Relevant Knowledge a jeho odstranění

[freeco]

To stím CF mě ale zaráží, nevím jak je to dlouho, ale řešil sem tu nějaký problém ještě pod starým operačním systémem (Vista 32) a CF fungoval normálně. Nyní jedu na Win7 32 a tohle mě opravdu zaráží, kdyby aspoň CF začal vypisovat dokončení jednotlivých fází, ale jak sem již psal, CF sem nechal jet cca 30min a žádný text jako 1 fáze dokončena se neobjevil. Tak sem tento proces ukončil, o víkendu až budu mít více času to můžu zkusit nechat jet třeba i hodinu, ale nevím jestli je to řešení.

Nyní už mi běží scan AVPTool už hodinu a stále sem na 1% tak nevím jestli to dnes zvládnu.
Každopádně děkuji za ochotu, nervy a čas strávený řešením tohoto problému.

[Rudy]

Mne to zaráží též. V prvé řadě musíme mít jistotu čistého PC.

[freeco]

Tak tady přináším čerstvý report


Automatická kontrola: dokončeno před 3 hod. (události: 6, objekty: 1511215, čas: 06:51:00)
24.11.2010 20:39:31 Úloha byla spuštěna
24.11.2010 23:36:15 Zjištěno: Trojan.Win32.Swizzor.wwa C:\Documents and Settings\freeco\Desktop\Škola\VŠB\1.semestr\Autodesk\All.Autodesk.2009.Keygens\AutoCAD LT 2009\XF-ACADLT2k9-64bit-KG.exe
24.11.2010 23:36:17 Odstraněno: Trojan.Win32.Swizzor.wwa C:\Documents and Settings\freeco\Desktop\Škola\VŠB\1.semestr\Autodesk\All.Autodesk.2009.Keygens\AutoCAD LT 2009\XF-ACADLT2k9-64bit-KG.exe
25.11.2010 2:25:21 Zjištěno: Trojan-Downloader.Win32.Banload.bdxx D:\QIP Infium JadrisPack\Plugins\Weather\updPlugin.exe
25.11.2010 2:25:50 Odstraněno: Trojan-Downloader.Win32.Banload.bdxx D:\QIP Infium JadrisPack\Plugins\Weather\updPlugin.exe
25.11.2010 3:30:31 Úloha byla dokončena

[Rudy]

1. Vše nalezené smažte.
2. Stáhněte a spusťte Avenger: http://www.viry.cz/forum/viewtopic.php?f=15&t=19832 tímto skriptem:

Folders to delete:
C:\Program Files\Ask.com

Files to delete:
C:\Users\freeco\AppData\Roaming\MUNZ__0GQ.dll

Registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar

Registry values to delete:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run | krjqypze

3. Tuto službu zastavte a zakažte: Service: RelevantKnowledge - Unknown owner - C:\Program Files\RelevantKnowledge\rlservice.exe (file missing) . Start>spustit>(napsat) services.msc>OK. V záložce služby ji najděte, zastavte a nastavte spuštění na zakázáno.

[freeco]

Ten poslední řádek scriptu háže syntax error. "Invalid registry syntax in command.... Only registry keys under HKEY_LOCAL_MACHINE hive are accessible to this program."

Proto sem tento script zatím nespouštěl...mám to sputit i bez toho posledního řádku?

[Rudy]

Vynechte ho a spusťte. Pak ho smažeme ručně.

[freeco]

Tady přikládám log z avengeru


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows NT 6.1 (build 7600)
Thu Nov 25 08:35:37 2010

08:35:31: Error: Invalid registry syntax in command:
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run|krjqypze"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry value deletion mode)
08:35:37: Error: Execution aborted by user!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows NT 6.1 (build 7600)
Thu Nov 25 08:39:39 2010

08:39:36: Error: Invalid registry syntax in command:
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run|krjqypze"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry value deletion mode)
08:39:39: Error: Execution aborted by user!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows NT 6.1 (build 7600)
Thu Nov 25 20:30:50 2010

20:30:47: Error: Invalid registry syntax in command:
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run|krjqypze"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry value deletion mode)


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "C:\Program Files\Ask.com" deleted successfully.
File "C:\Users\freeco\AppData\Roaming\MUNZ__0GQ.dll" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

[Rudy]

Podle návodu: http://www.viry.cz/forum/viewtopic.php?f=15&t=2791 smažte tuto hodnotu klíče:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"krjqypze"=rundll32 C:\Users\freeco\AppData\Roaming\MUNZ__0GQ.dll,Ajodatkur []

[freeco]

Smazáno, opětovné hledání v registru nenalezlo žádnou další hodnotu s podobným názvem

[Rudy]

Tím by měl být PC čistý.

[freeco]

Tímto bych Vám chtěl poděkovat za očištění PC. Chci se ještě zeptat zda-li se CF musí odstranit přes příkazový řádek jak je zde někde na fóru napsáno nebo ho mužů normálně smazat. Ještě jednou Vám děkuji a přeji příjemný zbytek dne.

[Rudy]

CF odinstalujte přes příkaz. řádek (combofix /uninstall). Nemáte zač.