Best malware protection

[dusan12345]

Jinak NB funguje uz dobre, nic nevyskakuje, vse vypada, ze funguje jak ma.
Diky moc za pomoc.

Jeste bych mel dotaz, jestli je nejaky zakladni programovy balik, ktery bych mohl nainstalovat, abych pro priste zabranil podobne nakaze. Fungoval tu Avast Free, ale ten jak jsem videl nepomohl. Je jeste neco dalsiho freewaroveho treba na doplneni Avastu (nebo jineho antiviru)?

Jeste jednou moc a moc diky.
Dusan

[dusan12345]

Jeste jsem nasel nejakou pozustalost, kdyz se spoustel ComboFix (i pod nazvem Zmije.com) - v rootu na disku C: jsou dva adresare (nebo linky??), ktere se jmenuji ComboFix a Zmije.com a oba obsahuji kompletne to same, co "Tento pocitac", tj. seznam disku, dokumenty, Ovladaci panely, ... a na disku C jsou tam zase adresare ComboFix i Zmije.com - vypada to na nejakou rekurzi. Tak nevim, jak to odstranit, abych nenadelal nejakou skodu.

[cernohous13]

Spusť program C:\Program Files\trend micro\SpravcePC.exe
>>Do a system scan only<<
dej fajfku do čtverečků před řádky

Kód: Vybrat vše

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.qip.ru/search?query=%s&from=IE

>>FixChecked<< - OK

Stáhni OTM z jednoho odkazu a rozbal nejlépe na plochu.
http://oldtimer.geekstogo.com/OTM.exe
http://www.itxassociates.com/OT-Tools/OTM.exe

Spusť program „OTM.exe“ (pro Vistu a Win7 – pravým a „Run As Administrator“).
Do okna pod žlutou čáru vlož celý text zeleným písmem ze „Scriptu“

Klikni na červené „Moveit!“

Při nabídce restartu „YES“
a log potom najdeš v C:\_OTM\MovedFiles\

Script OTM

Kód: Vybrat vše

:Commands
[emptytemp]
[EMPTYFLASH]
[CLEARALLRESTOREPOINTS]

:Files
%windir%\system32\*.tmp.dll /s
%windir%\system32\SET*.tmp /s
%windir%\*.tmp /s
C:\WINDOWS\tasks\User_Feed_Synchronization-{E26DA333-034C-490C-BD83-7839EBFE30DF}.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
C:\WINDOWS\tasks\SmartDefrag.job
C:\WINDOWS\tasks\User_Feed_Synchronization-{321D1DD6-7F63-4FF4-92E1-E4F6FB2BE410}.job
C:\Documents and Settings\All Users\Data aplikací\2db7fd
C:\Documents and Settings\All Users\Data aplikací\BMEXIOIP

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"=-
"Adobe Reader Speed Launcher"=-
"Adobe ARM"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"swg"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PEVSystemStart]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Documents and Settings\All Users\Data aplikací\2db7fd\BM2db_2121.exe"=-

:Services
osaio
osanbm
gupdate1ca9f56af89d9b2
PEVSystemStart
gusvc

Dáš mi log OTM + popis chování PC, případné problémy

závěrem uklidím a navrhnu základní zabezpečení (žádné tam nevidím)

[dusan12345]

Jako zabezpeceni byl instalovany Avast Free, ale ten jsem odinstaloval, kdyz jsem zkousel, jestli nezpusobuje ty problemy s ComboFixem. NB se jinak chova normalne - zadne viditelne problemy (zatim)

Tady je pak ten log z OTM:

All processes killed
========== COMMANDS ==========

[EMPTYTEMP]

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: All Users

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: SpravcePC
->Temp folder emptied: 88604 bytes
->Temporary Internet Files folder emptied: 6819510 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Google Chrome cache emptied: 19557632 bytes
->Flash cache emptied: 689 bytes

User: Deda Luboš
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 664 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 25,00 mb


Restore points cleared and new OTM Restore Point set!
========== FILES ==========
File/Folder C:\WINDOWS\system32\*.tmp.dll not found.
File/Folder C:\WINDOWS\system32\SET*.tmp not found.
File/Folder C:\WINDOWS\*.tmp not found.
C:\WINDOWS\tasks\User_Feed_Synchronization-{E26DA333-034C-490C-BD83-7839EBFE30DF}.job moved successfully.
C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job moved successfully.
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job moved successfully.
C:\WINDOWS\tasks\SmartDefrag.job moved successfully.
C:\WINDOWS\tasks\User_Feed_Synchronization-{321D1DD6-7F63-4FF4-92E1-E4F6FB2BE410}.job moved successfully.
C:\Documents and Settings\All Users\Data aplikací\2db7fd\BackUp folder moved successfully.
C:\Documents and Settings\All Users\Data aplikací\2db7fd\BMPSys folder moved successfully.
C:\Documents and Settings\All Users\Data aplikací\2db7fd\Quarantine Items folder moved successfully.
C:\Documents and Settings\All Users\Data aplikací\2db7fd folder moved successfully.
C:\Documents and Settings\All Users\Data aplikací\BMEXIOIP folder moved successfully.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\LaunchApp deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Adobe Reader Speed Launcher deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Adobe ARM deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\swg deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PEVSystemStart\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\Documents and Settings\All Users\Data aplikací\2db7fd\BM2db_2121.exe deleted successfully.
========== SERVICES/DRIVERS ==========
Service osaio stopped successfully!
Service osaio deleted successfully!
Service osanbm stopped successfully!
Service osanbm deleted successfully!
Service gupdate1ca9f56af89d9b2 stopped successfully!
Service gupdate1ca9f56af89d9b2 deleted successfully!
Service PEVSystemStart stopped successfully!
Service PEVSystemStart deleted successfully!
Service gusvc stopped successfully!
Service gusvc deleted successfully!

OTM by OldTimer - Version 3.1.17.2 log created on 03292011_222907

Files moved on Reboot...

Registry entries deleted on Reboot...

[cernohous13]

Následné kroky proveď v uvedeném pořadí

Stahni Avenger zde:
http://swandog46.geekstogo.com/avenger.exe
Spusť a všude souhlas „Yes“
Hlavní okno

dole dej fajfku do obou čtverečků

Do pole „Input script here“ zkopíruj zelený text scriptu -> „Execute“ -> „Yes“
Bude restart a je potřeba vyčkat na otevření Notepadu a jeho obsah sem vložit. (C:\avenger.txt)

Script

Kód: Vybrat vše

Folders to delete:
C:\Documents

ComboFix odinstalujeme
jdi Start -> Spustit... a zkopíruj ComboFix /Uninstall (pozor, za x je mezera) -> OK

Stáhni a spusť T-cleaner http://vyosek.ic.cz/pro_usery/T-Cleaner.exe - uklidí po použitých čističích.
Po spuštění ignoruj případné varování antiviru - je to v pořádku
Po provedení akce T-cleaner smažeš

stáhni program OTC tady: http://oldtimer.geekstogo.com/OTC.exe - spusť ho -> "CleanUp" (smaže dříve použité čističe)

vypni rezident Ad-aware (raději bych viděl odinstalaci) - možné konflikty s Avastem, který má AntiSpy štít spuštěný

Mohu doporučit kontrolu a vyčištění Ccleanerem

Stáhni Ccleaner - http://www.slunecnice.cz/sw/ccleaner/
Při instalaci vyhodit fajfku u "Instalovat Yahoo! Toolbar"

zavřít Internetový prohlížeč a
spustit "Čistič" > "Spustit Ccleaner" - odstraní nepotřebné
spustit "Registry" > "Hledej problémy" > "Opravit vybrané problémy"
souhlas se zálohou registrů - opakovat dokud nebudou registry čisté.

Návod:http://jnp.zive.cz/Clanky/Prirucka-do-k ... fault.aspx

Ten si můžeš nechat i na budoucí občasné čištění.

Smaž složku C:\Documents and Settings\All Users\Data aplikací\fssg - pozůstatek F-secure

Po vyčištění by se hodila defragmentace
doporučuji http://www.slunecnice.cz/sw/defraggler/ + čeština

Nainstaluj Avast6

Firewall - ZoneAlarm nebo Comodo - http://www.viry.cz/forum/viewforum.php?f=41

[dusan12345]

Vypis z Avangeru:


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: folder "C:\Documents" not found!
Deletion of folder "C:\Documents" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

[dusan12345]

Tak jsem vsechno vycistil, doinstaloval antivir a firewall a vse se tvari, ze funguje.
Moc diky za rady, za pomoc a za cas. Snad to zas chvili vydrzi nezavirovane

Dusan.

[cernohous13]

Nemáš zač - rádo se stalo a jsme tady i příště