Log z MBAM a MSE

[Zizou]

Dobrý den, udělal jsem si pro vlastní klid sken z MBAM, tady je log:


Malwarebytes' Anti-Malware 1.50.1.1100
http://www.malwarebytes.org

Verze databáze: 5892

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8080.16413

27.2.2011 15:13:44
mbam-log-2011-02-27 (15-13-33).txt

Typ kontroly: Úplný test (C:\|)
Testované objekty: 466854
Uplynulý čas: 1 hodin, 48 minut, 26 sekund

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče v registru: 0
Infikované hodnoty v registru: 0
Infikované datové položky v registru: 0
Infikované složky: 0
Infikované soubory: 2

Infikované procesy v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované moduly v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované klíče v registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované hodnoty v registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované datové položky v registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované složky:
(Žádné škodlivé položky nebyly zjištěny)

Infikované soubory:
c:\Users\Honzik\AppData\Local\Google\Chrome\user data\Default\Cache\f_000bbc (Trojan.Dropper.PGen) -> No action taken.
c:\Windows\System32\secushr.dat (Malware.Trace) -> No action taken.


Mohu je smazat?


A ještě mi našel MSE nějaké viry, ukazuje se "Provedená akce: odebráno" u všech třech, ale když vidím že to je v System Volume Information, tak se chci zeptat jestli bych neměl vymazat body obnovení? Díky...

Kategorie: Spyware

Popis: Tento program nainstaluje programy měnící nastavení prohlížeče.

Doporučená akce: Ihned tento software odeberte.

Program Security Essentials nalezl programy, které mohou vystavit nebezpečí vaše osobní údaje nebo poškodit počítač. Stále však můžete přistupovat k souborům, které tyto programy používají, aniž by je bylo nutné odebrat (nedoporučuje se). Chcete-li přistupovat k těmto souborům, zvolte akci Povolit a klikněte na tlačítko Provést akce. Není-li tato volba k dispozici, přihlaste se jako správce nebo požádejte o pomoc správce zabezpečení.

Položky:
file:C:\Program Files\boesenachbarn_screensaver_en\insthlp.dat

Další informace o této položce online.

Kategorie: Software placený zobrazováním reklamy

Popis: Tento program dodává do počítače potenciálně nežádoucí reklamy.

Doporučená akce: Povolte tuto zjištěnou položku pouze v případě, že programu nebo vydavateli softwaru důvěřujete.

Program Security Essentials nalezl programy, které mohou vystavit nebezpečí vaše osobní údaje nebo poškodit počítač. Stále však můžete přistupovat k souborům, které tyto programy používají, aniž by je bylo nutné odebrat (nedoporučuje se). Chcete-li přistupovat k těmto souborům, zvolte akci Povolit a klikněte na tlačítko Provést akce. Není-li tato volba k dispozici, přihlaste se jako správce nebo požádejte o pomoc správce zabezpečení.

Položky:
file:C:\System Volume Information\_restore{080BC10C-0208-4F91-AF51-CF2F6F356B1B}\RP264\A0169736.exe

Další informace o této položce online.

Kategorie: Software placený zobrazováním reklamy

Popis: Tento program dodává do počítače potenciálně nežádoucí reklamy.

Doporučená akce: Povolte tuto zjištěnou položku pouze v případě, že programu nebo vydavateli softwaru důvěřujete.

Program Security Essentials nalezl programy, které mohou vystavit nebezpečí vaše osobní údaje nebo poškodit počítač. Stále však můžete přistupovat k souborům, které tyto programy používají, aniž by je bylo nutné odebrat (nedoporučuje se). Chcete-li přistupovat k těmto souborům, zvolte akci Povolit a klikněte na tlačítko Provést akce. Není-li tato volba k dispozici, přihlaste se jako správce nebo požádejte o pomoc správce zabezpečení.

Položky:
file:C:\System Volume Information\_restore{080BC10C-0208-4F91-AF51-CF2F6F356B1B}\RP267\A0170474.dll

Další informace o této položce online.

[cernohous13]

Zdravím,

v MBAM odstranit vybrané

a SVI můžeš taky vyyčistit

[Zizou]

V MBAM nebyl problém, ale to SIV mi nejde jaksi vymazat. Dal jsem vymazat všechny body obnovení, vypnul jsem ochranu, restart, povolil ochranu, vytvořil bod obnovení a stejně v SVI je nějaký balast.

[cernohous13]

Spustíš nástroj Obnovení systému
v levém okně "Nastavení nástroje Obnovení systému"

Obnova4.png (26.37 KiB) Zobrazeno 1382 x

potvrdit vypnutí
restart -> znovu spustit a fajfku vyhodit - > OK

[Zizou]

Jenže já mám W7 a tam je to asi trochu jinak.

[Zizou]

Už jsem to udělal i předtím, jak jsem psal. Ta složka SVI má být po tomto úplně prázdná?

[cernohous13]

Jenže já mám W7 a tam je to asi trochu jinak.

Moje chyba, že jsem nepožadoval info z RSIT, kterým obvykle začínáme.

Dám konzultaci o SVI ve Win7 - ozvu se.

[Zizou]

OK.

[cernohous13]

Stáhni OTM z jednoho odkazu a rozbal nejlépe na plochu.
http://oldtimer.geekstogo.com/OTM.exe
http://www.itxassociates.com/OT-Tools/OTM.exe

Spusť program „OTM.exe“ (pro Vistu a Win7 – pravým a „Run As Administrator“).
Do okna pod žlutou čáru vlož celý text zeleným písmem ze „Scriptu“

Klikni na červené „Moveit!“

Při nabídce restartu „YES“
a log potom najdeš v C:\_OTM\MovedFiles\

Script OTM

Kód: Vybrat vše

:files
%windir%\system32\*.tmp.dll /s
%windir%\system32\SET*.tmp /s
%windir%\*.tmp /s

:commands
[PURITY]
[EMPTYTEMP]
[EMPTYFLASH]
[CLEARALLRESTOREPOINTS]
[REBOOT]

[Zizou]

All processes killed
========== FILES ==========
File/Folder C:\Windows\system32\*.tmp.dll not found.
File/Folder C:\Windows\system32\SET*.tmp not found.
C:\Windows\assembly\NativeImages_v2.0.50727_32\Temp\ZAP89F6.tmp folder moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Honzik
->Temp folder emptied: 23776788 bytes
->Temporary Internet Files folder emptied: 5685761 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Google Chrome cache emptied: 363578526 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 1510 bytes

User: IDE

User: Intel

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 9736 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 375,00 mb




OTM by OldTimer - Version 3.1.17.2 log created on 02272011_211347

[cernohous13]

OTM znovu s tímto scriptem

Kód: Vybrat vše

:Processes
explorer.exe

:Commands
[CLEARALLRESTOREPOINTS]
[Reboot]

[Zizou]

To asi moc nezabralo


========== PROCESSES ==========
Process explorer.exe killed successfully!
========== COMMANDS ==========



OTM by OldTimer - Version 3.1.17.2 log created on 02272011_214758

[cernohous13]

Jak vypadá složka SVI nyní

Co hlásí MSE

[Zizou]

Složka SVI vypadá pořád stejně a MSE nic nehlásí. Když byl vir detekován dal jsem Odebrat a ukázalo se, že PC je zabezpečen, ale podle mě to ze SVI nejde tak lehce odebrat. Ale v historii MSE už zmizel ten file:C:\System Volume Information\_restore{080BC10C-0208-4F91-AF51-CF2F6F356B1B}\RP267\A0170474.dll. Že by byl odebrán? Ale složka vypadá pořád stejně, zajímavé.

[cernohous13]

Jednotlivé body obnovení jsou až ve složce C:\System Volume Information\_restore{080BC10C-0208-4F91-AF51-CF2F6F356B1B}\ jako RP(číslo)

v C:\System Volume Information\ jsou ještě další zálohy, které vytváří systém - tam bych nehrabal

A když už nemáš žádné hlášky, myslím že není co řešit