VIRY.CZ

Už to vidím. Zkuste ten combofix. Já tu budu asi do půl11 a pak večer po 9. hodině

takze ten combofix tak ako je predchadzajuci navod?

Uz by ich to malo zabit? ci ti este vidite na komplikovane odstranovanie?

Tak jestli nechcete spustit combofix, můžu to zabít ještě přes avanger. Ono záleží, jak se s tím combofix popere. Třeba OTL na něj nestačil. Ta potvůrka je pořádná, asi se jí u Vás v pc líbí. Ale mějte trpělivost, mi ji vykopeme

.

ono to pada s tym combofixom

Tak ho už nedělejte

. Vydržte chviličku, napíšu skript pro Avenger

vy ste super

vdaka!

spusťte přejmenované HJT C:\Program Files\trend micro\Saga.exe , má tuto ikonku

- Klikněte na "Do a system scan only"
- U řádku
O4 - HKLM\..\Policies\Explorer\Run: [0ft68q] C:\Windows\TEMP\sazhph.exe
O4 - HKUS\S-1-5-18\..\Run: [JP595IR86O] C:\Windows\TEMP\Rjv.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [JP595IR86O] C:\Windows\TEMP\Rjv.exe (User 'Default user')
- Dejte fajfku do čtverečku a zmáčkněte Fix checked

Stáhněte Avenger
http://swandog46.geekstogo.com/avenger.exe

-spustíte program a potvrdíte kliknutím na ok,tím potvrzujete, že všechny činnosti s tím spojené činíte na vlastní riziko.
-Po odkliknutí se objeví hlavní okno programu,do bílého okna něj zkopírujte tento skript:

Kód: Vybrat vše

drivers to delete:
rmesth
kxrdypow

Files to delete:
C:\Windows\System32\drivers\rmesth.sys
C:\Users\Saga\AppData\Local\Temp\kxrdypow.sys 
C:\Windows\TEMP\sazhph.exe
C:\Windows\TEMP\Rjv.exe

-zaškrtněte políčko scan for rootkits

a klikněte na tlačítko Execute.
-Potom se objeví okno,kde kliknutím Yes potvrdíte spuštění skriptu. Pak znovu tlačítkem yes potvrdíte restart počítače.
-Po restartu by se měl otevřít poznámkový blok s logem o vykonání skriptu, bude také uložený v C:\avenger.txt.
-Log vložte sem

Stahněte MBAM z mého podpisu
-Nainstalujte,dejte úplný sken

NIC NEMAZAT

-MBAM má občas falešné detekce,proto budeme mazat až po kontrole logu.
-Log zkopírujte sem.

Pokud by Vám něco nešlo, tak na mě počkejte, budu tu večer

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "rmesth" deleted successfully.

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\kxrdypow" not found!
Deletion of driver "kxrdypow" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\Windows\System32\drivers\rmesth.sys" deleted successfully.

Error: file "C:\Users\Saga\AppData\Local\Temp\kxrdypow.sys" not found!
Deletion of file "C:\Users\Saga\AppData\Local\Temp\kxrdypow.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\Windows\TEMP\sazhph.exe" not found!
Deletion of file "C:\Windows\TEMP\sazhph.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\Windows\TEMP\Rjv.exe" not found!
Deletion of file "C:\Windows\TEMP\Rjv.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

pripajam log z mbam:

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Verzia databázy: 5298

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

12. 12. 2010 12:42:15
mbam-log-2010-12-12 (12-42-10).txt

Typ kontroly: Úplná kontrola (C:\|D:\|)
Objektov kontrolovaných: 228012
Uplynutý čas: 45 min, 31 sek

Infikované služby pamäte: 0
Infikované moduly pamäte: 0
Infikované registračné kľúče: 0
Infikované registračné hodnoty: 0
Infikované položky registračných dát: 0
Infikované priečinky: 0
Infikované súbory: 4

Infikované služby pamäte:
(Škodlivé položky neboli zistené)

Infikované moduly pamäte:
(Škodlivé položky neboli zistené)

Infikované registračné kľúče:
(Škodlivé položky neboli zistené)

Infikované registračné hodnoty:
(Škodlivé položky neboli zistené)

Infikované položky registračných dát:
(Škodlivé položky neboli zistené)

Infikované priečinky:
(Škodlivé položky neboli zistené)

Infikované súbory:
c:\Users\Saga\AppData\Local\Temp\setupcb.exe (Virus.Agent) -> No action taken.
c:\Windows\Temp\huui\setup.exe (Spyware.Passwords.XGen) -> No action taken.
c:\Windows\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> No action taken.
c:\Windows\Tasks\{35dc3473-a719-4d14-b7c1-fd326ca84a0c}.job (Trojan.Downloader) -> No action taken.

V mbamu vše smažte. Soubor už by měl být pryč. Je to tak?
Zkuste znovu spustit combofix.

dala som si znovu ten sken a naslo mi az 6 nejakych veci.

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Verzia databázy: 5298

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

12. 12. 2010 21:29:22
mbam-log-2010-12-12 (21-29-17).txt

Typ kontroly: Úplná kontrola (C:\|D:\|)
Objektov kontrolovaných: 227811
Uplynutý čas: 45 min, 22 sek

Infikované služby pamäte: 1
Infikované moduly pamäte: 0
Infikované registračné kľúče: 1
Infikované registračné hodnoty: 0
Infikované položky registračných dát: 0
Infikované priečinky: 0
Infikované súbory: 4

Infikované služby pamäte:
c:\Windows\Temp\huui\setup.exe (Spyware.Passwords.XGen) -> 308 -> No action taken.

Infikované moduly pamäte:
(Škodlivé položky neboli zistené)

Infikované registračné kľúče:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AMService (Spyware.Passwords.XGen) -> No action taken.

Infikované registračné hodnoty:
(Škodlivé položky neboli zistené)

Infikované položky registračných dát:
(Škodlivé položky neboli zistené)

Infikované priečinky:
(Škodlivé položky neboli zistené)

Infikované súbory:
c:\Windows\Temp\huui\setup.exe (Spyware.Passwords.XGen) -> No action taken.
c:\Users\Saga\AppData\Local\Temp\setupcb.exe (Virus.Agent) -> No action taken.
c:\Windows\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> No action taken.
c:\Windows\Tasks\{35dc3473-a719-4d14-b7c1-fd326ca84a0c}.job (Trojan.Downloader) -> No action taken.

mam to vymazat vsetko?

Ano, smažte všechno. Pořád tam něco bude schovaného

, zkuste znovu ten combofix, a když nepujde, napište.

Ještě se zeptám - máte k dispozici ještě jiný počítač?

mbam vsetko vymazal
Ked som spustila combofix, tak to slo ok, no po nejakom case mi system zase padol.

Mmt. nemam k dispozicii iny pc

Nevadí, zkusíme to jinak. Ted nevím zda jste žena nebo muž, takže se omlouvám

.

Spustte prosím znovu OTL, dejte scan.

Stáhněte Gmer http://www.viry.cz/forum/viewtopic.php?f=29&t=62878
- rozbalte a spusťte
-proběhne sken, po skončení se otevře okno s výsledky, klikněte na Save a tím si uložíte log,který sem vložíte

-Podle návodu v odkazu provedete druhý sken a log sem také vložíte.

BUd se do počítače stále něco stahuje, nebo se to obnovuje z registrů. Máte tam pěknou mršku, ale my na ní vyzrajeme, jen jít najít

VIRY.CZ

Rootkit - C:\Windows\System32\drivers\rmesth.sys

Re: Rootkit - C:\Windows\System32\drivers\rmesth.sys

Re: Rootkit - C:\Windows\System32\drivers\rmesth.sys

Re: Rootkit - C:\Windows\System32\drivers\rmesth.sys

Re: Rootkit - C:\Windows\System32\drivers\rmesth.sys

Re: Rootkit - C:\Windows\System32\drivers\rmesth.sys

Re: Rootkit - C:\Windows\System32\drivers\rmesth.sys

Re: Rootkit - C:\Windows\System32\drivers\rmesth.sys

Re: Rootkit - C:\Windows\System32\drivers\rmesth.sys

Re: Rootkit - C:\Windows\System32\drivers\rmesth.sys

Re: Rootkit - C:\Windows\System32\drivers\rmesth.sys

Re: Rootkit - C:\Windows\System32\drivers\rmesth.sys

Re: Rootkit - C:\Windows\System32\drivers\rmesth.sys

Re: Rootkit - C:\Windows\System32\drivers\rmesth.sys

Re: Rootkit - C:\Windows\System32\drivers\rmesth.sys

Re: Rootkit - C:\Windows\System32\drivers\rmesth.sys