V PC je pravděpodobně havěť

[Kolcek93]

Bohužel log se neobjevil a ani v C:\ není

[vyosek]

Prihlaste se do nouzoveho rezimu (restart PC, mackat F8, zvolit Stav nouze s praci v siti) a zkuste Avenger aplikovat znovu

[Kolcek93]

Bohužel nepomohlo ani spuštění z nouzového režimu.
//edit konečně s emi podařilo aktualizovat MBAM a hned po začátku testu tu svítí 4 infikované soubory. Zatím nechám MBAM do odpovědi

[vyosek]

Pockam tedy na log z MBAMu

[Kolcek93]

Tady je MBAM log
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Verze databáze: 6111

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

20.3.2011 19:12:47
mbam-log-2011-03-20 (19-12-40).txt

Typ kontroly: Úplný test (C:\|)
Testované objekty: 712072
Uplynulý čas: 1 hodin, 51 minut, 3 sekund

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče v registru: 4
Infikované hodnoty v registru: 0
Infikované datové položky v registru: 0
Infikované složky: 0
Infikované soubory: 15

Infikované procesy v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované moduly v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované klíče v registru:
HKEY_CURRENT_USER\SOFTWARE\2L4NOI3W05 (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\KOO9RV9K4Z (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\SMH2B46TDP (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\U36VRSFLG6 (Trojan.FakeAlert) -> No action taken.

Infikované hodnoty v registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované datové položky v registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované složky:
(Žádné škodlivé položky nebyly zjištěny)

Infikované soubory:
c:\photo.exe (Trojan.Downloader) -> No action taken.
c:\quicktime1.exe (Spyware.Passwords.XGen) -> No action taken.
c:\winn27.exe (Spyware.Passwords.XGen) -> No action taken.
c:\winnt7.exe (Spyware.Passwords.XGen) -> No action taken.
c:\Qoobox\quarantine\C\23.exe.vir (Spyware.Passwords.XGen) -> No action taken.
c:\Qoobox\quarantine\C\Users\Public\c-76947-8457-2745\wincdrsvn.exe.vir (Trojan.Downloader) -> No action taken.
c:\Qoobox\quarantine\C\Users\Public\c-76947-8457-2745\winmsnliv.exe.vir (Trojan.VBInject) -> No action taken.
c:\Qoobox\quarantine\C\Users\Public\s-3685-5437-5687\msnlive.exe.vir (Trojan.Dropper) -> No action taken.
c:\Qoobox\quarantine\C\Users\tatka\AppData\Roaming\msnliveq.exe.vir (Trojan.Agent.Gen) -> No action taken.
c:\Qoobox\quarantine\C\Users\tatka\AppData\Roaming\msnlives.exe.vir (Trojan.Agent.Gen) -> No action taken.
c:\Qoobox\quarantine\C\Users\tatka\AppData\Roaming\qghumeaylnlfdxfircvs85.exe.vir (Trojan.Agent.Gen) -> No action taken.
c:\Users\Marek\AppData\Local\Opera\Opera\temporary_downloads\p1753577.jpg-www.facebook.exe (Worm.Palevo) -> No action taken.
c:\Users\Marek\Desktop\games\stressrelief.exe (Joke.Stressreducer) -> No action taken.
c:\Users\Public\s-3685-5437-5687\minsfot.exe (Trojan.Dropper) -> No action taken.
c:\Users\Public\s-3685-5437-5687\winsrvn.exe (Trojan.Dropper) -> No action taken.

[vyosek]

Nalezy MBAMu smazte

Stahnete OTM (viz muj podpis)

• Pokud pouzivate Win Vista ci W7, kliknete na OTM pravym a dejte Run As Administrator ci Spustit jako spravce
• Do leveho okna Paste Instructions for Items to be Moved (pod zlutou caru) vlozte obsah, ktery mate nize

• Kód: Vybrat vše

  :files
  c:\Users\Public\s-3685-5437-5687
  c:\windows\system32\arp.exe
  c:\windows\system32\slwga.dll
  c:\windows\system32\systemcpl.dll
  %windir%\system32\*.tmp.dll /s
  %windir%\system32\SET*.tmp /s
  %windir%\*.tmp /s
  
  :commands
  [RESETHOSTS]
  [EMPTYTEMP]
  [EMPTYFLASH]

• Kliknete na cervene tlacitko MoveIt!
• Budete vyzvani na restart, dejte Yes, log pote najdete C:\_OTM\MovedFiles, obsah sem vlozte

[Kolcek93]

log z OTM

All processes killed
========== FILES ==========
c:\Users\Public\S-3685-5437-5687 folder moved successfully.
File/Folder c:\windows\system32\arp.exe not found.
DllUnregisterServer procedure not found in c:\windows\system32\slwga.dll
c:\windows\system32\slwga.dll moved successfully.
DllUnregisterServer procedure not found in c:\windows\system32\systemcpl.dll
c:\windows\system32\systemcpl.dll moved successfully.
File/Folder C:\Windows\system32\*.tmp.dll not found.
File/Folder C:\Windows\system32\SET*.tmp not found.
C:\Windows\assembly\NativeImages_v2.0.50727_32\Temp\ZAP9E41.tmp folder moved successfully.
C:\Windows\assembly\NativeImages_v2.0.50727_64\Temp\ZAPC37.tmp folder moved successfully.
C:\Windows\assembly\NativeImages_v2.0.50727_64\Temp\ZAPC9B4.tmp folder moved successfully.
C:\Windows\assembly\NativeImages_v2.0.50727_64\Temp\ZAPE291.tmp folder moved successfully.
C:\Windows\assembly\NativeImages_v2.0.50727_64\Temp\ZAPE37C.tmp folder moved successfully.
C:\Windows\assembly\NativeImages_v2.0.50727_64\Temp\ZAPE56E.tmp folder moved successfully.
C:\Windows\assembly\NativeImages_v2.0.50727_64\Temp\ZAPEE5B.tmp folder moved successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Marek
->Temp folder emptied: 65536 bytes
->Temporary Internet Files folder emptied: 8522302 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 199219 bytes

User: Public
->Temp folder emptied: 0 bytes

User: tatka
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 622845 bytes
->Opera cache emptied: 26262086 bytes
->Flash cache emptied: 5908 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 2364 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 696297 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 35,00 mb


OTM by OldTimer - Version 3.1.17.2 log created on 03202011_200807

Files moved on Reboot...
C:\Users\Marek\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...

[vyosek]

Jak se chova PC

[Kolcek93]

PC se chová, že by mohlo být už v pořádku.

[vyosek]

Tak jeste uklidime

Odinstalujte Combofix

• Start - Spustit (nebo pouzijte klavesobou zkratku Win+R)
• Napiste ComboFix /Uninstall
• Stisknete Enter
• Tohle smaze Combofix a jeho slozky

T-Cleaner http://vyosek.ic.cz/pro_usery/T-Cleaner.exe

• Stahnete a spustte
• Pro potvrzeni volby mackejte A, Enter
• Po pouziti utilitu smazte
• Antiviry touhou utilitu chybne oznacit jako vir - jedna se o falesny poplach - takze v pohode stahnete (pripadne vypnete pri stahovani antivir)

MBAM muzete odinstalovat nebo nechat na obcasny sken - v pripade nalezu velmi doporucuji dat sem log na posouzeni, at si neodstrelite neco legitimniho

OTC http://oldtimer.geekstogo.com/OTC.exe

• Stahnete a spustte
• Kliknete na CleanUp a potvrdte YES
• Program uklidi a restartuje PC

TFC http://oldtimer.geekstogo.com/TFC.exe

• Stahnete a spustte
• Kliknete na Start a potvrdte OK
• Program uklidi a restartuje pc
• Po pouziti utilitu smazte

Stahnete Ccleaner (viz muj podpis)
Panel čistič

• Vse nechte jak je, jen dejte Analyzovat a pote Spustit CCleaner

Panel registry

• dejte Hledej problémy
• nasledne Opravit problémy - zalohu registru doporucuji udelat, opravte vsechny problemy
• postup opakujte dokud nebude bez problemu - vetsinou cca 3x

Panel nástroje

• Zde muzete odinstalovat nepotrebne programy

CCleaner doporucuji pouzivat cca jednou za 14 dni

A pokud nejsou problemy ci dotazy, je to z me strany vse

[Kolcek93]

OK v tom případě díky

[vyosek]

Nemate zac, rad jsem pomohl Zase nekdy