ESET nedokaze odstranit vir

[jacho6380]

http://leteckaposta.cz/978517331

[vyosek]

Kolega by tu mel odpoledne byt, tak na to mrkne...

[MiliNess]

V registru problém nevidím. Jste si absolutně jistý, že všechna tlačítka klávesnice fungují?
Pokud ano, stáhněte Process Monitor, spusťte ho a pak co nejdříve stiskněte Alt+Ctrl+Del.
Potom v Process Monitoru zastavte monitoring (stiskněte ikonu lupy), v menu File zvolte Save a uložte All events do PML souboru. Ten pak upněte na http://www.leteckaposta.cz.

[jacho6380]

http://leteckaposta.cz/373548242

[MiliNess]

Tak jsem projel ten log a vůbec žádná reakce na SAS (Alt+Ctrl+Del)
Podle mě snad vůbec ta klávesová zkratka do systému nedorazí.
Tuto klávesovou zkratku si registruje výhradně Winlogon, jiný proces na ni kvůli bezpečnosti nemá nárok reagovat.
Jelikož je pro některý malware velmi lákavé tuto klávesovou zkratku zachytit, může to být způsobeno nějakou infekcí.
Druhá možnost je, že máte nějaký problém s klávesnicí nebo s ovladačem klávesnice.
Napíšu kolegovi, ať se mrkne jestli vám tam nezbylo nějaké svinstvo.
Zatím můžete z příkazového řádku spuštěného s oprávněními správce spustit sfc /scannow.

[vyosek]

Po porade s kolegou udelame jeste nejaky test a prosim zkuste sehnat jinou klavesnici a vyzkouset ji...

Stahnete OTL (viz muj podpis) a ulozte jej na plochu

• Pokud pouzivate Win Vista ci W7, kliknete na OTL pravym a dejte Run As Administrator ci Spustit jako spravce
• Zaskrtnete okenko NIC
• Do spodniho okenka Vlastni skenovani/opravy vlozte skript nize

• Kód: Vybrat vše

  /md5start
  winlogon.exe
  /md5stop
  

• Kliknete na tlacitko Prohledat
• Po dokonceni skenu (cca 5 az 10 min) se objevi logy OTL.txt, vlozte mi jej sem

[MiliNess]

Ještě si stáhněte tento program
spusťte ho, postupně zmáčkněte pravý Alt, pak pravý Ctrl a nakonec Delete (mačkejte je samostatně)
a sledujte, zda se vám v programu stisky zobrazí.
U každé klávesy byste měl vidět dvě zprávy klávesnice (stisk a uvolnění), pro pravý Alt dostanete 4 zprávy (dvě jako Ctrl)

[jacho6380]

Co tu mam zaskrknut?

Bez názvu.png (75 KiB) Zobrazeno 1116 x

VYRIEŠENÉÉ

[jacho6380]

Ještě si stáhněte tento.......

Vsetko funguje normalne

http://leteckaposta.cz/453839899

//edit


OTL logfile created on: 14. 12. 2010 18:03:41 - Run 1
OTL by OldTimer - Version 3.2.17.3 Folder = C:\Users\Michal\Desktop
64bit- Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 0000041b | Country: Slovenská republika | Language: SKY | Date Format: d. M. yyyy

6,00 Gb Total Physical Memory | 4,00 Gb Available Physical Memory | 74,00% Memory free
12,00 Gb Paging File | 10,00 Gb Available in Paging File | 85,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 156,53 Gb Total Space | 11,87 Gb Free Space | 7,58% Space Free | Partition Type: NTFS
Drive D: | 119,66 Gb Total Space | 56,17 Gb Free Space | 46,94% Space Free | Partition Type: NTFS
Drive F: | 37,27 Gb Total Space | 10,56 Gb Free Space | 28,33% Space Free | Partition Type: NTFS
Drive G: | 100,00 Mb Total Space | 71,34 Mb Free Space | 71,35% Space Free | Partition Type: NTFS
Drive M: | 21,80 Gb Total Space | 21,71 Gb Free Space | 99,59% Space Free | Partition Type: NTFS
Drive N: | 980,05 Mb Total Space | 780,77 Mb Free Space | 79,67% Space Free | Partition Type: FAT32

Computer Name: MICHAL-PC | User Name: Michal | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 30 Days

========== Custom Scans ==========



< MD5 for: WINLOGON.EXE >
[2009/07/14 02:39:52 | 000,389,120 | ---- | M] (Microsoft Corporation) MD5=132328DF455B0028F13BF0ABEE51A63A -- C:\Windows\winsxs\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16385_none_cbb7f2bdeea2829c\winlogon.exe
[2009/10/28 08:01:57 | 000,389,632 | ---- | M] (Microsoft Corporation) MD5=A93D41A4D4B0D91C072D11DD8AF266DE -- C:\Windows\winsxs\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.20560_none_cc522fd507b468f8\winlogon.exe
[2009/10/28 07:24:40 | 000,389,632 | ---- | M] (Microsoft Corporation) MD5=DA3E2A6FA9660CC75B471530CE88453A -- C:\Windows\ERDNT\cache64\winlogon.exe
[2009/10/28 07:24:40 | 000,389,632 | ---- | M] (Microsoft Corporation) MD5=DA3E2A6FA9660CC75B471530CE88453A -- C:\Windows\winsxs\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16447_none_cbe534e7ee8042ad\winlogon.exe

< End of report >

[vyosek]

Winlogon se zda byt v poradku...co kolega rika

[MiliNess]

Je to tedy podivné.
Co máte za klávesnici? PS/2 nebo USB?

[jacho6380]

USB Wireless Chicony

[MiliNess]

Zkuste odinstalovat a opět nainstalovat ovladač klávesnice. (pokud máte nainstalovánu i nějakou utilitu ke klávesnici, tak i tu)
Pokud to nezabere, stáhněte si DeviceTree
spusťte ho, rozbalte DRV \Driver\kbdclass a DRV \Driver\HidUsb a udělejte mi screen.
Podívám se, jestli na ovladači třídy klávesnice nevisí nějaký filtr.

[jacho6380]

Bez názvu.png

(127.89 KiB) Staženo 28 x

[MiliNess]

V tom DRV \Driver\HidUsb bych potřeboval rozbalit všechno, co obsahuje.
Vůbec nejlepší by bylo rozklikat všechny "+" u všech DRV \Driver (vyjma DRV \FileSystem) a pak pomocí nabídky File->Print to vytisknout do souboru, který byste upnul.
Jestli tam byl opravdu nějaký rootkit, mohla tam nějaká část zůstat (např. nějaký ten hák klávesnice)
Docela by mě třeba zajímalo, kterému zařízení patří objekt KeyboardClass2. Obvykle tam bývají dva objekty. Jeden pro připojenou klávesnici, druhý pro terminálovou.
Jiné klávesové zkratky (např. Alt+F4 atd.) normálně fungují?