VIRY.CZ

--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'winlogon.exe'(832)
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\sfc_os.dll
c:\program files\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll
c:\program files\Hewlett-Packard\IAM\bin\ItMsg.dll
c:\program files\MyColors\fastload.dll
c:\windows\system32\COMRes.dll
c:\program files\Hewlett-Packard\IAM\Bin\TrayIcon.dll
c:\program files\Hewlett-Packard\IAM\bin\HPBrand.dll
c:\program files\Hewlett-Packard\IAM\Bin\ASChnl.dll
c:\program files\Hewlett-Packard\IAM\Bin\ItDAC.dll
c:\program files\Hewlett-Packard\IAM\Bin\ItReports.DLL
c:\program files\Hewlett-Packard\IAM\Bin\BioAuth.dll
c:\program files\Hewlett-Packard\IAM\Bin\ittal.dll
c:\program files\Hewlett-Packard\IAM\Bin\ASBIoAT.dll
c:\program files\Hewlett-Packard\IAM\Bin\STEngine.dll
c:\program files\Hewlett-Packard\IAM\Bin\ItVCClient.dll
c:\windows\system32\cscui.dll
.
- - - - - - - > 'lsass.exe'(888)
c:\windows\system32\setupapi.dll
c:\windows\SbHpNp.dll
c:\windows\system32\psbase.dll
.
- - - - - - - > 'explorer.exe'(2212)
c:\program files\Unlocker\UnlockerHook.dll
c:\windows\system32\APSHook.dll
c:\windows\system32\COMRes.dll
c:\windows\system32\msi.dll
c:\documents and settings\zastpa.MKYJ003\Data aplikací\Dropbox\bin\DropboxExt.14.dll
c:\progra~1\COMMON~1\MICROS~1\OFFICE14\Cultures\office.odf
c:\progra~1\MICROS~2\Office14\1029\GrooveIntlResource.dll
c:\windows\System32\cscui.dll
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\credui.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\program files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\program files\Avast\AvastSvc.exe
c:\windows\System32\SCardSvr.exe
c:\program files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
c:\program files\LSI SoftModem\agrsmsvc.exe
c:\windows\system32\ifxtcs.exe
c:\program files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\Microsoft LifeCam\MSCamS32.exe
c:\program files\CDBurnerXP\NMSAccessU.exe
c:\windows\system32\IfxPsdSv.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Hewlett-Packard\Shared\hpqWmiEx.exe
c:\windows\system32\SearchIndexer.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\SearchProtocolHost.exe
c:\windows\system32\wscntfy.exe
c:\program files\Hewlett-Packard\IAM\bin\asghost.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\Hewlett-Packard\Embedded Security Software\PSDrt.exe
c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe
c:\windows\system32\hkcmd.exe
c:\progra~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
c:\program files\Microsoft Office\Office14\MSOSYNC.EXE
c:\program files\Unlocker\UnlockerAssistant.exe
c:\windows\system32\SearchFilterHost.exe
.
**************************************************************************
.
Celkový čas: 2012-02-10 19:16:05 - počítač byl restartován
ComboFix-quarantined-files.txt 2012-02-10 18:15
.
Před spuštěním: Volných bajtů: 75 935 264 768
Po spuštění: Volných bajtů: 76 488 904 704
.
WindowsXP-KB310994-SP2-Pro-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 63308D59BC0366598C0EDDABC39EE8B0

Tohle znas

c:\documents and settings\zastpa.MKYJ003\SendTo\Přehledně zobrazit.exe
c:\documents and settings\zastpa.MKYJ003\update.exe
c:\documents and settings\zastpa.MKYJ003\Vypnout.exe.old

Samozřejmě a dost mě to naštvalo

Ten "Vypnout" je časovač vypnutí PC, který mi jediný jede, "update" ho aktualizuje a "Přehledně zobrazit" je jiný název pro 7Stacks

Proto se ptam, obnovime zpet

Navody mam ve vykani a prepisovat je nebudu

Pokud nemate, tak presunte Combofix na plochu

Spustte poznamkovy blok (Start-spustit-notepad)
Zkopirujte skript nize

Kód: Vybrat vše

KillAll::

DeQuarantineB::
c:\documents and settings\zastpa.MKYJ003\SendTo\Přehledně zobrazit.exe
c:\documents and settings\zastpa.MKYJ003\Vypnout.exe.old

Ignore::
c:\documents and settings\zastpa.MKYJ003

RegLock::
[HKEY_USERS\S-1-5-21-796845957-776561741-725345543-1005\Software\Microsoft\Internet Explorer\MenuExt\O(uë_fŹ3*N}Ź]
[HKEY_USERS\S-1-5-21-796845957-776561741-725345543-1005\Software\Microsoft\Internet Explorer\MenuExt\O(uë_fŹ3*N}ŹhQčţ”Ąc]
[HKEY_LOCAL_MACHINE\software\Xanthic\{EAC0842F-9764-03DD-A0B6-5FFFB48AD6EB}*_]

Reboot::

Ulozte vytvoreny TXT jako CFScript.txt
Pretahnete vytvoreny CFScript.txt nad Combofix a pustte (viz obrazek nize)
Po aplikaci skriptu (a pripadnem restartu) na Vas vypadne log, jeho obsah sem vlozte

Muze se stat, ze po aplikaci skriptu nenabehnou windows, v tomto pripade restartuje PC a mackejte F8 a zvolte Posledni znamou konfiguraci

Nějak se to nepovedlo.
Vše jsem udělal podle vašeho návodu, ale skript se neprovedl. Normálně se to testovalo a našlo to rootkity:

Kód: Vybrat vše

windows/system32/ntos.exe
windows/system32/twext.exe
windows/system32/sdra64.exe
windows/host32.exe

No a pak na startu se to testování opakovalo a já ho přerušil. Udělal jsem špatně, co?

A muzu vedet, proc jsi to prerusil, neni neco v navodu o tom, ze se ma nechat CF v klidu...

Můžeš. Prostě se PC restartovalo a já ten test nechtěl provádět znovu, předtím se dělal jen jednou, tak jsem myslel že má nějakou chybu.

No, dobra tedy, co uz ted...

Dej mi tenhle log C:\Qoobox\ComboFix-quarantined-files.txt

2012-02-10 18:14:42 . 2012-02-10 18:14:42 1,572 ----a-w- C:\Qoobox\Quarantine\Registry_backups\AddRemove-{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}.reg.dat
2012-02-10 18:14:41 . 2012-02-10 18:14:41 872 ----a-w- C:\Qoobox\Quarantine\Registry_backups\AddRemove-Recuva.reg.dat
2012-02-10 18:14:41 . 2012-02-10 18:14:41 1,616 ----a-w- C:\Qoobox\Quarantine\Registry_backups\AddRemove-XPv3.8.252.reg.dat
2012-02-10 18:14:40 . 2012-02-10 18:14:40 734 ----a-w- C:\Qoobox\Quarantine\Registry_backups\AddRemove-HijackThis.reg.dat
2012-02-10 18:14:40 . 2012-02-10 18:14:40 1,658 ----a-w- C:\Qoobox\Quarantine\Registry_backups\AddRemove-HD Tune_is1.reg.dat
2012-02-10 18:14:40 . 2012-02-10 18:14:40 890 ----a-w- C:\Qoobox\Quarantine\Registry_backups\AddRemove-Agere Systems Soft Modem.reg.dat
2012-02-10 18:13:53 . 2012-02-10 18:13:53 690 ----a-w- C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-Windows Update.reg.dat
2012-02-10 18:13:53 . 2012-02-10 18:13:53 612 ----a-w- C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-pamelaPCR.reg.dat
2012-02-10 18:13:53 . 2012-02-10 18:13:53 596 ----a-w- C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-MuralPixAgent.reg.dat
2012-02-10 18:13:52 . 2012-02-10 18:13:52 676 ----a-w- C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-McAfeeUpdaterUI.reg.dat
2012-02-10 18:13:52 . 2012-02-10 18:13:52 630 ----a-w- C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-ManicTime.reg.dat
2012-02-10 18:13:52 . 2012-02-10 18:13:52 616 ----a-w- C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-EA Core.reg.dat
2012-02-10 18:13:51 . 2012-02-10 18:13:51 608 ----a-w- C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-ApnUpdater.reg.dat
2012-02-10 18:13:40 . 2012-02-10 18:13:40 784 ----a-w- C:\Qoobox\Quarantine\Registry_backups\Notify-!SASWinLogon.reg.dat
2012-02-10 18:13:37 . 2012-02-10 18:13:37 933 ----a-w- C:\Qoobox\Quarantine\Registry_backups\ShellExecuteHooks-{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}.reg.dat
2012-02-10 18:13:01 . 2012-02-10 18:13:01 171 ----a-w- C:\Qoobox\Quarantine\Registry_backups\WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440}.reg.dat
2012-02-10 18:12:59 . 2012-02-10 18:13:00 116 ----a-w- C:\Qoobox\Quarantine\Registry_backups\Toolbar-{D4027C7F-154A-4066-A1AD-4243D8127440}.reg.dat
2012-02-10 17:49:25 . 2012-02-10 17:49:25 2,508 ----a-w- C:\Qoobox\Quarantine\Registry_backups\Service_Vcs.reg.dat
2012-02-10 17:49:24 . 2012-02-10 17:49:24 1,222 ----a-w- C:\Qoobox\Quarantine\Registry_backups\Legacy_VCS.reg.dat
2012-02-10 17:48:47 . 2012-02-10 17:48:47 11,532 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2012-02-10 17:30:40 . 2012-02-10 17:30:41 51 ----a-w- C:\Qoobox\Quarantine\catchme.log
2012-02-10 16:20:38 . 2012-02-10 16:20:38 6 ----a-w- C:\Qoobox\Quarantine\C\WINDOWS\system32\GroupPolicy\User\Scripts\scripts.ini.vir
2012-02-07 18:44:21 . 2012-02-07 18:46:07 271 ----a-w- C:\Qoobox\Quarantine\C\WINDOWS\w32dasm8.ini.vir
2012-01-08 19:54:08 . 2010-03-30 14:40:36 12,452 ----a-w- C:\Qoobox\Quarantine\C\WINDOWS\windows\VC8\mesa\gdi\gdi.vcproj.vir
2012-01-08 19:54:08 . 2010-04-27 13:42:00 6,630 ----a-w- C:\Qoobox\Quarantine\C\WINDOWS\windows\VC8\mesa\glsl_apps_compile\glsl_apps_compile.vcproj.vir
2012-01-08 19:54:08 . 2010-02-04 15:10:40 31,550 ----a-w- C:\Qoobox\Quarantine\C\WINDOWS\windows\VC8\mesa\glu\glu.vcproj.vir
2012-01-08 19:54:08 . 2010-10-05 08:56:52 64,879 ----a-w- C:\Qoobox\Quarantine\C\WINDOWS\windows\VC8\mesa\mesa\mesa.vcproj.vir
2012-01-08 19:54:08 . 2010-02-04 15:10:40 11,725 ----a-w- C:\Qoobox\Quarantine\C\WINDOWS\windows\VC8\mesa\osmesa\osmesa.vcproj.vir
2012-01-08 19:54:08 . 2010-04-27 13:41:22 5,413 ----a-w- C:\Qoobox\Quarantine\C\WINDOWS\windows\VC8\mesa\mesa.sln.vir
2012-01-08 19:54:08 . 2010-04-27 13:42:00 492 ----a-w- C:\Qoobox\Quarantine\C\WINDOWS\windows\VC8\mesa\.gitignore.vir
2012-01-08 19:54:08 . 2010-04-27 13:42:00 252 ----a-w- C:\Qoobox\Quarantine\C\WINDOWS\windows\VC8\progs\.gitignore.vir
2012-01-08 19:54:08 . 2010-02-04 15:10:40 2,399 ----a-w- C:\Qoobox\Quarantine\C\WINDOWS\windows\VC8\progs\progs.sln.vir
2012-01-08 19:54:08 . 2010-02-04 15:10:40 9,124 ----a-w- C:\Qoobox\Quarantine\C\WINDOWS\windows\VC8\progs\demos\gears.vcproj.vir
2012-01-08 19:54:08 . 2010-02-04 15:10:40 15,776 ----a-w- C:\Qoobox\Quarantine\C\WINDOWS\windows\VC8\progs\glut\glut.vcproj.vir
2011-10-31 20:12:14 . 2011-10-30 20:17:46 253,952 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\zastpa.MKYJ003\Vypnout.exe.old.vir
2011-10-30 20:17:30 . 2011-10-30 20:17:30 37,376 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\zastpa.MKYJ003\update.exe.vir
2011-08-22 05:48:50 . 2011-08-11 20:11:46 25,874,432 ----a-w- C:\Qoobox\Quarantine\C\Program Files\Downloaded Installers\{937417dc-c013-401f-895c-ced28eb175c4}\setup.msi.vir
2011-05-04 08:32:03 . 2009-10-27 20:24:52 1,543,168 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\zastpa.MKYJ003\SendTo\Přehledně zobrazit.exe.vir
2011-02-08 19:00:12 . 2007-02-14 14:20:58 106,557 ----a-w- C:\Qoobox\Quarantine\C\WINDOWS\system32\btw_ci.dll.anofp.vir
2007-04-15 10:57:52 . 2007-04-15 10:57:52 25 ----a-w- C:\Qoobox\Quarantine\C\autorun.inf.vir
2006-03-02 12:00:00 . 2008-04-14 07:51:46 42,496 ----a-w- C:\Qoobox\Quarantine\C\WINDOWS\system32\midimap.dll.vir

Nemůžu si prostě od těch programů, které chci spouštět, odstranit to .vir a normálně je používat?

Na to mame nastroj

Kdyz ti to neslo pres skript...

Navod je kolegy Tempesta

Stáhněte si CF-DeQuarantine a uložte ho na plochu - http://download.bleepingcomputer.com/sU ... antine.exe

Najděte na disku tyto soubory a složky:
C:\Qoobox\Quarantine\C\Documents and Settings\zastpa.MKYJ003\Vypnout.exe.old.vir
C:\Qoobox\Quarantine\C\Documents and Settings\zastpa.MKYJ003\SendTo\Přehledně zobrazit.exe.v
Postupně po jednom každý soubor a složku uchopte, přetáhněte je nad stažený CF-DeQuarantine a po překrytí je pusťte.
Tohle obnoví soubory a složky z karantény ComboFixu do původního umístění.

Musí to být na ploše?????

vyosek píše: Na to mame nastroj Kdyz ti to neslo pres skript...

Navod je kolegy Tempesta
Stáhněte si CF-DeQuarantine a uložte ho na plochu - http://download.bleepingcomputer.com/sU ... antine.exe
Najděte na disku tyto soubory a složky:
C:\Qoobox\Quarantine\C\Documents and Settings\zastpa.MKYJ003\Vypnout.exe.old.vir
C:\Qoobox\Quarantine\C\Documents and Settings\zastpa.MKYJ003\SendTo\Přehledně zobrazit.exe.v

Postupně po jednom každý soubor a složku uchopte, přetáhněte je nad stažený CF-DeQuarantine a po překrytí je pusťte.

Tohle obnoví soubory a složky z karantény ComboFixu do původního umístění.

Jsi si tím jistý? Antivir mi to nechce spustit a zmrazilo mi to explorer.exe

Vypnout antivir a pripadne v nouzovem rezimu...a nebo pokud se ti chce, tak rucne a odmaznout priponu vir

VIRY.CZ

Nefunguje Správce úloh, chybí nabídka spustit a hláška

Re: Nefunguje Správce úloh, chybí nabídka spustit a hláška

Re: Nefunguje Správce úloh, chybí nabídka spustit a hláška

Re: Nefunguje Správce úloh, chybí nabídka spustit a hláška

Re: Nefunguje Správce úloh, chybí nabídka spustit a hláška

Re: Nefunguje Správce úloh, chybí nabídka spustit a hláška

Re: Nefunguje Správce úloh, chybí nabídka spustit a hláška

Re: Nefunguje Správce úloh, chybí nabídka spustit a hláška

Re: Nefunguje Správce úloh, chybí nabídka spustit a hláška

Re: Nefunguje Správce úloh, chybí nabídka spustit a hláška

Re: Nefunguje Správce úloh, chybí nabídka spustit a hláška

Re: Nefunguje Správce úloh, chybí nabídka spustit a hláška

Re: Nefunguje Správce úloh, chybí nabídka spustit a hláška

Re: Nefunguje Správce úloh, chybí nabídka spustit a hláška