VIRY.CZ

Zdravim,
tady další FB vir chudák

Tak před hodinou jsem si povidal s anglicky mluvícím človíčkem, po te kliknul na odkaz ( a protože se směju vážně jako mentál ) tak to překonalo muj integrovaný blok v mozku neklikat na hovadiny a stahunl sem to a pokoušel sem se to naisntalovat... poté sem si rek, že neco nehraje, sel sem na viry.cz a precetl jsem si to co se tam píše... vytrhnul sem LAN kabel z PC a spustil scan, mám aviru, nic mito nenašlo ... zapojil sem kabel a začal brouzdat forum, nasel sem poruzunu určité informace třeba na blogu stella a informace o slozkach ve windows, jako třeba /ufa nebo /phoenix či soubor unrar.exe ....

nic jsem v počítači nenašel podezřelého, počítač normálně funguje, firewall online, antivir online ( a aktivně mi tady hlási že mi našel něco v systemech pro lineage 2 , což zadna havěť není kdo zná lineage 2 (jedine že bych roky žil podvedený! )))

PS: ještě nedošlo k restartu PC po nainstalovaní toho "flashplayeru" !! Jak jsem četl, po restartu by mi měl naběhnout nouzák a zrušit mi mou milovanou aviru ...

Otazky zní:

1. jsem infikován?
2. pokud ano, dá se to nějak zvrátit, než probehne restart PC a vir se projeví v plné síle ?

na tohle nikdy nezapomenu a snad se z toho vylížu jestli něco je a do konce života mám za vyučenou ...
jestli totiž něco dokáže mě klidase nastvat tak to jsou problémy s počítačem, hlavně ty softwarový problemy

Díky všem!

zdravim
Ak si spustil instalaciu,fake flas-playera tak urcite mas pc, infikovane,
tento hajzel, zmeni bootloader zrusi antivirak, atd atd, zatial v ziadnom pripade nerestartuj pc,
Stiahnes>>mbam-setup
Nainstalovat, aktualizovat, a spustit skan.
Spravit RYCHLY skan,
Log vloz sem.
Podrobny Navod:
http://www.viry.cz/forum/viewtopic.php?f=29&t=67229

mne tiez isiel notas normalne az navecer som zistil ze to od toho kamarata bol virus a ten flash som len stiaholk ani neotvaral...a vidis riesili smeto tu tak na 7 stran:D

díky za rychlou odpověď:

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Verze databáze: 7253

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

23.7.2011 22:52:57
mbam-log-2011-07-23 (22-52-49).txt

Typ: Rychlá kontrola
Kontrolované objekty: 188381
Uplynulý čas: 4 minut, 14 sekund

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče v registru: 3
Infikované hodnoty v registru: 1
Infikované datové položky v registru: 0
Infikované složky: 0
Infikované soubory: 1

Infikované procesy v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované moduly v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované klíče v registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\WXPDRIVERS (Trojan.Agent) -> No action taken.

Infikované hodnoty v registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wxpDrivers\ImagePath (Trojan.Agent) -> Value: ImagePath -> No action taken.

Infikované datové položky v registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované složky:
(Žádné škodlivé položky nebyly zjištěny)

Infikované soubory:
c:\Windows\services32.exe (Trojan.Dropper) -> No action taken.

dobre zmaz vsetko
Uz vsetko bolo pripravene na zlikvidovanie AV a pc,
, este stale nedovol restart, ak aj Malwarebytes bude protestovat, ok.
do prikazoveho riadku napis, bcdedit.exe
potom daj screen

Mno tak sem dal odstranit, program chce restartovat, aby mohl dokoncit proces, zatim sem nekliknul ani na ANO ani na NE, otevrel sem cmd a dal tam to bcdedit.exe a vyjelo mi:


Správce spouštění systému Windows
--------------------
identifikátor {bootmgr}
device partition=C:
description Windows Boot Manager
locale cs-CZ
inherit {globalsettings}
default {current}
resumeobject {5399cbf4-7c98-11df-bf29-b892364aac00}
displayorder {current}
toolsdisplayorder {memdiag}
timeout 30

Zaváděcí program pro spouštění systému Windows
-------------------
identifikátor {current}
device partition=C:
path \Windows\system32\winload.exe
description Windows 7
locale cs-CZ
inherit {bootloadersettings}
recoverysequence {5399cbf6-7c98-11df-bf29-b892364aac00}
recoveryenabled Yes
osdevice partition=C:
systemroot \Windows
resumeobject {5399cbf4-7c98-11df-bf29-b892364aac00}
nx OptIn
safeboot Minimal
safebootalternateshell Yes


screen myslim není třeba, více věcí na mě nevyjelo

no, vidi sa mi ze uz zautocil na bootloader
safeboot Minimal
safebootalternateshell Yes

Takto vy exportuj bootloader prikazom
bcdedit /export "c:\BCD Backup"
a skontroluj ci skutocne je tam.BCD Backup
a napis

tak sem to vyexportoval, snad dobře a pulka toho txt souboru obsahuje nečitelné znaky ale je tam i normální text, absolutne se v tom nevyznám ...

BCD backup jsem přiložil

To je pre teba,tak aby bolo na c, ak by ti po uprave bootloadera nenabehol system.
Takze ak je subor tu c:\BCD Backup
Potom je ok
Teraz ak nemas po ruke druhy pocitac , tak tento prikaz zapis
bcdedit /import "c:\BCD Backup"
ked pouzijeme malwarebytes a po restarte by zacalo blbnut system, alebo vobec nenabehlo pouzijes tento prikaz z prikazoveho riadku , pri starte budes mackat F-8 ako do nudzoveho rezimu,v menu vyberies prikazovy riadok, a zadas hore uvedeny prikaz.ok, pre kazdy pripad

Teeraz do start spustit napis msconfig, klikni na zalozku BOOT, a pozri sa ci uz je tam zafajknute safeboot minimal, podla bootloadera ano,, a napis , alebo daj screen

Mno mám to v češtině, takže hádám že BOOT = spuštění počítače

možnosti spuštění:

na vyber jsou 4 moznosti:

minimalni
alternativni prostredi
oprava sluzby active directory
sit

a vpravo nejake hovadiny nezaskrtané...

v mém případě je označeno " aleternativní prostredi "

kdyztak udělam screen, jen ja umim rychle psat takze radsi pisu

takze teraz zadaj prikazy
bcdedit.exe /deletevalue safeboot [enter]
bcdedit.exe /deletevalue alternateshell[enter]

a znova daj prikaz bcdedit.exe
a vloz sem log , tak ako predtym

C:\Users\An7yk>bcdedit.exe /deletevalue alternateshell
Zadaný typ datového prvku nebyl rozpoznán nebo se nevztahuje
k zadané položce.
Pomoc k příkazovému řádku získáte příkazem bcdedit /?.
Prvek nebyl nalezen.


Co dělám špatně? První příkaz byl uspesne proveden ...

a ten prvy prikaz prebehol uspesne??

prvni prikaz probeh uspesne...

a prave ten program odteba uspesne zablokoval utok z nejake IP adresy 95.169.....

aha uz vidim

Vies co daj screen z msconfig>>boot