VIRY.CZ

Tak konečně opět na síti.

Vyzkoušel jsem použít ten script do ComboFixu a mám klasicky dvě zprávy, jednu dobrou a jednu špatnou.

Ta dobrá je,

že jsem po jeho užití nemusel přeinstalovávat OS a dokonce ani zkoušet nouzový či jiný režim.

Ta špatná,

ani po 3 pokusech a ponechání přes půl hodiny na generováni Logu ho nemám. Combofix ho nevygeneroval.
K průběhu:
script spustí Combofix, ten oskenuje PC, pak restart naběhnutí dialogu o generování Logu a pak už nic. A ve správci úkolů nulová aktivita.
Zkoušel jsem Combofix i přejmenovat a výsledek stejný.

Tak nevím, jestli má smysl to zkoušet znovu. Začínám propadat mírnému pesimismu.

Přesto přeji příjemný den

Tak konečně opět na síti.

Vyzkoušel jsem použít ten script do ComboFixu a mám klasicky dvě zprávy, jednu dobrou a jednu špatnou.

Ta dobrá je,

že jsem po jeho užití nemusel přeinstalovávat OS a dokonce ani zkoušet nouzový či jiný režim.

Ta špatná,

ani po 3 pokusech a ponechání přes půl hodiny na generováni Logu ho nemám. Combofix ho nevygeneroval.
K průběhu:
script spustí Combofix, ten oskenuje PC, pak restart naběhnutí dialogu o generování Logu a pak už nic. A ve správci úkolů nulová aktivita.
Zkoušel jsem Combofix i přejmenovat a výsledek stejný.

Tak nevím, jestli má smysl to zkoušet znovu. Začínám propadat mírnému pesimismu.

Přesto přeji příjemný den

Mrkněte na disk C, měl by tam být log - combofix1.txt nebo podobně .

a jak to jinak vypadá s počítačem?

Dobrý den,

žádný odpovídající log file jsem na disku nenašel. Takže uvádím výpis txt. souborů z Combofixu, které datem a časem odpovídají, jen vynechávám OsId. Rozdíl vzniku jednotlivých souborů je do 10 minut, jen Mbr vznikly ve schodný čas.

Jinak PC běží celkem v pořádku, dneska sice brouzdání na netu najela stránka:

Upozornění:
http://10.0.0.138/zCfgTestFail.html

Veřejná internetová stránka požaduje data z vaší soukromé sítě intranetu. Automatický přístup je z bezpečnostních důvodů blokován, můžete si vybrat, zda chcete pokračovat.

Pokračovat (pozn. pokud na toto kliknu dostanu se do nastavení modemu)

Vždy pokračovat, jsou-li požadována data z tohoto serveru mé soukromé sítě intranetu

- Ale tohle se mi občas stává a naví zhruba ve stejné čase spadlo připojení, takže celkem bez problémů.
Od posledně jsem změnil antivirus za Avast, takže uvidíme.

uvedené časy jsou čerpány z údajů ve složce o době vzniku ne z časů v souborech:

Combofix: 20:37:

ComboFix 10-07-11.07 - h 12.07.2010 20:32:58.5.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.1.1250.420.1029.18.383.186 [GMT 2:00]
Spuštěný z: C:\Documents and Settings\h\Plocha\cf.exe
Použité ovládací přepínače :: C:\Documents and Settings\h\Plocha\CFScript.txt

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.

ConEnv: 20:31:

s/^%ActiveX%/C:\\WINDOWS\\Downloaded Program Files/I;
s/^%ALLUSERSPROFILE%/C:\\Documents and Settings\\All Users/I;
s/^%APPDATA%/C:\\Documents and Settings\\h\\Data aplikací/I;
s/^%Cache%/C:\\Documents and Settings\\h\\Local Settings\\Temporary Internet Files/I;
s/^%CDBurning%/C:\\Documents and Settings\\h\\Local Settings\\Data aplikací\\Microsoft\\Zápis na CD/I;
s/^%CommonAdministrativeTools%/C:\\Documents and Settings\\All Users\\Nabídka Start\\Programy\\Nástroje pro správu/I;
s/^%CommonAppData%/C:\\Documents and Settings\\All Users\\Data aplikací/I;
s/^%CommonDesktop%/C:\\Documents and Settings\\All Users\\Plocha/I;
s/^%CommonDocuments%/C:\\Documents and Settings\\All Users\\Dokumenty/I;
s/^%CommonFavorites%/C:\\Documents and Settings\\All Users\\Oblíbené položky/I;
s/^%CommonProgramFiles%/C:\\Program Files\\Common Files/I;
s/^%CommonPrograms%/C:\\Documents and Settings\\All Users\\Nabídka Start\\Programy/I;
s/^%CommonStartMenu%/C:\\Documents and Settings\\All Users\\Nabídka Start/I;
s/^%CommonStartup%/C:\\Documents and Settings\\All Users\\Nabídka Start\\Programy\\Po spuštění/I;
s/^%CommonTemplates%/C:\\Documents and Settings\\All Users\\Šablony/I;
s/^%Cookies%/C:\\Documents and Settings\\h\\Cookies/I;
s/^%DefaultAppData%/C:\\WINDOWS\\system32\\config\\systemprofile\\Data aplikací/I;
s/^%DefaultCache%/C:\\WINDOWS\\system32\\config\\systemprofile\\Local Settings\\Temporary Internet Files/I;
s/^%DefaultDesktop%/C:\\WINDOWS\\system32\\config\\systemprofile\\Plocha/I;
s/^%DefaultFavorites%/C:\\WINDOWS\\system32\\config\\systemprofile\\Oblíbené položky/I;
s/^%DefaultFonts%/C:\\WINDOWS\\Fonts/I;
s/^%DefaultHistory%/C:\\WINDOWS\\system32\\config\\systemprofile\\Local Settings\\History/I;
s/^%DefaultLocalAppData%/C:\\Documents and Settings\\LocalService\\Local Settings\\Data aplikací/I;
s/^%DefaultLocalSettings%/C:\\WINDOWS\\system32\\config\\systemprofile\\Local Settings/I;
s/^%DefaultNetHood%/C:\\WINDOWS\\system32\\config\\systemprofile\\Okolní síť/I;
s/^%DefaultPersonal%/C:\\WINDOWS\\system32\\config\\systemprofile\\Dokumenty/I;
s/^%DefaultPrintHood%/C:\\WINDOWS\\system32\\config\\systemprofile\\Okolní tiskárny/I;
s/^%DefaultRecent%/C:\\WINDOWS\\system32\\config\\systemprofile\\Recent/I;
s/^%DefaultSendTo%/C:\\WINDOWS\\system32\\config\\systemprofile\\SendTo/I;
s/^%DefaultStartMenu%/C:\\WINDOWS\\system32\\config\\systemprofile\\Nabídka Start/I;
s/^%DefaultStartup%/C:\\WINDOWS\\system32\\config\\systemprofile\\Nabídka Start\\Programy\\Po spuštění/I;
s/^%DefaultTemplates%/C:\\WINDOWS\\system32\\config\\systemprofile\\Šablony/I;
s/^%Desktop%/C:\\Documents and Settings\\h\\Plocha/I;
s/^%Fonts%/C:\\WINDOWS\\Fonts/I;
s/^%History%/C:\\Documents and Settings\\h\\Local Settings\\History/I;
s/^%HOMEPATH%/\\Documents and Settings\\h/I;
s/^%LocalAppData%/C:\\Documents and Settings\\h\\Local Settings\\Data aplikací/I;
s/^%LocalSettings%/C:\\Documents and Settings\\h\\Local Settings/I;
s/^%Personal%/C:\\Documents and Settings\\h\\Dokumenty/I;
s/^%PrintHood%/C:\\Documents and Settings\\h\\Okolní tiskárny/I;
s/^%ProfilesDirectory%/C:\\Documents and Settings/I;
s/^%ProgramFiles%/C:\\Program Files/I;
s/^%Programs%/C:\\Documents and Settings\\h\\Nabídka Start\\Programy/I;
s/^%Recent%/C:\\Documents and Settings\\h\\Recent/I;
s/^%SendTo%/C:\\Documents and Settings\\h\\SendTo/I;
s/^%StartMenu%/C:\\Documents and Settings\\h\\Nabídka Start/I;
s/^%Startup%/C:\\Documents and Settings\\h\\Nabídka Start\\Programy\\Po spuštění/I;
s/^%SYSTEM%/C:\\WINDOWS\\system32/I;
s/^%SysTemp%/C:\\WINDOWS\\TEMP/I;
s/^%SystemRoot%/C:\\WINDOWS/I;
s/^%Tasks%/C:\\WINDOWS\\Tasks/I;
s/^%TEMP%/C:\\DOCUME~1\\h\\LOCALS~1\\Temp/I;
s/^%Templates%/C:\\Documents and Settings\\h\\Šablony/I;
s/^%Temp_LFN%/C:\\Documents and Settings\\h\\Local Settings\\temp/I;
s/^%TMP%/C:\\DOCUME~1\\h\\LOCALS~1\\Temp/I;
s/^%USERPROFILE%/C:\\Documents and Settings\\h/I;
s/^%windir%/C:\\WINDOWS/I;
s/^%systemdrive%/C:/I;


Env: 20:32:

s/\\\?\?\\//
s/ %systemroot\%\\/ C:\\WINDOWS\\/I
s/ %Windir\%\\/ C:\\WINDOWS\\/I
s/ System32\\/ C:\\WINDOWS\\system32\\/I
s/ %ProgramFiles\%\\/ C:\\Program Files\\/I
s/ %commonprogramfiles\%\\/ C:\\Program Files\\Common Files\\/I
s/ %Temp\%\\/ C:\\DOCUME~1\\h\\LOCALS~1\\Temp\\/I
s/ %Tmp\%\\/ C:\\DOCUME~1\\h\\LOCALS~1\\Temp\\/I
s/ %AppData\%\\/ C:\\Documents and Settings\\h\\Data aplikací\\/I
s/ %AllUsersProfile\%\\/ C:\\Documents and Settings\\All Users\\/I
s/ %UserProfile\%\\/ C:\\Documents and Settings\\h\\/I
s/ globalroot\\systemroot\\/ C:\\WINDOWS\\/I


Mbr: 20:40:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys atapi.sys hal.dll viaide.sys PCIIDEX.SYS
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf76fdaac
\Driver\ACPI -> ACPI.sys @ 0xf7662740
\Driver\atapi -> atapi.sys @ 0xf760903c
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x80559f4b
ParseProcedure -> ntoskrnl.exe @ 0x805829d5
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x80559f4b
ParseProcedure -> ntoskrnl.exe @ 0x805829d5
NDIS: Realtek RTL8139 Family PCI Fast Ethernet NIC #2 -> SendCompleteHandler -> NDIS.sys @ 0xf753f630
PacketIndicateHandler -> NDIS.sys @ 0xf754a480
SendHandler -> NDIS.sys @ 0xf753f779
user & kernel MBR OK

Mbr: 20:40:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys atapi.sys hal.dll viaide.sys PCIIDEX.SYS
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf76fdaac
\Driver\ACPI -> ACPI.sys @ 0xf7662740
\Driver\atapi -> atapi.sys @ 0xf760903c
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x80559f4b
ParseProcedure -> ntoskrnl.exe @ 0x805829d5
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x80559f4b
ParseProcedure -> ntoskrnl.exe @ 0x805829d5
NDIS: Realtek RTL8139 Family PCI Fast Ethernet NIC #2 -> SendCompleteHandler -> NDIS.sys @ 0xf753f630
PacketIndicateHandler -> NDIS.sys @ 0xf754a480
SendHandler -> NDIS.sys @ 0xf753f779
user & kernel MBR OK


Pend: 20:32:

.:\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\\(\\\|0!\|0\\0\)
C:\\WINDOWS\\system32\\config\\\(\\\|0!\|0\\0\)
C:\\WINDOWS\\system32\\csrss.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\Drivers\\\(\\\|0!\|0\\0\)
C:\\WINDOWS\\system32\\hal.dll\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\lsass.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\ntdll.dll\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\services.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\smss.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\svchost.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\userinit.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\wbem\\\(\\\|0!\|0\\0\)
C:\\WINDOWS\\system32\\winlogon.exe\\\(0!\|0\\0\)
C:\\boot.ini\\\(0!\|0\\0\)
C:\\ntdetect.com\\\(0!\|0\\0\)
C:\\ntldr\\\(0!\|0\\0\)
C:\\WINDOWS\\\(\\\|0!\|0\\0\)
C:\\WINDOWS\\explorer.exe\\\(0!\|0\\0\)


Resident: 20:31:

soubor je prázdný 0 bajtů

Run: 20:32:

/^HKEY_/I!{
s/\x25ProgramFiles\x25/C:\\Program Files/I
s/\x25CommonProgramFiles\x25/C:\\Program Files\\Common Files/I
s/\x25AppData\x25/C:\\Documents and Settings\\h\\Data aplikací/I
s/\x25USERPROFILE\x25/C:\\Documents and Settings\\h/I
s/\x25ALLUSERSPROFILE\x25/C:\\Documents and Settings\\All Users/I
s/\x25HOMEDRIVE\x25/C:/I
s/\x25HOMEPATH\x25/\\Documents and Settings\\h/I
s/\x25SystemDrive\x25/C:/I
s/\x25TEMP\x25/C:\\DOCUME~1\\h\\LOCALS~1\\Temp/I
s/\x25TMP\x25/C:\\DOCUME~1\\h\\LOCALS~1\\Temp/I
s/\x25systemroot\x25/C:\\WINDOWS/I
s/\x25Windir\x25/C:\\WINDOWS/I
s/\\\x22//g
s/\x22//g
s/^ +//
s/ REG_\S* / /
s/ .* / /
s/ [; ]*/ /
s/C:\\WINDOWS\\system32\\rundll32\.exe (.*\.dll),.*/\1/I
s/C:\\WINDOWS\\system32\\rundll32 (.*\.dll),.*/\1/I
s/ rundll32\.exe (.*\.dll),.*/ \1/I
s/ rundll32 (.*\.dll),.*/ \1/I
s/C:\\WINDOWS\\system32\\rundll32\.exe //I
s/C:\\WINDOWS\\system32\\rundll32 //I
s/ rundll32\.exe / /I
s/ rundll32 / /I
s/C:\\WINDOWS\\system32\\regsvr32\.exe (.*\.dll).*/\1/I
s/C:\\WINDOWS\\system32\\regsvr32 (.*\.dll).*/\1/I
s/ regsvr32\.exe (.*\.dll).*/ \1/I
s/ regsvr32 (.*\.dll).*/ \1/I
s/C:\\WINDOWS\\system32\\regsvr32\.exe //I
s/C:\\WINDOWS\\system32\\regsvr32 //I
s/ regsvr32\.exe / /I
s/ regsvr32 / /I
s/C:\\WINDOWS\\system32\\cmd\.exe //I
s/C:\\WINDOWS\\system32\\cmd //I
s/ cmd\.exe / /I
s/ cmd / /I
:a
s/ +/ /
s/ \/\S* / /;ta
s/C:\\WINDOWS\\system32\\cscript\.exe //I
s/C:\\WINDOWS\\system32\\cscript //I
s/ cscript\.exe / /I
s/ cscript / /I
s/^<NO NAME^> /@ /
s/(....*) .:\\.*/\1/
s/,.*//
s/ *\/.*//
:c
s/(:\\[^:]*\S\....) +[^\\\t]*($|[^\t]*:\\.*)/\1/;tc
}


Tak a to by bylo asi tak vše

VY to všechno máte nějaké divoké .

Stahněte z mého podpisu AVPTOOl http://www.viry.cz/forum/viewtopic.php?f=29&t=58179

-Podle návodu nainstalujte a proveďte sken
-co najde nechejte léčit, mazat
-sken může trvat několik hodin
-vložte zde log z výsledky