ComboFix

[motji]

Přečtěte si prosím sz

[ADMONEY]

1. log z GMER:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-04-18 17:36:57
Windows 5.1.2600 Service Pack 2
Running: gmer.exe; Driver: C:\DOCUME~1\Karel\LOCALS~1\Temp\ufpoyaoc.sys


---- System - GMER 1.0.15 ----

Code 86F4D580 pIofCallDriver

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)
AttachedDevice \FileSystem\Fastfat \Fat SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)
AttachedDevice \FileSystem\Fastfat \Fat InCDrec.SYS (InCD File System Recognizer/Nero AG)
AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

Device \Driver\NDIS \Device\Ndis [86EF1982] NDIS.sys[.reloc]

---- EOF - GMER 1.0.15 ----

[ADMONEY]

1. log z GMER:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-04-18 17:36:57
Windows 5.1.2600 Service Pack 2
Running: gmer.exe; Driver: C:\DOCUME~1\Karel\LOCALS~1\Temp\ufpoyaoc.sys


---- System - GMER 1.0.15 ----

Code 86F4D580 pIofCallDriver

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)
AttachedDevice \FileSystem\Fastfat \Fat SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)
AttachedDevice \FileSystem\Fastfat \Fat InCDrec.SYS (InCD File System Recognizer/Nero AG)
AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

Device \Driver\NDIS \Device\Ndis [86EF1982] NDIS.sys[.reloc]

---- EOF - GMER 1.0.15 ----

[motji]

Vy jste mi tu vložil dvakrát první log z Gmeru

[ADMONEY]

Tak to se omlouvám, 2 scan GMERu trvá o něco déle - to jsem nevěděl, ted momentálně provádím onen 2.scan, v momentě kdy budu mít log z GMERu ihned ho vložím

[motji]

Ještě tu chviličku budu, kdyby jste mě tu již nezastihl, tak tu budu večer po 9 hodině

[ADMONEY]

Dobrá, můžete mi popsat úkony, které zamýšlíte s tou mojí havětí ?

[motji]

Já bych radši počkala na ten log z Gmeru, jestli se potvrdí moje domněnka, že se jedná o Tdl rootkit. Pokud ano, tak ho speciálním příkazem zkusíme zneškodnit , combofix by si s ním měl poradit.

Více Vám vysvětlím v sz

[ADMONEY]

Zatím se furt scanuje, ale zatim nic nenašel.

[motji]

Já bych pak ráda viděla ten log

[ADMONEY]

V příloze zasílám onen dlouho očekávany hlavní log z GMERu . Přesahuje maximalní počet povolených znaků.

[motji]

Ještě to chvilku semnou vydržte . Gmer se bohužel asi nějak špatně provedl, nevyčtu z něj tolik, kolik bych si přála .


Zkuste ještě stahnout ndis.sys odtud - není zabalený v raru. Zkuste ho dostat do počítače v nouzovém režimu, přímo na disk C, pokud se povede, provedte skript na avenger, jak jsem psala na první straně.
http://leteckaposta.cz/265949435
-----
Pokud se nepovede, tak provedte tohle:

Stáhněte SystemLook
http://jpshortstuff.247fixes.com/SystemLook.exe

- uložte ho na plochu a spustte.
- do okénka zkopírujte

Kód: Vybrat vše

:filefind
ndis.sys
dbghlp.dll

- klikněte na Look, proběhne sken, na konci se zobrazí log, jehož obsah zkopírujete sem

[ADMONEY]

Přeji krasné dopoledne. Tak soubour ndis.sys již mám stažený v pc. Jen se zeptam, zda-li jsem pochopil správně, onen právě stahnuty ndis.sys mám vložit na "Místní disk C" ? A je jedno kde se bude nachazet, nemusí mít nějakou konkretní cestu ?

[motji]

Soubor musí mít tuto cestu, budeme měnit naráz dva, takže si přímo na disku C vytvořte složku A a soubor vložte tam.
c:\ndis.sys
c:\A\ndis.sys



Stáhněte Avenger
http://swandog46.geekstogo.com/avenger.exe

-spustíte program a potvrdíte kliknutím na ok,tím potvrzujete, že všechny činnosti s tím spojené činíte na vlastní riziko.
-Po odkliknutí se objeví hlavní okno programu,do bílého okna něj zkopírujte tento skript:

Kód: Vybrat vše

Begin copying here:
Files to move:
c:\ndis.sys | c:\windows\system32\drivers\ndis.sys
c:\A\ndis.sys | c:\windows\system32\dllcache\ndis.sys

-zaškrtněte políčko scan for rootkits

a klikněte na tlačítko Execute.
-Potom se objeví okno,kde kliknutím Yes potvrdíte spuštění skriptu. Pak znovu tlačítkem yes potvrdíte restart počítače.
-Po restartu by se měl otevřít poznámkový blok s logem o vykonání skriptu, bude také uložený v C:\avenger.txt.
-Log vložte sem


Můžu vědět, jak jste ho na disk dostal?

[ADMONEY]

Normalně šel stahnout. Ale potřebuju ted ho odstranit, pač ho nemůžu přejmenovat ani přesouvat, musim ho stahnout rovnou na dane cesty. Jakym zpusobem ho smažu ? Obyčejným postupem to nejde.