VIRY.CZ

Naboototval jsem z instalačního CD. Objeví se modré okno,ale po stisknutí R pro Konzoli pro zotavení se nic neděje. System zamrzl.

Nastavil jsem aby mi naskočila nabídka po spuštění Pc: 1. Windows Xp
2. Konzola pro zotaveni (bez spouštěcího CD)
Konzola se spustí,na černé obrazovce je napsáno:Konzola pro zotavení sys...
Zajišťuje opravu...
Po zadání příkazu exit...
1:c:\windows
Ke ktere instalaci sys. win. se chcete přihlásit?
Operaci zrušíte stisknutím entr.
Obrazovka je nečinná, na nic nereaguje, ani na ten entr. Musel jsem restartovat

Zkuste to ještě jednou.

Fixmbr přemáznul nějaké oddíly disku, vypadá to ale, že to nepomohlo

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys intelide.sys PCIIDEX.SYS
kernel: MBR read successfully
user & kernel MBR OK
PE file found in sector at 0x02542D703 !
PE file found in sector at 0x02542D757 !
PE file found in sector at 0x02542D76B !
PE file found in sector at 0x02542D7A0 !
PE file found in sector at 0x02542D7E4 !
PE file found in sector at 0x02542D83B !

Omlouvám se za zpoždění
Máte zazálohovaná všechna důležitá data

Jak se to vezme... Mám disk rozdělen na 3 sekce, z nichž jedna je systémová.Tu systémovou mám zálohovanou, jsou ohroženy i další sekce???
+ mám další 2 disky- ty jsou také ohroženy???

Stáhněte Dr. Web CureIt http://www.viry.cz/forum/viewtopic.php?f=29&t=47721

• Proveďte sken, co najde nechejte léčit, případně mazat.
• Soubor/Uložit výsledky - uložte jako textový soubor, jeho obsah sem zkopírujte.

Viry smazány, 2 test (expresní) výsledek: Hotovo, nebyl nalezen žádný vir.

Následující soubor/y otestujte na http://www.virustotal.com/cs/
c:\windows\system32\winlogon.exe

(Soubor/y nehledejte, jenom vložíte tučně označenou cestu, v případě hlášky "Soubor již byl testován" dejte otestovat znovu. Výsledek analýzy sem v podobě odkazu vložte.)


Dejte nový log z ComboFixu (bez skriptu)

Dobrý večer, zde jsou výsledky:
http://www.virustotal.com/cs/analisis/f ... 1275506137

ComboFix 10-05-28.08 - J7N 02.06.2010 21:18:51.3.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.1023.489 [GMT 2:00]
Spuštěný z: c:\documents and settings\J7N.J7N-66C4CED9D23\Plocha\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((( Soubory vytvořené od 2010-05-02 do 2010-06-02 )))))))))))))))))))))))))))))))
.

2010-05-30 15:40 . 2010-04-12 15:29 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-05-29 14:30 . 2010-05-29 14:30 390144 ----a-w- c:\windows\system32\CF22804.exe
2010-05-29 13:40 . 2010-05-29 13:40 -------- d-----w- c:\program files\trend micro
2010-05-29 13:40 . 2010-05-29 13:40 -------- dc----w- C:\rsit
2010-05-28 21:05 . 2010-03-01 08:05 124784 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-05-28 21:05 . 2010-02-16 12:24 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-05-28 21:05 . 2009-05-11 10:49 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2010-05-28 21:05 . 2009-05-11 10:49 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2010-05-28 21:02 . 2010-05-28 21:02 42117 ----a-w- c:\windows\system32\epfwdata.bin
2010-05-23 21:00 . 2010-05-23 20:55 390144 ----a-w- c:\windows\system32\CF11050.exe
2010-05-23 08:21 . 2010-05-23 08:21 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-05-22 18:37 . 2010-05-22 18:37 -------- d-----w- c:\documents and settings\J7N.J7N-66C4CED9D23\DoctorWeb

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-29 16:43 . 2009-08-15 16:37 -------- d-----w- c:\program files\PC Connectivity Solution
2010-05-29 16:42 . 2010-05-02 15:49 -------- d-----w- c:\program files\Nokia
2010-05-29 16:41 . 2009-10-18 18:50 -------- d-----w- c:\program files\Common Files\Nokia
2010-05-02 15:57 . 2010-05-02 15:57 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_ccdcmb_01009.Wdf
2010-05-02 15:57 . 2010-05-02 15:57 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01009_Coinstaller_Critical.Wdf
2010-04-20 20:22 . 2010-04-20 20:22 -------- d-----w- c:\program files\Microsoft Works
2010-04-20 20:21 . 2010-04-20 20:21 -------- d-----w- c:\program files\Microsoft.NET
2010-04-14 15:29 . 2001-10-25 14:00 68736 ----a-w- c:\windows\system32\perfc005.dat
2010-04-14 15:29 . 2001-10-25 14:00 389664 ----a-w- c:\windows\system32\perfh005.dat
2010-04-14 15:29 . 2010-04-14 15:29 0 ---ha-w- c:\windows\system32\drivers\Msft_User_PCCSWpdDriver_01_07_00.Wdf
2010-04-14 15:28 . 2010-04-14 15:28 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_user_01_07_00.Wdf
2010-04-13 16:59 . 2010-04-13 16:59 -------- d-----w- c:\program files\CoreCodec
2010-04-12 20:33 . 2005-03-05 11:59 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-03-26 17:22 . 2010-03-26 17:22 0 ----a-w- c:\windows\ativpsrm.bin
.

((((((((((((((((((((((((((((( SnapShot@2010-05-23_21.26.27 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-06-02 12:20 . 2010-06-02 12:20 16384 c:\windows\Temp\Perflib_Perfdata_49c.dat
+ 2010-05-28 21:05 . 2009-05-11 08:12 28520 c:\windows\system32\drivers\ssmdrv.sys
+ 2008-04-14 06:52 . 2008-04-14 06:52 507904 c:\windows\system32\winlogon.exe
- 2008-04-14 06:52 . 2009-10-15 21:16 507904 c:\windows\system32\winlogon.exe
- 2010-03-31 16:17 . 2010-03-09 02:28 153376 c:\windows\system32\javaws.exe
+ 2010-05-30 15:40 . 2010-04-12 15:29 153376 c:\windows\system32\javaws.exe
+ 2010-05-30 15:40 . 2010-04-12 15:29 145184 c:\windows\system32\javaw.exe
- 2010-03-31 16:17 . 2010-03-09 02:28 145184 c:\windows\system32\javaw.exe
+ 2010-05-30 15:40 . 2010-04-12 15:29 145184 c:\windows\system32\java.exe
- 2010-03-31 16:17 . 2010-03-09 02:28 145184 c:\windows\system32\java.exe
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" [2008-06-24 1840424]
"PC Suite Tray"="e:\programy\Nokia\Nokia PC Suite 7\PCSuite.exe" [2009-06-25 1414144]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
"NeroFilterCheck"="c:\program files\Common Files\Nero\Lib\NeroCheck.exe" [2008-06-19 570664]
"WinampAgent"="e:\programy\Winamp\winampa.exe" [2009-07-01 37888]
"StartCCC"="e:\programy\Ati Catalyst 10_3\ATI.ACE\Core-Static\CLIStart.exe" [2010-03-02 98304]
"avgnt"="e:\programy\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Winamp Remote\\bin\\Orb.exe"=
"c:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"=
"c:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"e:\\Programy\\uTorrent\\utorrent.exe"=
"i:\\HRY\\Need for Speed Most Wanted\\speed.exe"=
"c:\\Program Files\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"c:\\Program Files\\Common Files\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;e:\programy\Avira\AntiVir Desktop\sched.exe [28.5.2010 23:05 135336]
S3 G Data Tuner Service;G Data Tuner Service;e:\programy\GData\AVKTuner\AVKTunerService.exe --> e:\programy\GData\AVKTuner\AVKTunerService.exe [?]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys --> c:\windows\system32\drivers\nmwcdnsu.sys [?]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys --> c:\windows\system32\drivers\nmwcdnsuc.sys [?]
S3 PRODIGY;PRODIGY;c:\windows\system32\drivers\prodigy.sys [6.12.2009 14:08 32377]
S3 Serenade;Serenade USB DFU Device;c:\windows\system32\drivers\Serenadedfu.sys [17.11.2009 13:25 14336]
S4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys --> c:\windows\system32\Drivers\sptd.sys [?]
.
.
------- Doplňkový sken -------
.
FF - ProfilePath - c:\documents and settings\J7N.J7N-66C4CED9D23\Data aplikací\Mozilla\Firefox\Profiles\zq6vfpc8.default\
FF - plugin: e:\programy\JAVA\bin\new_plugin\npdeploytk.dll
FF - plugin: e:\programy\JAVA\bin\new_plugin\npjp2.dll
FF - plugin: e:\programy\Mozilla Firefox\plugins\npdeployJava1.dll

---- NASTAVENÍ FIREFOXU ----
e:\programy\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
e:\programy\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
e:\programy\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
e:\programy\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
e:\programy\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

HKCU-Run-NokiaOviSuite2 - c:\program files\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe



**************************************************************************
skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory:

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(568)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\atiadlxx.dll

- - - - - - - > 'explorer.exe'(3252)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Celkový čas: 2010-06-02 21:24:09
ComboFix-quarantined-files.txt 2010-06-02 19:24
ComboFix2.txt 2010-05-29 14:44
ComboFix3.txt 2010-05-23 21:27

Před spuštěním: 3 554 476 032
Po spuštění: 3 904 368 640

- - End Of File - - EE187D5C68CACDDCB8E25C7BC4FBC488

Jak se chová PC

PC se chová úplně normálně, jen DR Web našel nové viry, až skončí scan tak sem hodím log.

OK

Log: Dr.Web
A0000024.bat;C:\System Volume Information\_restore{216E820D-A056-478B-991D-36036D89BEA8}\RP1;Pravděpodobně BATCH.Virus;Nevyléčitelný.Smazán.;
A0000454.bat;C:\System Volume Information\_restore{216E820D-A056-478B-991D-36036D89BEA8}\RP4;Pravděpodobně BATCH.Virus;Nevyléčitelný.Smazán.;
A0000479.bat;C:\System Volume Information\_restore{216E820D-A056-478B-991D-36036D89BEA8}\RP4;Pravděpodobně BATCH.Virus;Nevyléčitelný.Smazán.;
DA67AF74d01/data002\{app}\EvID4226Patch.exe;C:\Documents and Settings\J7N\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\t1j1h0dn.default\Cache\DA67AF74d01/data002;Program.Tcpip;;
data002;C:\Documents and Settings\J7N\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\t1j1h0dn.default\Cache;Kontejner obsahuje nakažené objekty ;;
DA67AF74d01;C:\Documents and Settings\J7N\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\t1j1h0dn.default\Cache;Kontejner obsahuje nakažené objekty ;Přesunut.;
A0000016.exe/data003\32788R22FWJFW\c.bat;C:\System Volume Information\_restore{216E820D-A056-478B-991D-36036D89BEA8}\RP1\A0000016.exe/data003;Pravděpodobně BATCH.Virus;;
A0000016.exe/data003\32788R22FWJFW\psexec.cfexe;C:\System Volume Information\_restore{216E820D-A056-478B-991D-36036D89BEA8}\RP1\A0000016.exe/data003;Program.PsExec.171;;
data003;C:\System Volume Information\_restore{216E820D-A056-478B-991D-36036D89BEA8}\RP1;V archivu jsou infikované objekty;;
A0000016.exe;C:\System Volume Information\_restore{216E820D-A056-478B-991D-36036D89BEA8}\RP1;Kontejner obsahuje nakažené objekty ;Přesunut.;
A0000471.exe/data003\32788R22FWJFW\c.bat;C:\System Volume Information\_restore{216E820D-A056-478B-991D-36036D89BEA8}\RP4\A0000471.exe/data003;Pravděpodobně BATCH.Virus;;
A0000471.exe/data003\32788R22FWJFW\psexec.cfexe;C:\System Volume Information\_restore{216E820D-A056-478B-991D-36036D89BEA8}\RP4\A0000471.exe/data003;Program.PsExec.171;;
data003;C:\System Volume Information\_restore{216E820D-A056-478B-991D-36036D89BEA8}\RP4;V archivu jsou infikované objekty;;
A0000471.exe;C:\System Volume Information\_restore{216E820D-A056-478B-991D-36036D89BEA8}\RP4;Kontejner obsahuje nakažené objekty ;Přesunut.;

Pokračujte podle návodu http://www.viry.cz/forum/viewtopic.php?f=29&t=58179