Odvirování PC, zrychlení počítače, vzdálená pomoc prostřednictvím služby neslape.cz

Prosím o kontrolu logu - zavirovaný NTB

Máte problém s virem? Vložte sem log z FRST nebo RSIT.

Moderátor: Moderátoři

Pravidla fóra
Pokud chcete pomoc, vložte log z FRST [návod zde] nebo RSIT [návod zde]

Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.

!NOVINKA!
Nově lze využívat služby vzdálené pomoci, kdy se k vašemu počítači připojí odborník a bližší informace o problému si od vás získá telefonicky! Více na www.neslape.cz
Odpovědět
Zpráva
Autor
Uživatelský avatar
vyosek
VIP
VIP
Příspěvky: 56373
Registrován: 07 lis 2006 15:24
Bydliště: Šalingrad - Brno

Re: Prosím o kontrolu logu - zavirovaný NTB

#31 Příspěvek od vyosek »

:arrow: Smazal veci ze zalohy USBFixu, nejakou havet v bodech obnoveni, par trojanu a hezke stadecko rootkitu...

:arrow: ten gmer udelejte, nemusel rootkity odhalit vsechny...

:arrow: Nedivim se ze CF nejel, kdyz ho blokovalo tolik rootkitu...Zkuste tedy CFko spustit, snad se rozjede...
"Kdo víno má a nepije,kdo hrozny má a nejí je, kdo ženu má a nelíbá, kdo zábavě se vyhýbá, na toho vemte bič a hůl, to není člověk, to je vůl."
Člen Obrázek od 1. února 2011.
Nahoru
Kolcek93
Návštěvník
Návštěvník
Příspěvky: 129
Registrován: 10 srp 2008 08:48

Re: Prosím o kontrolu logu - zavirovaný NTB

#32 Příspěvek od Kolcek93 »

gmer jede od doby co dobjel AVPTool. Teď je někde v C:\WINDOWS\system32. ComboFix udělám až doběhne gmer :)
Nahoru
Uživatelský avatar
vyosek
VIP
VIP
Příspěvky: 56373
Registrován: 07 lis 2006 15:24
Bydliště: Šalingrad - Brno

Re: Prosím o kontrolu logu - zavirovaný NTB

#33 Příspěvek od vyosek »

jj jasny, mozna gmer neco najde, jelikoz toho tam bylo hodne, tak je nekde mrska mozna schovana...
"Kdo víno má a nepije,kdo hrozny má a nejí je, kdo ženu má a nelíbá, kdo zábavě se vyhýbá, na toho vemte bič a hůl, to není člověk, to je vůl."
Člen Obrázek od 1. února 2011.
Nahoru
Kolcek93
Návštěvník
Návštěvník
Příspěvky: 129
Registrován: 10 srp 2008 08:48

Re: Prosím o kontrolu logu - zavirovaný NTB

#34 Příspěvek od Kolcek93 »

Tak po x hodinách výsledky gmeru
GMER 1.0.15.15530 - http://www.gmer.net
Rootkit scan 2010-11-18 23:58:42
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 Hitachi_HTS541060G9AT00 rev.MB3OA61A
Running: gmer.exe; Driver: C:\DOCUME~1\Terulee\LOCALS~1\Temp\pgairaog.sys


---- System - GMER 1.0.15 ----

SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwAssignProcessToJobObject [0xBA749610]
SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwDebugActiveProcess [0xBA749C10]
SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwDuplicateObject [0xBA749730]
SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwOpenProcess [0xBA7494B0]
SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwOpenThread [0xBA749570]
SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwProtectVirtualMemory [0xBA7496D0]
SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSetContextThread [0xBA749690]
SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSetInformationThread [0xBA749650]
SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSetSecurityObject [0xBA7497D0]
SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSuspendProcess [0xBA749510]
SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSuspendThread [0xBA749590]
SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwTerminateProcess [0xBA7494D0]
SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwTerminateThread [0xBA7495D0]
SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwWriteVirtualMemory [0xBA749750]

---- Kernel code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xB7013300, 0x3AE88, 0xE8000020]
.text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xF7BB1300, 0x1B7E, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe[1948] kernel32.dll!SetUnhandledExceptionFilter 7C84495D 4 Bytes [C2, 04, 00, 00]

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)
AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys (ESET Antivirus Network Redirector/ESET)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat eamon.sys (Amon monitor/ESET)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Documents and Settings\Terulee\Dokumenty\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xDC 0x14 0x99 0xC5 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x2C 0xF3 0x7F 0xC1 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x1D 0xDD 0x36 0x48 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Documents and Settings\Terulee\Dokumenty\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xDC 0x14 0x99 0xC5 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x2C 0xF3 0x7F 0xC1 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x1D 0xDD 0x36 0x48 ...
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000

---- EOF - GMER 1.0.15 ----


A jdu zkusit CF
Nahoru
Uživatelský avatar
vyosek
VIP
VIP
Příspěvky: 56373
Registrován: 07 lis 2006 15:24
Bydliště: Šalingrad - Brno

Re: Prosím o kontrolu logu - zavirovaný NTB

#35 Příspěvek od vyosek »

Vypada to velmi slusne...

:arrow: Nasledujici soubory otestujte na VirusTotalu (viz muj podpis)
  • C:\WINDOWS\system32\DRIVERS\atksgt.sys
    C:\WINDOWS\system32\DRIVERS\lirsgt.sys
  • Kliknete na Prochazet
  • Soubor nehledejte, jen vlozte cestu souboru, ktery chci otestovat
  • Kliknete na Send File
  • Pokud na Vas vyskoci obrazovka jako je nize, tak kliknete na ReAnalyse
    Obrázek
  • Vysledek analyzy sem vlozte (jako odkaz)
"Kdo víno má a nepije,kdo hrozny má a nejí je, kdo ženu má a nelíbá, kdo zábavě se vyhýbá, na toho vemte bič a hůl, to není člověk, to je vůl."
Člen Obrázek od 1. února 2011.
Nahoru
Kolcek93
Návštěvník
Návštěvník
Příspěvky: 129
Registrován: 10 srp 2008 08:48

Re: Prosím o kontrolu logu - zavirovaný NTB

#36 Příspěvek od Kolcek93 »

Ano to vypadá, ale když jsem chtěl necat ntb zkontrolovat combofixem, tak ten vytuhl po vytvoření bodu obnovy. Tak jsem ntb restartoval(nic jiného s ním dělat nešlo) a nechal opět projet AVPToolem - další 4 infekce v bodech obnovení(nebo si aspoň myslím, že System volume(nebo jak to je) jsou body obnovení). Teď dělám scan MBAMem.
Mimochodem - nemůže CFixu vadit Eset NOD32? Zkusím jej odinstalovat a CFix spustit potom. Linky na soubory dodám hned jak je dostanu z ntb na flashku a pak na VT :)
//edit
http://www.virustotal.com/file-scan/rep ... 1290126413
http://www.virustotal.com/file-scan/rep ... 1290126413
Nahoru
Uživatelský avatar
vyosek
VIP
VIP
Příspěvky: 56373
Registrován: 07 lis 2006 15:24
Bydliště: Šalingrad - Brno

Re: Prosím o kontrolu logu - zavirovaný NTB

#37 Příspěvek od vyosek »

:arrow: NOD by mu vadit nemel, kdyztak mu vypnete rezidentni stit...

:arrow: Hodte pripadne ten CF do kose a stahnete novy a spustte jej v nouzaku...

:arrow: Havet v bodech obnoveni - smazte je dle navodu kolegy riffa http://www.viry.cz/forum/viewtopic.php?f=11&t=47040
"Kdo víno má a nepije,kdo hrozny má a nejí je, kdo ženu má a nelíbá, kdo zábavě se vyhýbá, na toho vemte bič a hůl, to není člověk, to je vůl."
Člen Obrázek od 1. února 2011.
Nahoru
Kolcek93
Návštěvník
Návštěvník
Příspěvky: 129
Registrován: 10 srp 2008 08:48

Re: Prosím o kontrolu logu - zavirovaný NTB

#38 Příspěvek od Kolcek93 »

No on problém je v tom, že ono s tím nodem nic dělat nejde. Jen vložit nové licenční číslo jinak nic.
CF teda zkusím v nouzáku až dojede MBAM
Body obnovy vypnutý. Restart bude až po dokončení MBAMu
Nahoru
Uživatelský avatar
vyosek
VIP
VIP
Příspěvky: 56373
Registrován: 07 lis 2006 15:24
Bydliště: Šalingrad - Brno

Re: Prosím o kontrolu logu - zavirovaný NTB

#39 Příspěvek od vyosek »

:arrow: Zkuste NODa odinstalovat pomoci Rafazonu http://www.james008.net/download/index.php?dlid=62 a pokud nepujde tak alternativne http://www.viry.cz/forum/viewtopic.php?p=889437#p889437
"Kdo víno má a nepije,kdo hrozny má a nejí je, kdo ženu má a nelíbá, kdo zábavě se vyhýbá, na toho vemte bič a hůl, to není člověk, to je vůl."
Člen Obrázek od 1. února 2011.
Nahoru
Kolcek93
Návštěvník
Návštěvník
Příspěvky: 129
Registrován: 10 srp 2008 08:48

Re: Prosím o kontrolu logu - zavirovaný NTB

#40 Příspěvek od Kolcek93 »

Na odinstalování mám už na flashce nachystanej ESETUninstaler ze stránek Esetu. :) Co je ten "Rafazon" a v čem je případně lepší?
Nahoru
Uživatelský avatar
vyosek
VIP
VIP
Příspěvky: 56373
Registrován: 07 lis 2006 15:24
Bydliště: Šalingrad - Brno

Re: Prosím o kontrolu logu - zavirovaný NTB

#41 Příspěvek od vyosek »

:arrow: ESETUninstaller je doporucovan az jako posledni volba, je hodne agresivni a obcas po jeho aplikaci blbe net

:arrow: Rafazon je produktem kolegu z fora (james008 a sudanec), je vhodny na odinstalaci, neni moc agresivni a je friedly-user
"Kdo víno má a nepije,kdo hrozny má a nejí je, kdo ženu má a nelíbá, kdo zábavě se vyhýbá, na toho vemte bič a hůl, to není člověk, to je vůl."
Člen Obrázek od 1. února 2011.
Nahoru
Kolcek93
Návštěvník
Návštěvník
Příspěvky: 129
Registrován: 10 srp 2008 08:48

Re: Prosím o kontrolu logu - zavirovaný NTB

#42 Příspěvek od Kolcek93 »

OK. Zkusím teda Rafazon. A ten se má spouštět taky v nouzáku nebo normálně? Protože ESETUninstaler se má pouštět v nouzáku a tady u toho jsem v odkazu nenašel žádnej popis, tak abych to nemusel dělat na dvakrát jen kvůli tomu, že jsem to neměl v nouzáku :D
//edit už jdu spat a pokračovat budu zase dopoledne :)
Nahoru
Uživatelský avatar
vyosek
VIP
VIP
Příspěvky: 56373
Registrován: 07 lis 2006 15:24
Bydliště: Šalingrad - Brno

Re: Prosím o kontrolu logu - zavirovaný NTB

#43 Příspěvek od vyosek »

Rafazona spustte normalne, melo by to fungovat :D
"Kdo víno má a nepije,kdo hrozny má a nejí je, kdo ženu má a nelíbá, kdo zábavě se vyhýbá, na toho vemte bič a hůl, to není člověk, to je vůl."
Člen Obrázek od 1. února 2011.
Nahoru
Kolcek93
Návštěvník
Návštěvník
Příspěvky: 129
Registrován: 10 srp 2008 08:48

Re: Prosím o kontrolu logu - zavirovaný NTB

#44 Příspěvek od Kolcek93 »

Takže MBAM mi našel další soubor
http://www.virustotal.com/file-scan/rep ... 1290155913
a byly tam i další podobný, tak jsem to nechal zkontrolovat všechno :D
http://www.virustotal.com/file-scan/rep ... 1290155944
http://www.virustotal.com/file-scan/rep ... 1290155936
http://www.virustotal.com/file-scan/rep ... 1290155925
http://www.virustotal.com/file-scan/rep ... 1290155919
http://www.virustotal.com/file-scan/rep ... 1290155918

Teď jdu na Rafazon a pak zkusím teda CF
//edit Rafazon zjevně nepomohl - teď po spuštění CF mi zase hlásí, že tam běží rezidentní štít. No uvidím jak si povede CF. Kdyžtak zkusím ten ESETUninstaler
Nahoru
Uživatelský avatar
vyosek
VIP
VIP
Příspěvky: 56373
Registrován: 07 lis 2006 15:24
Bydliště: Šalingrad - Brno

Re: Prosím o kontrolu logu - zavirovaný NTB

#45 Příspěvek od vyosek »

:arrow: Pockam na CFko, snad se chyti, zjevne je tam toho jeste hodne :arcisit:
"Kdo víno má a nepije,kdo hrozny má a nejí je, kdo ženu má a nelíbá, kdo zábavě se vyhýbá, na toho vemte bič a hůl, to není člověk, to je vůl."
Člen Obrázek od 1. února 2011.
Nahoru
Odpovědět

Zpět na „Řešení problémů, logy“