Re: Zavirované PC, přeměrovávání na zavirované stránky.
Napsal: 06 pro 2010 21:53
To je malej log? a log z Mbr.exe by jste měl?
VIRY.CZ
Pomáháme v boji s počítačovou havěti!
https://forum.viry.cz:443/
Zavirované PC, přeměrovávání na zavirované stránky.
Stránka 2 z 3
Re: Zavirované PC, přeměrovávání na zavirované stránky.
Napsal: 06 pro 2010 22:15
Jiný log se nevytvořil, co se týče mbr.exe, tak když ho spustím, tak akorát rychle problikne, takže nevím, jak tam mám dát ty parametry.
Re: Zavirované PC, přeměrovávání na zavirované stránky.
Napsal: 06 pro 2010 22:18
V podpisu mám odkaz na návod na gmer, je tam i jak vytvořit velký log.
U mbr.exe - musíte ho spustit jinak - start-spustit - a do příkazového řádku napsat ten příkaz.
U mbr.exe - musíte ho spustit jinak - start-spustit - a do příkazového řádku napsat ten příkaz.
Re: Zavirované PC, přeměrovávání na zavirované stránky.
Napsal: 07 pro 2010 00:36
Příkaz nefunguje, chtělo by to parametr s tím, že ho spustí přímo mbr. Ale já už su moc starej, abych věděl jak. 
Re: Zavirované PC, přeměrovávání na zavirované stránky.
Napsal: 07 pro 2010 06:56
Máte ho na ploše? Máte české win? Když tak spustte jen tak, na ploše bude text. dokument Mbr.exe, ten sem vložte.
Poprosím ještě o ten velký log z Gmeru, pokud pujde vytvořit.
Poprosím ještě o ten velký log z Gmeru, pokud pujde vytvořit.
Re: Zavirované PC, přeměrovávání na zavirované stránky.
Napsal: 07 pro 2010 08:34
aby sa kolegyni lahsie pracovalo, a vedeli s cim bojujeme 
pocas osobneho volna
oba subory otestuj na www.virustotal.com vysledky vloz
c:\windows.0\explorer.exe
c:\windows.0\system32\winlogon.exe
pocas osobneho volna
oba subory otestuj na www.virustotal.com vysledky vloz
c:\windows.0\explorer.exe
c:\windows.0\system32\winlogon.exe
Re: Zavirované PC, přeměrovávání na zavirované stránky.
Napsal: 08 pro 2010 08:19
http://www.virustotal.com/file-scan/rep ... 1291792052
http://www.virustotal.com/file-scan/rep ... 1291792236
ano mám české win, štve mě, že když chcu třeba z vyhledávání google kliknout na nějakou stránku, většinou mě to přesměruje na útočnou, nebo na jinou, kde falešnej online antivir detekuje a tak.
mbr log:
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: WDC_WD400BB-00JHC0 rev.05.01C05 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
device: opened successfully
user: MBR read successfully
Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys viaide.sys PCIIDEX.SYS
1 ntkrnlpa!IofCallDriver[0x804EE130] -> \Device\Harddisk0\DR0[0x84373030]
3 CLASSPNP[0xF768CFD7] -> ntkrnlpa!IofCallDriver[0x804EE130] -> \Device\00000067[0x8439AF18]
5 ACPI[0xF74F3620] -> ntkrnlpa!IofCallDriver[0x804EE130] -> \Device\Ide\IdeDeviceP0T0L0-3[0x84337B58]
kernel: MBR read successfully
user & kernel MBR OK
Probíhá teď scan Gmerem, dodám log. Mám udělat i to ostatní věci? SPTD a Defogger?
http://www.virustotal.com/file-scan/rep ... 1291792236
ano mám české win, štve mě, že když chcu třeba z vyhledávání google kliknout na nějakou stránku, většinou mě to přesměruje na útočnou, nebo na jinou, kde falešnej online antivir detekuje a tak.
mbr log:
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: WDC_WD400BB-00JHC0 rev.05.01C05 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
device: opened successfully
user: MBR read successfully
Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys viaide.sys PCIIDEX.SYS
1 ntkrnlpa!IofCallDriver[0x804EE130] -> \Device\Harddisk0\DR0[0x84373030]
3 CLASSPNP[0xF768CFD7] -> ntkrnlpa!IofCallDriver[0x804EE130] -> \Device\00000067[0x8439AF18]
5 ACPI[0xF74F3620] -> ntkrnlpa!IofCallDriver[0x804EE130] -> \Device\Ide\IdeDeviceP0T0L0-3[0x84337B58]
kernel: MBR read successfully
user & kernel MBR OK
Probíhá teď scan Gmerem, dodám log. Mám udělat i to ostatní věci? SPTD a Defogger?
Re: Zavirované PC, přeměrovávání na zavirované stránky.
Napsal: 08 pro 2010 08:48
Takže velkej log nejde vytvořit, poněvadž v průběhu scanu vše zamrzlo, zasekla se klávesnice a zmizel kurzor, takže jsem musel restartovat PC.
//momentálně provádím scan MBAMem.
//momentálně provádím scan MBAMem.
Re: Zavirované PC, přeměrovávání na zavirované stránky.
Napsal: 08 pro 2010 10:25
Malwarebytes' Anti-Malware 1.50
http://www.malwarebytes.org
Verze databáze: 5270
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11
8.12.2010 10:21:57
mbam-log-2010-12-08 (10-21-52).txt
Typ kontroly: Úplný test (C:\|)
Testované objekty: 262441
Uplynulý čas: 1 hodin, 12 minut, 22 sekund
Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče v registru: 0
Infikované hodnoty v registru: 0
Infikované datové položky v registru: 0
Infikované složky: 0
Infikované soubory: 5
Infikované procesy v paměti:
(Žádné škodlivé položky nebyly zjištěny)
Infikované moduly v paměti:
(Žádné škodlivé položky nebyly zjištěny)
Infikované klíče v registru:
(Žádné škodlivé položky nebyly zjištěny)
Infikované hodnoty v registru:
(Žádné škodlivé položky nebyly zjištěny)
Infikované datové položky v registru:
(Žádné škodlivé položky nebyly zjištěny)
Infikované složky:
(Žádné škodlivé položky nebyly zjištěny)
Infikované soubory:
c:\WINDOWS\system32\ctfmon(2).exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\ctfmon(3).exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\ctfmon.exe (Trojan.Agent) -> No action taken.
c:\explorer.exe (Worm.AutoRun) -> No action taken.
c:\winlogon.exe (Trojan.Agent) -> No action taken.
Dal jsem kontrolu na virustotal c:\explorer.exe anic to nenašlo, pak jsem dal c:\winlogon.exe a jeden nález nProtect 2010-12-08.02 2010.12.08 Trojan/W32.Agent.507904.CO. Jedná se o ty náhradní sys. soubory.
http://www.malwarebytes.org
Verze databáze: 5270
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11
8.12.2010 10:21:57
mbam-log-2010-12-08 (10-21-52).txt
Typ kontroly: Úplný test (C:\|)
Testované objekty: 262441
Uplynulý čas: 1 hodin, 12 minut, 22 sekund
Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče v registru: 0
Infikované hodnoty v registru: 0
Infikované datové položky v registru: 0
Infikované složky: 0
Infikované soubory: 5
Infikované procesy v paměti:
(Žádné škodlivé položky nebyly zjištěny)
Infikované moduly v paměti:
(Žádné škodlivé položky nebyly zjištěny)
Infikované klíče v registru:
(Žádné škodlivé položky nebyly zjištěny)
Infikované hodnoty v registru:
(Žádné škodlivé položky nebyly zjištěny)
Infikované datové položky v registru:
(Žádné škodlivé položky nebyly zjištěny)
Infikované složky:
(Žádné škodlivé položky nebyly zjištěny)
Infikované soubory:
c:\WINDOWS\system32\ctfmon(2).exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\ctfmon(3).exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\ctfmon.exe (Trojan.Agent) -> No action taken.
c:\explorer.exe (Worm.AutoRun) -> No action taken.
c:\winlogon.exe (Trojan.Agent) -> No action taken.
Dal jsem kontrolu na virustotal c:\explorer.exe anic to nenašlo, pak jsem dal c:\winlogon.exe a jeden nález nProtect 2010-12-08.02 2010.12.08 Trojan/W32.Agent.507904.CO. Jedná se o ty náhradní sys. soubory.
Re: Zavirované PC, přeměrovávání na zavirované stránky.
Napsal: 08 pro 2010 11:27
najschodnejsie riesenie vidim pomocou miniXP popisaneho Rudym http://www.viry.cz/forum/viewtopic.php? ... xp#p924819
cize pripravit si 3 subory t.j. 2 testovane + c:\WINDOWS\system32\ctfmon.exe z cisteho PC s rovnakym XP CZ
- Boot z CD a prekopirovat dane subory na potrebne miesto + restart a motlidbicka
cize pripravit si 3 subory t.j. 2 testovane + c:\WINDOWS\system32\ctfmon.exe z cisteho PC s rovnakym XP CZ
- Boot z CD a prekopirovat dane subory na potrebne miesto + restart a motlidbicka
Re: Zavirované PC, přeměrovávání na zavirované stránky.
Napsal: 08 pro 2010 11:35
Díky za tip, no vypalovačku nemám. No motji psala něco o výměně přes avenger, tak počkám...
Re: Zavirované PC, přeměrovávání na zavirované stránky.
Napsal: 08 pro 2010 13:05
Teď mě napadlo, že bych ty soubory mohl nahradit v režimu MS-DOS. Co myslíte?
Re: Zavirované PC, přeměrovávání na zavirované stránky.
Napsal: 08 pro 2010 13:29
moznostou je spustit CD s Windows a zvolit R - consolu - co je akysi "DOS riadok"
Re: Zavirované PC, přeměrovávání na zavirované stránky.
Napsal: 08 pro 2010 14:22
Já to udělal tak, že sem najel do nouzového režimu s režimem MS-DOS a tam soubory nahradil. Vypadá to, že už prohlížeč konečně nepřesměrovává. Zde aktuální výsledky na virustotal.
http://www.virustotal.com/file-scan/rep ... 1291814201
http://www.virustotal.com/file-scan/rep ... 1291814297
http://www.virustotal.com/file-scan/rep ... 1291814201
http://www.virustotal.com/file-scan/rep ... 1291814297
Re: Zavirované PC, přeměrovávání na zavirované stránky.
Napsal: 08 pro 2010 14:36
no vidis aky si sikovny 
vrele doporucujem prescanovat PC s AVPTool - odkaz ma motji v podpise
vrele doporucujem prescanovat PC s AVPTool - odkaz ma motji v podpise