VIRY.CZ

Ten log z AVPToolu?

Pouzijte MBAM

instalace,uplny sken,vlozit sem log-NIC NEMAZAT!

zdravim tady je log

aMalwarebytes' Anti-Malware 1.42
Verze databáze: 3414
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

23.12.2009 12:01:11
mbam-log-2009-12-23 (12-00-59).txt

Typ kontroly: Kompletní kontrola (A:\|C:\|D:\|E:\|)
Zkontrolované objekty: 231046
Uplynulý čas: 1 hour(s), 6 minute(s), 0 second(s)

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 0
Infikované hodnoty registru: 0
Infikované datové položky registru: 0
Infikované adresáře: 0
Infikované soubory: 18

Infikované procesy v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované moduly v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované klíče registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované hodnoty registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované datové položky registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované adresáře:
(Nebyly nalezeny žádné škodlivé položky)

Infikované soubory:
C:\SDFix\dummy.sys (Rootkit.Agent) -> No action taken.
C:\SDFix\apps\dummy.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(2)\RP31\A0027690.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(2)\RP31\A0026094.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(2)\RP31\A0027751.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(2)\RP31\A0027832.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(3)\RP1\A0002046.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(3)\RP1\A0005062.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(3)\RP1\A0006434.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(3)\RP2\A0007260.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(4)\RP0\A0000100.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(4)\RP0\A0000018.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(5)\RP6\A0004720.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(5)\RP6\A0004783.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(6)\RP6\A0007349.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(8)\RP1\A0002156.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(8)\RP2\A0003394.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(8)\RP3\A0003519.sys (Rootkit.Agent) -> No action taken.

OPERA mi hlasí pořad ....Vyskytl se problém při inicializaci poštovního klienta.

Store Init failed
Engine Init() failed

nešla načíst až na desáty pokus

Tady jsem skusil scan jestli se stoho da něco poznat

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-22 16:35:46
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Program Files\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000000
"ujdew"=hex:ab,59,85,eb,74,ef,46,28,75,75,f8,30,45,ef,91,ac,e0,61,51,d3,7f,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000001
"khjeh"=hex:96,d9,97,37,50,ef,d0,ac,1c,c3,8e,b2,b0,8f,97,03,5b,20,47,9f,f9,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Program Files\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000000
"ujdew"=hex:ab,59,85,eb,74,ef,46,28,75,75,f8,30,45,ef,91,ac,e0,61,51,d3,7f,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000001
"khjeh"=hex:96,d9,97,37,50,ef,d0,ac,1c,c3,8e,b2,b0,8f,97,03,5b,20,47,9f,f9,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Program Files\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000000
"ujdew"=hex:ab,59,85,eb,74,ef,46,28,75,75,f8,30,45,ef,91,ac,e0,61,51,d3,7f,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000001
"khjeh"=hex:96,d9,97,37,50,ef,d0,ac,1c,c3,8e,b2,b0,8f,97,03,5b,20,47,9f,f9,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Program Files\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000000
"ujdew"=hex:ab,59,85,eb,74,ef,46,28,75,75,f8,30,45,ef,91,ac,e0,61,51,d3,7f,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000001
"khjeh"=hex:96,d9,97,37,50,ef,d0,ac,1c,c3,8e,b2,b0,8f,97,03,5b,20,47,9f,f9,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cursors\Schemes]
"\f\1e?r?n?é? ?u?k?a?z?a?t?e?l?e? ?"="C:\WINDOWS\cursors\arrow_r.cur,C:\WINDOWS\cursors\help_r.cur,C:\WINDOWS\cursors\wait_r.cur,C:\WINDOWS\cursors\busy_r.cur,C:\WINDOWS\cursors\cross_r.cur,C:\WINDOWS\cursors\beam_r.cur,C:\WINDOWS\cursors\pen_r.cur,C:\WINDOWS\cursors\no_r.cur,C:\WINDOWS\cursors\size4_r.cur,C:\WINDOWS\cursors\size3_r.cur,C:\WINDOWS\cursors\size2_r.cur,C:\WINDOWS\cursors\size1_r.cur,C:\WINDOWS\cursors\move_r.cur,C:\WINDOWS\cursors\up_r.cur"
"\f\1e?r?n?é? ?u?k?a?z?a?t?e?l?e? ?(?v?e?l?k?é?)?"="C:\WINDOWS\cursors\arrow_rm.cur,C:\WINDOWS\cursors\help_rm.cur,C:\WINDOWS\cursors\wait_rm.cur,C:\WINDOWS\cursors\busy_rm.cur,C:\WINDOWS\cursors\cross_rm.cur,C:\WINDOWS\cursors\beam_rm.cur,C:\WINDOWS\cursors\pen_rm.cur,C:\WINDOWS\cursors\no_rm.cur,C:\WINDOWS\cursors\size4_rm.cur,C:\WINDOWS\cursors\size3_rm.cur,C:\WINDOWS\cursors\size2_rm.cur,C:\WINDOWS\cursors\size1_rm.cur,C:\WINDOWS\cursors\move_rm.cur,C:\WINDOWS\cursors\up_rm.cur"
"\f\1e?r?n?é? ?u?k?a?z?a?t?e?l?e? ?(?n?e?j?v?\e\1t?a\1í?)?"="C:\WINDOWS\cursors\arrow_rl.cur,C:\WINDOWS\cursors\help_rl.cur,C:\WINDOWS\cursors\wait_rl.cur,C:\WINDOWS\cursors\busy_rl.cur,C:\WINDOWS\cursors\cross_rl.cur,C:\WINDOWS\cursors\beam_rl.cur,C:\WINDOWS\cursors\pen_rl.cur,C:\WINDOWS\cursors\no_rl.cur,C:\WINDOWS\cursors\size4_rl.cur,C:\WINDOWS\cursors\size3_rl.cur,C:\WINDOWS\cursors\size2_rl.cur,C:\WINDOWS\cursors\size1_rl.cur,C:\WINDOWS\cursors\move_rl.cur,C:\WINDOWS\cursors\up_rl.cur"

scanning hidden files ...

C:\Program Files\COMODO\COMODO Internet Security\Quarantine\ConfigWizards.exe 69632 bytes executable
C:\Program Files\COMODO\COMODO Internet Security\Quarantine\ConfigWizards.exe.info 190 bytes

Dejte smazat,co MBAM nasel.

Udelejte kompletni scan pomoci AVPTool,postupujte presne dle navodu, pri vyberu jaka akce nechte lecit,obsah logu vlozte sem.

Pouzijte CureIt a provedte uplny sken dle navodu viz muj podpis.Pak nahlaste vysledek.

AVPTOOL JSEM ZKOUŠEL DVAKRÁT VŽDY DOBĚHL DO URČÍTÉHO MÍSTA A ZAMRZ
JDU SKUSIT CURELT

Ok,a jeste pak log po vymazu z MBAMu.

Malwarebytes' Anti-Malware 1.42
Verze databáze: 3414
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

24.12.2009 9:16:34
mbam-log-2009-12-24 (09-16-34).txt

Typ kontroly: Kompletní kontrola (A:\|C:\|D:\|E:\|)
Zkontrolované objekty: 229675
Uplynulý čas: 1 hour(s), 15 minute(s), 28 second(s)

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 0
Infikované hodnoty registru: 0
Infikované datové položky registru: 0
Infikované adresáře: 0
Infikované soubory: 18

Infikované procesy v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované moduly v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované klíče registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované hodnoty registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované datové položky registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované adresáře:
(Nebyly nalezeny žádné škodlivé položky)

Infikované soubory:
C:\RECYCLER\S-1-5-21-1409082233-1580818891-839522115-1004\Dc9.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-1409082233-1580818891-839522115-1004\Dc141.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(2)\RP31\A0027690.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(2)\RP31\A0026094.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(2)\RP31\A0027751.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(2)\RP31\A0027832.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(3)\RP1\A0002046.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(3)\RP1\A0005062.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(3)\RP1\A0006434.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(3)\RP2\A0007260.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(4)\RP0\A0000100.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(4)\RP0\A0000018.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(5)\RP6\A0004720.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(5)\RP6\A0004783.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(6)\RP6\A0007349.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(8)\RP1\A0002156.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(8)\RP2\A0003394.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(8)\RP3\A0003519.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

tady je log Dr web nevím jestli to má být takhle

T-Cleaner.exe C:\Documents and Settings\user\Dokumenty\kikikikikikikikikikikiiá Trojan.StartPage.21667 Smazán.
2499019.exe\unvised_3.bin C:\Documents and Settings\user\Local Settings\Data aplikací\RadarSync\RadarSync\2499019.exe Tool.Reboot
2499019.exe C:\Documents and Settings\user\Local Settings\Data aplikací\RadarSync\RadarSync V archivu jsou infikované objekty Přesunut.
ConMgr_Setting.exe C:\Program Files\Samsung\Samsung PC Studio 3\Update\UnZipTemp Win32.Virut.56 Vyléčen.
Dc186.exe/data002\{app}\EvID4226Patch.exe C:\RECYCLER\S-1-5-21-1409082233-1580818891-839522115-1004\Dc186.exe/data002 Program.Tcpip
data002 C:\RECYCLER\S-1-5-21-1409082233-1580818891-839522115-1004 V archivu jsou infikované objekty
Dc186.exe C:\RECYCLER\S-1-5-21-1409082233-1580818891-839522115-1004 Kontejner obsahuje nakažené objekty Přesunut.
Dc51.exe C:\RECYCLER\S-1-5-21-1409082233-1580818891-839522115-1004 Tool.Prockill
A

Pouzijte navod zde na vypnuti a zapnuti obnovy systemu-SVI.

Pc je ok,az na tu hlasku.

Kontaktujte providera a poproste ho,zda by vam mohl pridelit docasne treba na jeden den jinou IP,jestli se ta hlaska bude objevovat porad.

Mam za to,ze nebude.

Ok,zkusím se zeptat
Ten log teda je dobrý nebo co stím?

Ano,ok.

Pro me to je celkem zvlastni.

Pokud bude provider nevstricny,tak zacneme zase od zacatku.

To by v tom byl cert...

zdravím tak jsem skusil otevřít bios a je tam položka advanced bios features jde mi o to že uplně dole při přepinani do dalšich položek se pod touhle položkou oběvuje hláška virus protection bot segvence tak jen jestli to tam patří díky zatím

Ano,patri.

A zalezi na uzivateli,jestli ji povoli nebo zakaze.

V dnesni dobe,kdy jsou rootkity v boot sektoru castym jevem bych tu ochranu nechal rozhodne zapnutou.

Tak jsem to skusil domluvit asi nic mam přinést PC prí se nato podívaj a skusej to odvirovat no nevím když nejsou schopni napsat ani noveho providera

Ale ta hlaška se už nezobrazuje možná je brzo no uvidíme

Ok,jsem zvedav,jak se jim to bude chovat u nich.

VIRY.CZ

zase ROOTKIT

Re: zase ROOTKIT

Re: zase ROOTKIT

Re: zase ROOTKIT

Re: zase ROOTKIT

Re: zase ROOTKIT

Re: zase ROOTKIT

Re: zase ROOTKIT

Re: zase ROOTKIT

Re: zase ROOTKIT

Re: zase ROOTKIT

Re: zase ROOTKIT

Re: zase ROOTKIT

Re: zase ROOTKIT

Re: zase ROOTKIT

Re: zase ROOTKIT