Zavirované PC, přeměrovávání na zavirované stránky.

[motji]

To je malej log? a log z Mbr.exe by jste měl?

[ViroBijec]

Jiný log se nevytvořil, co se týče mbr.exe, tak když ho spustím, tak akorát rychle problikne, takže nevím, jak tam mám dát ty parametry.

[motji]

V podpisu mám odkaz na návod na gmer, je tam i jak vytvořit velký log.
U mbr.exe - musíte ho spustit jinak - start-spustit - a do příkazového řádku napsat ten příkaz.

[ViroBijec]

Příkaz nefunguje, chtělo by to parametr s tím, že ho spustí přímo mbr. Ale já už su moc starej, abych věděl jak.

[motji]

Máte ho na ploše? Máte české win? Když tak spustte jen tak, na ploše bude text. dokument Mbr.exe, ten sem vložte.
Poprosím ještě o ten velký log z Gmeru, pokud pujde vytvořit.

[JaRon]

aby sa kolegyni lahsie pracovalo, a vedeli s cim bojujeme
pocas osobneho volna
oba subory otestuj na www.virustotal.com vysledky vloz
c:\windows.0\explorer.exe
c:\windows.0\system32\winlogon.exe

[ViroBijec]

http://www.virustotal.com/file-scan/rep ... 1291792052

http://www.virustotal.com/file-scan/rep ... 1291792236

ano mám české win, štve mě, že když chcu třeba z vyhledávání google kliknout na nějakou stránku, většinou mě to přesměruje na útočnou, nebo na jinou, kde falešnej online antivir detekuje a tak.

mbr log:
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: WDC_WD400BB-00JHC0 rev.05.01C05 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys viaide.sys PCIIDEX.SYS
1 ntkrnlpa!IofCallDriver[0x804EE130] -> \Device\Harddisk0\DR0[0x84373030]
3 CLASSPNP[0xF768CFD7] -> ntkrnlpa!IofCallDriver[0x804EE130] -> \Device\00000067[0x8439AF18]
5 ACPI[0xF74F3620] -> ntkrnlpa!IofCallDriver[0x804EE130] -> \Device\Ide\IdeDeviceP0T0L0-3[0x84337B58]
kernel: MBR read successfully
user & kernel MBR OK

Probíhá teď scan Gmerem, dodám log. Mám udělat i to ostatní věci? SPTD a Defogger?

[ViroBijec]

Takže velkej log nejde vytvořit, poněvadž v průběhu scanu vše zamrzlo, zasekla se klávesnice a zmizel kurzor, takže jsem musel restartovat PC.

//momentálně provádím scan MBAMem.

[ViroBijec]

Malwarebytes' Anti-Malware 1.50
http://www.malwarebytes.org

Verze databáze: 5270

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

8.12.2010 10:21:57
mbam-log-2010-12-08 (10-21-52).txt

Typ kontroly: Úplný test (C:\|)
Testované objekty: 262441
Uplynulý čas: 1 hodin, 12 minut, 22 sekund

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče v registru: 0
Infikované hodnoty v registru: 0
Infikované datové položky v registru: 0
Infikované složky: 0
Infikované soubory: 5

Infikované procesy v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované moduly v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované klíče v registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované hodnoty v registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované datové položky v registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované složky:
(Žádné škodlivé položky nebyly zjištěny)

Infikované soubory:
c:\WINDOWS\system32\ctfmon(2).exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\ctfmon(3).exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\ctfmon.exe (Trojan.Agent) -> No action taken.
c:\explorer.exe (Worm.AutoRun) -> No action taken.
c:\winlogon.exe (Trojan.Agent) -> No action taken.


Dal jsem kontrolu na virustotal c:\explorer.exe anic to nenašlo, pak jsem dal c:\winlogon.exe a jeden nález nProtect 2010-12-08.02 2010.12.08 Trojan/W32.Agent.507904.CO. Jedná se o ty náhradní sys. soubory.

[JaRon]

najschodnejsie riesenie vidim pomocou miniXP popisaneho Rudym http://www.viry.cz/forum/viewtopic.php? ... xp#p924819
cize pripravit si 3 subory t.j. 2 testovane + c:\WINDOWS\system32\ctfmon.exe z cisteho PC s rovnakym XP CZ
- Boot z CD a prekopirovat dane subory na potrebne miesto + restart a motlidbicka

[ViroBijec]

Díky za tip, no vypalovačku nemám. No motji psala něco o výměně přes avenger, tak počkám...

[ViroBijec]

Teď mě napadlo, že bych ty soubory mohl nahradit v režimu MS-DOS. Co myslíte?

[JaRon]

moznostou je spustit CD s Windows a zvolit R - consolu - co je akysi "DOS riadok"

[ViroBijec]

Já to udělal tak, že sem najel do nouzového režimu s režimem MS-DOS a tam soubory nahradil. Vypadá to, že už prohlížeč konečně nepřesměrovává. Zde aktuální výsledky na virustotal.

http://www.virustotal.com/file-scan/rep ... 1291814201

http://www.virustotal.com/file-scan/rep ... 1291814297

[JaRon]

no vidis aky si sikovny
vrele doporucujem prescanovat PC s AVPTool - odkaz ma motji v podpise