log z FRST [návod zde] nebo RSIT [návod zde]

Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.

!NOVINKA!
Nově lze využívat služby vzdálené pomoci, kdy se k vašemu počítači připojí odborník a bližší informace o problému si od vás získá telefonicky! Více na www.neslape.cz
Zpráva
Autor
RampoucH
Návštěvník
Návštěvník
Příspěvky: 18
Registrován: 04 čer 2010 08:03

win32/Jeffo.A virus

#1 Příspěvek od RampoucH »

Ahoj,
mám hodně velký problém. PC mi napadl vir win32/Jeffo.A
Mám notebook Toshiba A500 s win7.

Potřebuju se jej co nejrychleji a nejúčiněji zbavit. V PC jsem při napadení měl aktivní Smart security Když jsem provedl scan, našlo to pár virů ale určitě si to s nimi neporadilo. Hledal jsem na internetu a našel jsem program eScan, který jsem nainstaloval. Program si vyžádal restart PC (To jsem neměl dělat). Od té je PC velice zpomalený a nic nefunguje. (Zpomalený=na něco kliknu a 5 minut čekám než se něco stane a to bůh ví jestli)

Zde na stránkách jsem v časných ranních hodinách našel jednoúčelový antivir Resolve for 32/Jeffo, který jsem spustil a leze opravdu pomalu. Před chvilkou po cca 6ti hodinách přešel do skožky Programfiles (x86).

V momentálním stavu na PC nelze pracovat, proto nevím jak si dál počínat a zda jednoúčelový antivir Resolve for 32/Jeffo pomůže.

Přemýšlel jsem také nad obnovením systému buď za pomoci windows nebo záchranného recovery discu, ale data, která mám v PC, jsou pro mne velice důležitá a nechci o všechna přijít... Proto, nevím, zda se obnoví tovární nastavení nebo i lze provést obnovu systému např:5 dní zpátky.

Ke všemu se mi ještě v pravém dolním rohu obrazovky ukázalo:
Windows7
Sestavení 7600
Tato kopie systému windows není pravá


Všem předem děkuji za jakékoliv rady.

Uživatelský avatar
JaRon
Moderátor
Moderátor
Příspěvky: 15662
Registrován: 29 bře 2005 13:39
Bydliště: BB-SK

Re: win32/Jeffo.A virus

#2 Příspěvek od JaRon »

skus najprv obnovu systemu - par dni naspat, ked vsetko fungovalo
FRST |ADWCleaner |MBAM |CCleaner |AVPTool

V prípade spokojnosti je možné podporiť fórum
https://platba.viry.cz/payment/

RampoucH
Návštěvník
Návštěvník
Příspěvky: 18
Registrován: 04 čer 2010 08:03

Re: win32/Jeffo.A virus

#3 Příspěvek od RampoucH »

Přez Win nelze, když se mi po nějakých 5-15 minutách rozklikne nabídka start tak tam nejsou žádné položky... Jde to udělat i nějak jinak?

A stále běží Resolve for 32/Jeffo obávám se vypnout NTB "na tvrdlo" aby se nestalo ještě něco horšího.

Uživatelský avatar
JaRon
Moderátor
Moderátor
Příspěvky: 15662
Registrován: 29 bře 2005 13:39
Bydliště: BB-SK

Re: win32/Jeffo.A virus

#4 Příspěvek od JaRon »

mozes skusit http://www.bitdefender.com/site/Downloa ... movalTool/
ALE pokial je ten system pochybneho povodu, tak neviem, ci to ma zmysel riesit :?:
FRST |ADWCleaner |MBAM |CCleaner |AVPTool

V prípade spokojnosti je možné podporiť fórum
https://platba.viry.cz/payment/

RampoucH
Návštěvník
Návštěvník
Příspěvky: 18
Registrován: 04 čer 2010 08:03

Re: win32/Jeffo.A virus

#5 Příspěvek od RampoucH »

Jenže tady je ten problém, že nespustím ani prohlížeč abych daný software stáhnul. Prostě nic nefunguje a nikam se nedostanu Ani žádnou složku neotevřu. Již asi 2 hodini se mi otevírá eScan, zatím naběhlo pozadí a čekám na písmenka :(

Také se mi asi podařilo vypnout Eset.


EDIT:
Resolve for 32/Jeffo Dokončil scan, NIC NENAŠEL. Podařilo se mi spustit eScan, dělá, že něco dělá... Ale nevim, nevim.

RampoucH
Návštěvník
Návštěvník
Příspěvky: 18
Registrován: 04 čer 2010 08:03

Re: win32/Jeffo.A virus

#6 Příspěvek od RampoucH »

Tak dkyž eScan dokončil kompletní scan PC našel virus win32/Jeffo.B a vymazal ho. Následně jsem provedl bod obnovení a obnovil systém, ale nejsem si jist mírou obnovení systému, protože spousta věcí zůstala poškozených (Programy, fce) což s největší pravděpodobností vyřeší jejich přeinstalování a to mne už tolik bolet nebude. Hlavně, že jsou data prozatím v pořádku.

Potřeboval bych radu jestli je můj PC teď opravdu čistý ale nemohu spustit program RSIT abych přidal log. Píše mi to chybovou hlášku:
line 2563 (File "D:\plocha\RSIT.exe"):
Error: Variable used without begin declared.


V čem bude chyba?

Uživatelský avatar
JaRon
Moderátor
Moderátor
Příspěvky: 15662
Registrován: 29 bře 2005 13:39
Bydliště: BB-SK

Re: win32/Jeffo.A virus

#7 Příspěvek od JaRon »

citat Rudy:
RSIT musíte spustit v kompatibilitě WinXP. Pravým myšítkem na ikonu RSIT, vybrat kompatibilitu a spustit. Měl by se vytvořit kompletní log.
FRST |ADWCleaner |MBAM |CCleaner |AVPTool

V prípade spokojnosti je možné podporiť fórum
https://platba.viry.cz/payment/

RampoucH
Návštěvník
Návštěvník
Příspěvky: 18
Registrován: 04 čer 2010 08:03

Re: win32/Jeffo.A virus

#8 Příspěvek od RampoucH »

EDIT: Log již není třeba, Vir vyřešen :) Děkuji
Naposledy upravil(a) RampoucH dne 10 čer 2010 00:21, celkem upraveno 1 x.

Uživatelský avatar
motji
VIP
VIP
Příspěvky: 23302
Registrován: 23 říj 2008 08:02

Re: win32/Jeffo.A virus

#9 Příspěvek od motji »

Dobrý večer, záskok za kolegu :)

:arrow: Z mého podpisu stahněte Ccleaner
- nainstalujte, při výběru, co se má nainstalovat, dejte pryč fajfku u instalace yahoo toolbaru

Obrázekzáložka čistič
-nechejte v levém sloupečku zatrhnuté vše jak je, klikněte na analyzovat
-po analýze klikněte na Spustit Ccleaner

Obrázekzáložka Registry
- klikněte na hledej problémy
- pak klikněte na opravit vybrané problémy -- udělat zálohu registrů - nemusíte
- kliknete opravit všechny problémy :arrow: ok :arrow: zavřít

Obrázek Záložka Nástroje
- zde můžete odinstalovat programy. Je to důkladnější odinstalace než u přidat/odebrat programy ve Windows.

Ccleaner - čistič doporučuji používat, krásně pročistí pc od dočasných souborů.
Registry pročistí třeba po odinstalaci nějakého programu.



:arrow: V nouzovém režimu spusťte Avptool (po restartu mačkejte F8)
:arrow: Stahněte z mého podpisu AVPTOOl http://www.viry.cz/forum/viewtopic.php?f=29&t=58179

-Podle návodu nainstalujte a proveďte sken
-co najde nechejte léčit, mazat
-sken může trvat několik hodin
-vložte zde log z výsledky
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data :!:
Chcete podpořit naše forum? Informace zde

Obrázek

K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.

RampoucH
Návštěvník
Návštěvník
Příspěvky: 18
Registrován: 04 čer 2010 08:03

Re: win32/Jeffo.A virus

#10 Příspěvek od RampoucH »

CCleanerem vyčištěno...

log: :???:
Autoscan: completed 3 minutes ago (events: 6, objects: 859416, time: 01:55:11)
5.6.2010 13:50:29 Task started
5.6.2010 14:58:32 Detected: Backdoor.Win32.Bifrose.cnpx D:\Programy-inst\MS Office 2007 CZ full\MS Office 2007 CZ full\MS Office 2007_Classic Menu.rar/Office2007ClassicMenu/Setup_OfficeMenu_retail.exe/data0000/Armadillo
5.6.2010 14:58:32 Untreated: Backdoor.Win32.Bifrose.cnpx D:\Programy-inst\MS Office 2007 CZ full\MS Office 2007 CZ full\MS Office 2007_Classic Menu.rar/Office2007ClassicMenu/Setup_OfficeMenu_retail.exe/data0000/Armadillo Write not supported
5.6.2010 15:45:26 Detected: Backdoor.Win32.Bifrose.cnpx D:\Programy-inst\MS Office 2007 CZ full\MS Office 2007 CZ full\MS Office 2007_Classic Menu.rar/Office2007ClassicMenu/Setup_OfficeMenu_retail.exe/data0000/Armadillo
5.6.2010 15:45:26 Untreated: Backdoor.Win32.Bifrose.cnpx D:\Programy-inst\MS Office 2007 CZ full\MS Office 2007 CZ full\MS Office 2007_Classic Menu.rar/Office2007ClassicMenu/Setup_OfficeMenu_retail.exe/data0000/Armadillo Write not supported
5.6.2010 15:45:40 Task completed

Uživatelský avatar
motji
VIP
VIP
Příspěvky: 23302
Registrován: 23 říj 2008 08:02

Re: win32/Jeffo.A virus

#11 Příspěvek od motji »

Tento program znáte?
D:\Programy-inst\MS Office 2007 CZ full\MS Office 2007 CZ full\MS Office 2007_Classic Menu.rar

Jak to ted vypadá s počítačem?
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data :!:
Chcete podpořit naše forum? Informace zde

Obrázek

K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.

RampoucH
Návštěvník
Návštěvník
Příspěvky: 18
Registrován: 04 čer 2010 08:03

Re: win32/Jeffo.A virus

#12 Příspěvek od RampoucH »

Ano, znám. Toto je záloha instalačního CD pro balík office. Konkrétně soubor D:\Programy-inst\MS Office 2007 CZ full\MS Office 2007 CZ full\MS Office 2007_Classic Menu.rar tam zřejmě nemá ani co dělat, protože k samotné instalaci není vůbec třeba.
Mám jej odstranit?

S Pc to vypadá lépe než v pátek dopoledne :) Řekl bych, že je vše O.K. vše funguje jak má a zatím jsem nezpozoroval, žádný nějaký větší problém. Jeden ale přeci, nefungují mi dotyková tlačítka na NTB v okolí klávesnice. Zřejmě při, čistce CCleanerem došlo i k smazání něčeho potřebného, nebo za to prachsprostě může vir.

Na stránkách výrobce mého NTB Toshiba A500-1C0 jsem se pokoušel najít nějaké ovladače nebo soft. který bych nainstaloval a zprovoznil tak doteková tlačítka ale za
1:vůbec nemohu najít svůj typ NTB pro vybrání správného druhu ovladače
2:nevím jaký ovladač hledat

Ale s virem je asi ámen :happy:

Uživatelský avatar
motji
VIP
VIP
Příspěvky: 23302
Registrován: 23 říj 2008 08:02

Re: win32/Jeffo.A virus

#13 Příspěvek od motji »

Soubor smažte.
Ty tlačítka Vám přestaly jít po použití ccleaneru? A zálohu registrů před mazáním jste si asi neudělal? Nikdy jsem neslyšela, že by CCleaner něco takového smazal,a le možná vir něco poškodil/smazal a ccleaner dílo zkázy dokončil :o

Ještě zkusíme combofix, pro jistotu si ale zazálohujte důležitá data :!:

:arrow: Stáhněte na plochu, ukončete všechna aktivní okna a spusťte ComboFix - http://download.bleepingcomputer.com/sUBs/ComboFix.exe



- ComboFix je třeba spustit pod účtem s právy administrátora

- Před použitím vypněte všechny rezidentní bezpečnostní programy - antiviry, firewally, antispywary

- Po spuštění se zobrazí podmínky užití, potvrďte je stiskem tlačítka Ano

- Dále postupujte dle pokynů, během aplikování ComboFixu neklikejte do zobrazujícího se okna :!:

- Po dokončení skenování, trvajícího maximálně 10 minut, by měl program vytvořit log - C:\ComboFix.txt, zkopírujte celý jeho obsah sem
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data :!:
Chcete podpořit naše forum? Informace zde

Obrázek

K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.

RampoucH
Návštěvník
Návštěvník
Příspěvky: 18
Registrován: 04 čer 2010 08:03

Re: win32/Jeffo.A virus

#14 Příspěvek od RampoucH »

Nevím, kdy přesně přestali tlačítka fungovat. Od záčátku infekce virem až po dokončení CCleaneru jsem je nepoužíval.

ComboFix nelze spustit, píše Error win32 only :???: (mám win7 64bit). K čemu vlastně ComboFix slouží?
Dále jsem objevil na disku D:/ nějakou složku FBackup obsahuje soubory s podobnými názvny jako 00d1806ee50a4c414c8404d31545268f a má 1,6GB. Předpokládám, že se jedná o složku, která se vytvořila po obnovení systému. Mohu ji smazat?

EDIT: Už si vzpomínám. Po obnovení systému se spustil PC v ECO režimu a já jej vypnul přez tlačítko, takže fungovali.

Uživatelský avatar
motji
VIP
VIP
Příspěvky: 23302
Registrován: 23 říj 2008 08:02

Re: win32/Jeffo.A virus

#15 Příspěvek od motji »

Aha, on se log ze Rsitu neprovedl celý a proto jsem si nevšimla, že máte 64b systém :oops: .

Přiznám se že nevím k čemu ty složky slouží :o , snad bude vědět kolega Jaron.

Combofix je takový hodně dobrý skener, a navíc automaticky maže známé soubory. Nedoporučuje se ovšem používat ho bez dozoru rádce, někdy má bugy a může způsobit pád systému. BOhužel na 64b systémy nefunguje.

:arrow: Stahněte dr. Web CureIt http://www.viry.cz/forum/viewtopic.php?f=29&t=47721
-udělejte sken , co najde nechte léčit, smazat
-sken může trvat několik hodin
-Soubor/Uložit výsledky - uložíte jako textovy soubor a zkopírujete zde




:arrow: Stahněte OTL http://oldtimer.geekstogo.com/OTL.exe
-uložte ho na plochu a spustte soubor OTL.exe.
-do bílého okna dole skopírujte tento skript:

Kód: Vybrat vše

netsvcs
drivers32
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /s
c:\windows\*.* /U
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
symmpi.sys
adp3132.sys
mv61xx.sys
nvraid.sys
ndis.sys
winlogon.exe
explorer.exe
userinit.exe
lsass.exe
svchost.exe
smss.exe
hal.dll
ws2_32.dll
tcpip.sys
cryptsvc.dll
Changer.sys
JakNDis.sys
isapnp.sys
cdrom.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
reg query "HKLM\Software\Microsoft\Windows NT\CurrentVersion\winlogon" /v GinaDLL /c
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv" /v ImagePath /c
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS" /v ImagePath /c
%systemroot%\system32\drivers\*.sys /3
%systemroot%\system32\*.* /3
CREATERESTOREPOINT 
- zaškrtněte okénko Pro všechny uživatele.
-označte okénka Kontrola na havěť "LOP" a Kontrola na havěť "Purity"
- Klikněte na tlačítko Prohledat
-po dokončení skenu se objeví logy OTL.Txt a Extras.txt, vložte je zde :)
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data :!:
Chcete podpořit naše forum? Informace zde

Obrázek

K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.

Odpovědět