VIRY.CZ

ok,teraz este skontroluj subor hosts
start-spustit-vloz prikaz
%systemroot%\system32\drivers\etc
ok
skus ci vies otvorit hosts-v notepad,,nakolko tento smejd modifikuje aj hosts a uzamkne.

na tomto PC (Win7) soubor hosts není.
V uvedeném adresáři jsou pouze soubory:
lmhosts.sam
networks
protocol
services

no musi byt,takze spravis toto:

stiahnes na plochu hostsperm
spust.
Teraz uz najdes hosts,oprav to takto:rucne,,
http://support.microsoft.com/kb/972034

ak toto budes mat spustis combofix:

PROSIM CITAJTE POZORNE NAVODY!!!,

Stáhněte na plochu, ukončete všechna aktivní okna a spusťte>>
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

- ComboFix je třeba spustit pod účtem s právy administrátora.
- Po spuštění se zobrazí podmínky užití, potvrďte je stiskem tlačítka Ano;

A este raz >ANO<

- Dále postupujte dle pokynů, během aplikování ComboFixu neklikejte do zobrazujícího modreho okna

- Po dokončení skenování, trvajícího maximálně 10-15 minut, by měl program vytvořit log - C:\ComboFix.txt, zkopírujte celý jeho obsah do svého threadu na forum
- Před použitím ComboFixu je treba vypnout všechny rezidentní bezpečnostní programy - antiviry, firewally, antispywary. NAVOD: http://www.bleepingcomputer.com/forums/topic114351.html
Mohou zasahovat do činnosti ComboFixu, což může způsobit, že nebude fungovat korektně.
V případě detekce antiviru u ComboFixu se jedná o falešný poplach.

spustil jsem hostsperm.bat ale hosts se neobjevil

pokud jsem ten bat spustil z příkazového řádku, tak vypsal:
Opravdu to chceš (A/N)? - přístup byl odepřen C:\Windows\System32\Drivers\etc\hosts.
.. a ukončil se..

hosts tam stále nemám..

skusal si pravy klik a spustit ako administrator??
Hovoria ti nieco tieto IP:
O1 - Hosts: 172.31.105.4 ADIS
O1 - Hosts: 172.31.105.4 ADIS

spustil jsem ten bat jako správce ale stejně nic neprovedl - hosts tam nemám

Ta IP adresa je v pořádku - jedná se o firemní server

ok,hosts zatial nechame na pokoji a spust combofix,,

ještě k tomu host-u
zkusil jsem vzít hosts z jiného (skoro identického PC) a nakopírovat do adresáře ../etc/
zařvalo mi to, že hosts tam už je ale nahradit ho mi to nedovolilo...

Spusím ComboFix..

jasne,musi byt chranene rootkitom,[bootkitom]takze najprv musime ho najst a zabit,

takže ComboFix doběhl, posílám log.
ještě předtím než restartoval PC ukázal hlášku:
current registry file not found
ZDevice\HardDiskVolume2\Boot\BCD
restore this file --> povolil jsem to

zde je log:

ComboFix 10-07-20.03 - p807628 21.07.2010 14:46:15.1.2 - x86
Microsoft Windows 7 Professional 6.1.7600.0.1250.420.1029.18.3061.1774 [GMT 2:00]
Spuštěný z: c:\users\p807628.OPA\Desktop\ComboFix.exe
* Vytvořen nový Bod Obnovení
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programdata\60d7929
c:\programdata\60d7929\BackUp\Microsoft Office.lnk
c:\programdata\60d7929\BackUp\Outlook2003.lnk
c:\programdata\60d7929\BackUp\Webshots.lnk
c:\programdata\60d7929\protector.html
c:\programdata\60d7929\SMAV.ico
c:\programdata\60d7929\SMAVSys\vd952342.bd
c:\programdata\Microsoft\Network\Downloader\qmgr0.dat
c:\programdata\Microsoft\Network\Downloader\qmgr1.dat
c:\users\p807628.OPA\AppData\Roaming\Microsoft\Windows\Recent\CLSV.exe
c:\users\p807628.OPA\AppData\Roaming\Microsoft\Windows\Recent\delfile.dll
c:\users\p807628.OPA\AppData\Roaming\Microsoft\Windows\Recent\delfile.drv
c:\users\p807628.OPA\AppData\Roaming\Microsoft\Windows\Recent\dudl.tmp
c:\users\p807628.OPA\AppData\Roaming\Microsoft\Windows\Recent\eb.exe
c:\users\p807628.OPA\AppData\Roaming\Microsoft\Windows\Recent\eb.sys
c:\users\p807628.OPA\AppData\Roaming\Microsoft\Windows\Recent\energy.drv
c:\users\p807628.OPA\AppData\Roaming\Microsoft\Windows\Recent\energy.sys
c:\users\p807628.OPA\AppData\Roaming\Microsoft\Windows\Recent\fan.dll
c:\users\p807628.OPA\AppData\Roaming\Microsoft\Windows\Recent\gid.tmp
c:\users\p807628.OPA\AppData\Roaming\Microsoft\Windows\Recent\PE.dll
c:\users\p807628.OPA\AppData\Roaming\Microsoft\Windows\Recent\PE.tmp
c:\users\p807628.OPA\AppData\Roaming\Microsoft\Windows\Recent\SICKBOY.drv
c:\users\p807628.OPA\AppData\Roaming\Microsoft\Windows\Recent\sld.dll
c:\users\p807628.OPA\AppData\Roaming\Microsoft\Windows\Recent\sld.drv
c:\users\p807628.OPA\AppData\Roaming\Microsoft\Windows\Recent\SM.drv
c:\users\p807628.OPA\AppData\Roaming\Microsoft\Windows\Recent\snl2w.tmp
c:\users\p807628.OPA\AppData\Roaming\Microsoft\Windows\Recent\std.dll
c:\users\p807628.OPA\AppData\Roaming\Microsoft\Windows\Recent\tjd.drv
c:\users\p807628.OPA\AppData\Roaming\Microsoft\Windows\Recent\tjd.sys
c:\windows\system32\drivers\goom.sys
c:\windows\system32\drivers\rlri.sys
c:\windows\xpsp1hfm.log

----- BITS: Možné infikované stránky -----

hxxp://fuopant2
hxxp://fuopant2.opa.os.ds.mfcr.cz
.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_mmteqh
-------\Service_ssjuim

((((((((((((((((((((((((( Soubory vytvořené od 2010-06-21 do 2010-07-21 )))))))))))))))))))))))))))))))
.

2010-07-21 12:52 . 2010-07-21 12:52 -------- d-----w- C:\Device
2010-07-21 09:19 . 2010-07-21 09:28 -------- d-----w- c:\program files\FastStone Capture
2010-07-21 09:17 . 2010-07-21 09:17 -------- d-----w- c:\users\p807628.OPA\AppData\Roaming\Malwarebytes
2010-07-21 09:17 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-21 09:17 . 2010-07-21 09:17 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-07-21 09:17 . 2010-07-21 09:17 -------- d-----w- c:\programdata\Malwarebytes
2010-07-21 09:17 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-07-21 07:32 . 2010-07-21 07:36 -------- d-----w- C:\rsit
2010-07-21 07:32 . 2010-07-21 07:36 -------- d-----w- c:\program files\trend micro
2010-07-20 12:15 . 2010-07-20 12:15 63640 ----a-w- c:\users\p807628\AppData\Local\GDIPFONTCACHEV1.DAT
2010-07-20 12:02 . 2010-07-20 12:02 -------- d-----w- C:\Instal
2010-07-20 11:33 . 2010-07-20 11:33 -------- dc----w- c:\windows\system32\DRVSTORE
2010-07-20 11:33 . 2010-07-12 08:55 64288 ----a-w- c:\windows\system32\drivers\Lbd.sys
2010-07-20 11:27 . 2010-07-20 12:03 -------- dc-h--w- c:\programdata\{BD986C1B-72EC-4B82-B47B-6CAC4E6F494E}
2010-07-20 11:27 . 2010-07-12 08:56 2979280 -c--a-w- c:\programdata\{BD986C1B-72EC-4B82-B47B-6CAC4E6F494E}\Ad-AwareInstall.exe
2010-07-20 11:27 . 2010-07-20 11:33 -------- d-----w- c:\programdata\Lavasoft
2010-07-16 07:14 . 2010-07-20 11:27 -------- d-----w- c:\program files\Lavasoft
2010-07-16 07:14 . 2010-07-16 07:14 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2010-07-16 05:18 . 2010-07-20 12:14 -------- d-----w- c:\program files\VS Revo Group
2010-07-15 12:09 . 2010-07-15 12:09 -------- d-sh--w- c:\programdata\SMYTUKJAV
2010-06-28 04:44 . 2010-06-28 04:44 124976 ----a-w- c:\windows\system32\drivers\SYMEVENT.SYS

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-21 12:55 . 2010-02-01 08:18 -------- d-----w- c:\program files\Symantec AntiVirus
2010-07-20 11:53 . 2009-07-14 08:44 622422 ----a-w- c:\windows\system32\perfh005.dat
2010-07-20 11:53 . 2009-07-14 08:44 118604 ----a-w- c:\windows\system32\perfc005.dat
2010-06-28 04:45 . 2010-02-01 08:18 -------- d-----w- c:\program files\Common Files\Symantec Shared
2010-06-28 04:45 . 2010-02-01 08:18 -------- d-----w- c:\programdata\Symantec
2010-06-28 04:44 . 2010-06-28 04:44 806 ----a-w- c:\windows\system32\drivers\SYMEVENT.INF
2010-06-28 04:44 . 2010-06-28 04:44 7456 ----a-w- c:\windows\system32\drivers\SYMEVENT.CAT
2010-06-28 04:44 . 2010-02-01 08:18 -------- d-----w- c:\program files\Symantec
2010-05-03 08:28 . 2010-05-03 08:28 87368 ----a-w- c:\windows\system32\FwsVpn.dll
2010-05-03 08:28 . 2010-05-03 08:28 107848 ----a-w- c:\windows\system32\SymVPN.dll
2010-05-03 08:28 . 2010-05-03 08:28 43696 ----a-w- c:\windows\system32\drivers\srtspx.sys
2010-05-03 08:28 . 2010-05-03 08:28 320560 ----a-w- c:\windows\system32\drivers\srtspl.sys
2010-05-03 08:28 . 2010-05-03 08:28 281648 ----a-w- c:\windows\system32\drivers\srtsp.sys
2009-06-10 21:26 . 2009-07-14 02:04 9633792 --sha-r- c:\windows\Fonts\StaticCache.dat
2009-07-14 01:14 . 2009-07-13 23:42 396800 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2009-04-23 1314816]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-09-18 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-09-18 173592]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-09-18 150552]
"PDVDDXSrv"="c:\program files\CyberLink\PowerDVD DX\PDVDDXSrv.exe" [2009-06-24 140520]
"RegTool"="c:\program files\Gemalto\Classic Client\BIN\RegTool.exe" [2009-05-06 884736]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-22 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]
"ccApp"="c:\program files\Common Files\Symantec Shared\ccApp.exe" [2010-05-03 115560]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]

c:\users\p807628.OPA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Outlook2003.lnk - c:\windows\Installer\{901A0405-6000-11D3-8CFE-0150048383C9}\outicon.exe [2010-2-1 794624]
Webshots.lnk - c:\program files\Webshots\WebshotsTray.exe [2010-2-1 192512]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-18 65588]
Webshots.lnk - c:\program files\Webshots\WebshotsTray.exe [2010-2-1 192512]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorUser"= 2 (0x2)
"EnableUIADesktopToggle"= 0 (0x0)
"dontdisplaylockeduserid"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-238441207-1968838854-928725530-1170\Scripts\Logoff\0\0]
"Script"=\\Fuopant1\NETLOGON\_Zaloha.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-238441207-1968838854-928725530-1170\Scripts\Logon\0\0]
"Script"=\\Fuopant1\NETLOGON\_GENERAL.bat

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccEvtMgr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccSetMgr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Symantec Antivirus]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [2010-07-12 64288]
S2 GslShmSrvc;GSL Share Memory;c:\program files\Gemalto\Classic Client\BIN\GslShmSrvc.exe [2009-02-26 69632]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2010-07-12 1352832]
S2 TeamViewer5;TeamViewer 5;c:\program files\TeamViewer\Version5\TeamViewer_Service.exe [2010-01-12 185640]
S3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2010-06-29 102448]
S3 k57nd60x;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60x.sys [2009-08-05 273448]

.
Obsah adresáře 'Naplánované úlohy'

2010-07-21 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-07-12 08:55]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://fuopant3/intranet
uInternet Settings,ProxyServer = proxy.os.ds.mfcr.cz:3128
uInternet Settings,ProxyOverride = *.os.ds.mfcr.cz;172.31.106.*;172.31.105.*;sms.os.ds.mfcr.cz;172.31.105.119;172.31.108.*;<local>
TCP: {0FC93697-F73B-4D95-B2EC-5B67E93A0A74} = 172.31.105.11,172.31.105.12
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

Toolbar-Locked - (no file)
SafeBoot-Symantec Antvirus

.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\WUDFHost.exe
c:\program files\Symantec AntiVirus\Smc.exe
c:\program files\Common Files\Symantec Shared\ccSvcHst.exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\Symantec AntiVirus\Rtvscan.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\TeamViewer\Version5\TeamViewer.exe
c:\windows\system32\taskhost.exe
c:\program files\Symantec AntiVirus\SmcGui.exe
c:\windows\system32\conhost.exe
c:\program files\Lavasoft\Ad-Aware\AAWTray.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\sppsvc.exe
.
**************************************************************************
.
Celkový čas: 2010-07-21 14:59:38 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-07-21 12:59

Před spuštěním: Volných bajtů: 221 900 394 496
Po spuštění: Volných bajtů: 221 819 297 792

- - End Of File - - 42BBDB45F7B7AED2A2DD3A1D6D04CE2C

predpokladam ze tieto bataky nepoznas??,nakolko cez group policy po starte bezia ,,
a podla combofixu mozna infekcia,

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-238441207-1968838854-928725530-1170\Scripts\Logoff\0\0]
"Script"=\\Fuopant1\NETLOGON\_Zaloha.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-238441207-1968838854-928725530-1170\Scripts\Logon\0\0]
"Script"=\\Fuopant1\NETLOGON\_GENERAL.bat

Takze nastavenie proxy je ok??
uInternet Settings,ProxyServer = proxy.os.ds.mfcr.cz:3128
uInternet Settings,ProxyOverride = *.os.ds.mfcr.cz;172.31.106.*;172.31.105.*;sms.os.ds.mfcr.cz;172.31.105.119;172.31.108.*;<local>
TCP: {0FC93697-F73B-4D95-B2EC-5B67E93A0A74} = 172.31.105.11,172.31.105.12

všechno co píšeš je v pořádku.
Baťáky spoštěné přes GPO i nastavení proxy atd. je mi známé a je to v pořádku

potom ok,nakolko combofix pise totro:
BITS: Možné infikované stránky -----

hxxp://fuopant2
hxxp://fuopant2.opa.os.ds.mfcr.cz
dobre

bootkit_remover
stiahni na plochu a spust,otvori sa ti okno.
klikni pravym tlacitkom mys do cierného okna,zvolit Vybrat vse, stisknout CTRL+C a tu na foru CTRL+V. takto vloz do svojho prispevku log.

ty možné infikované stránky jsou taky v pořádku až na to že je tam místo http: --> hxxp: to je divné

tady je výpis z bootkitrem:

Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
www.esagelab.com

\\.\C: -> \\.\PhysicalDrive0
MD5: bb4f1627d8b9beda49ac0d010229f3ff

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)

Press any key to quit...

hxxp: je ok-takto to combofix prepise,,aby nebolo mozne klikat na pripadne infikovane stranky,
takze MBR-je ok,,

skus sa pozriet ci vidno Hosts-ale zapni zobrazovanie skrytych suborov a zloziek,

VIRY.CZ

Security MAster AV - odstranění

Re: Security MAster AV - odstranění

Re: Security MAster AV - odstranění

Re: Security MAster AV - odstranění

Re: Security MAster AV - odstranění

Re: Security MAster AV - odstranění

Re: Security MAster AV - odstranění

Re: Security MAster AV - odstranění

Re: Security MAster AV - odstranění

Re: Security MAster AV - odstranění

Re: Security MAster AV - odstranění

Re: Security MAster AV - odstranění

Re: Security MAster AV - odstranění

Re: Security MAster AV - odstranění

Re: Security MAster AV - odstranění

Re: Security MAster AV - odstranění