VIRY.CZ

ok, este daj log z G-MER
http://www.viry.cz/forum/viewtopic.php?f=29&t=62878

bohužel nelze spustit, ani normalně, ani jako správce (mám windows 7)
3x se mi to restartovalo

teď se mi to rozjelo, ale odepřelo mi to přistup do několika souboru a když jsem dal scan, tak mi to zase odpřelo přistup a nakonec napsalo že, Gmer hasn´t found any system modification (nebo něco v tomto smyslu)

(mám windows 7)

Platform: Windows XP SP3
co ze mas??

no pravdepodobne mas tam Rootkita.
treba odinstalovat Daemon a Alcohol
http://www.duplexsecure.com/en/downloads verzi dle sveho operacniho systemu. SPTD for Windows (32 bit) nebo (64b) na plochu
- spust
- zvol moznost Uninstall
- restart PC.
a terz spust G-Mer.

bohužel musím odejít, vrátím se večer nebo zítra ráno. Děkuji vám prozatím za váš čas

ok, casu dost, ak nepojde G-mer tak zafajkni len STEALTH a spust.

Gmer mi nejede (při spuštění se mi resetne počítač) i přesto že jsem ručně odinstaloval daemona i Alcohol. Prosím tě a co je to ten STEALTH

ok, G=Mer nema tuto zalozku.
takze sprav to takto"

Stiahnes si Rootrepeal na plochu-
odpojis sa od internetu,,
http://ad13.geekstogo.com/RootRepeal.exe
vypnut Firewall a Antivirak
spustis RootRepeal.exe>>dole klikni na Report >>> klik Scan >>>zafajknes>>vsetkych 7- moznosti,,
Klik>>OK<<
zafajknes vsetky disky,,
klik-ok
po skonceni skanu>>klik-SAVE REPORT,,
SAVE>>RepealScan<< a uloz na plochu,a
,, log vloz sem,,

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2010/09/01 14:50
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP3
==================================================

Drivers
-------------------
Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xBA3BA000 Size: 49152 File Visible: No Signed: -
Status: -

Hidden/Locked Files
-------------------
Path: c:\documents and settings\pc\data aplikací\skype\etilqs_vxgkvlgb59fmshtcavwh
Status: Allocation size mismatch (API: 32768, Raw: 0)

SSDT
-------------------
#: 019 Function Name: NtAssignProcessToJobObject
Status: Hooked by "<unknown>" at address 0x86548580

#: 057 Function Name: NtDebugActiveProcess
Status: Hooked by "<unknown>" at address 0x86549100

#: 068 Function Name: NtDuplicateObject
Status: Hooked by "<unknown>" at address 0x86548b30

#: 122 Function Name: NtOpenProcess
Status: Hooked by "<unknown>" at address 0x86547cc0

#: 128 Function Name: NtOpenThread
Status: Hooked by "<unknown>" at address 0x86547fc0

#: 137 Function Name: NtProtectVirtualMemory
Status: Hooked by "<unknown>" at address 0x865489c0

#: 213 Function Name: NtSetContextThread
Status: Hooked by "<unknown>" at address 0x86548860

#: 229 Function Name: NtSetInformationThread
Status: Hooked by "<unknown>" at address 0x865486e0

#: 237 Function Name: NtSetSecurityObject
Status: Hooked by "<unknown>" at address 0x86545700

#: 253 Function Name: NtSuspendProcess
Status: Hooked by "<unknown>" at address 0x86548420

#: 254 Function Name: NtSuspendThread
Status: Hooked by "<unknown>" at address 0x865482c0

#: 257 Function Name: NtTerminateProcess
Status: Hooked by "<unknown>" at address 0x86547e50

#: 258 Function Name: NtTerminateThread
Status: Hooked by "<unknown>" at address 0x86548150

#: 277 Function Name: NtWriteVirtualMemory
Status: Hooked by "<unknown>" at address 0x86548f50

==EOF==

vypnut Firewalla AV.
Download AVZ4

1:otvor a Rozbal mimo-na plochu avz4
2:Otvor vytvorenu zlozku a 2x klik AVZ.exe a spust-cierny stit z mecom
klik>> File->Custom Scriptsa skopiruj tento kod do okna: Klikni na Spustit[run] dojde ku spusteníu skriptu,>>po skane dojde k restartu PC. Po restartu v podzlozke LOG je vytvoreny ve slozke AVZ, soubor s nazvom virusinfo_syscure.zip . Nahraj tento soubor http://leteckaposta.cz/ a vloz odkaz tu.

ok, uz v logu AVZ , nevidim nic, ako to vyzera s pc__

takže už je všechno ok?

no ja neviem, to ty musis vediet, ale otestuj na www.virustotal.com
systemove subory.
C:\WINDOWS\SYSTEM32\winlogon.exe
a este zopar, ktore chces,

ok, moc vám děkuji za váš čas.