VIRY.CZ

praveze nie som si isty, možno sa vytvoril v spojitosti s jednou hrou a grafickou. ale neviem už dlhšie sa nachádza na C.

log z MBR:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys viaide.sys PCIIDEX.SYS
kernel: MBR read successfully
user & kernel MBR OK



Log z SystemLook:

SystemLook v1.0 by jpshortstuff (29.08.09)
Log created at 14:08 on 24/12/2009 by marek (Administrator - Elevation successful)

========== filefind ==========

Searching for "win32.sys"
C:\win32.sys --a--- 476 bytes [11:31 10/04/2009] [10:23 11/12/2009] E76B22AB317A0862B291A64F304E3E95

-=End Of File=-

Ještě poprosím o druhý log z gmeru

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2009-12-24 04:25:14
Windows 5.1.2600 Service Pack 2
Running: gmer.exe; Driver: C:\DOCUME~1\marek\LOCALS~1\Temp\uxtdypog.sys


---- System - GMER 1.0.15 ----

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xB0F6F6B8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xB0F6F574]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xB0F6FA52]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xB0F6F14C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xB0F6F64E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xB0F6F08C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xB0F6F0F0]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xB0F6F76E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xB0F6F72E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xB0F6F8AE]

---- Kernel code sections - GMER 1.0.15 ----

.reloc C:\WINDOWS\system32\drivers\acehlp10.sys section is executable [0xB9711700, 0x2919C, 0xE0000060]
.reloc C:\WINDOWS\system32\drivers\acedrv10.sys section is executable [0xB0744000, 0x4549F, 0xE0000060]

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\WINDOWS\system32\services.exe[604] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 003D0002
IAT C:\WINDOWS\system32\services.exe[604] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 003D0000

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs LF30XP.sys

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

Device \FileSystem\Fastfat \FatCdrom LF30XP.sys
Device \FileSystem\Mup \Dfs LF30XP.sys

AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\Serial \Device\Serial0 LF30XP.sys
Device \Driver\Serial \Device\Serial1 LF30XP.sys
Device \FileSystem\RAW \Device\RawTape LF30XP.sys
Device \Driver\rdpdr \Device\RdpDrPort LF30XP.sys
Device \FileSystem\MRxDAV \Device\WebDavRedirector LF30XP.sys

AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\Parport \Device\ParallelPort0 LF30XP.sys
Device \Driver\ParVdm \Device\ParallelVdm0 LF30XP.sys
Device \Driver\rdpdr \Device\RdpDr LF30XP.sys
Device \FileSystem\Rdbss \Device\FsWrap LF30XP.sys
Device \Driver\Parport \Device\Parallel0 LF30XP.sys
Device \FileSystem\Mup \Device\Mup LF30XP.sys

AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \FileSystem\RAW \Device\RawDisk LF30XP.sys
Device \Driver\Ptilink \Device\ParTechInc0 LF30XP.sys
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver LF30XP.sys
Device \FileSystem\MRxSmb \Device\LanmanRedirector LF30XP.sys
Device \FileSystem\Npfs \Device\NamedPipe LF30XP.sys
Device \FileSystem\Msfs \Device\Mailslot LF30XP.sys
Device \FileSystem\RAW \Device\RawCdRom LF30XP.sys
Device \Driver\AFD \Device\Afd LF30XP.sys
Device \FileSystem\Mup \Device\WinDfs\Root LF30XP.sys
Device \FileSystem\Fastfat \Fat LF30XP.sys

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer LF30XP.sys
Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer LF30XP.sys
Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer LF30XP.sys
Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer LF30XP.sys
Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer LF30XP.sys
Device \FileSystem\Cdfs \Cdfs LF30XP.sys

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xFD 0xE6 0xE6 0xD3 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xFD 0xE6 0xE6 0xD3 ...

---- EOF - GMER 1.0.15 ----

Stáhněte SystemLook
http://jpshortstuff.247fixes.com/SystemLook.exe

-uložte ho na plochu a spustte.
-do okénka zkopírujte -klikněte na Look, proběhne sken, na konci se zobrazí log, jehož obsah zkopírujete sem

SystemLook v1.0 by jpshortstuff (29.08.09)
Log created at 22:51 on 24/12/2009 by marek (Administrator - Elevation successful)

========== filefind ==========

Searching for "LF30XP.sys"
C:\Program Files\Everstrike Software\Lock Folder XP 3.6\LF30XP.sys --a--- 101488 bytes [16:07 19/11/2004] [16:07 19/11/2004] 10E0D92E5B21C045E0A53BEFB71DC09D

-=End Of File=-

Otestujte na www.virustotal.com
C:\Program Files\Everstrike Software\Lock Folder XP 3.6\LF30XP.sys

Tento soubor C:\win32.sys dejte do zipu nebo raru a někam uložte, pokud by Vám chyběl, vrátíte ho. Z původního umístění ho smažte.

Jak to vypadá s počítačem ted?
Stahněte dr. Web CureIt http://www.viry.cz/forum/viewtopic.php?f=29&t=47721
-udělejte sken , co najde nechte léčit, smazat
-sken může trvat několik hodin
-Soubor/Uložit výsledky - uložíte jako textovy soubor a zkopírujete zde

-win32 som zararoval, vymazal.. vyzera to zatial tak že ten procesor ide lepšie, uvidime po restart pc a spustenie viacej programov naraz
- prebieha kontrola Dr.web curelt /mám pocit že to potrvá dobre dlho/

webcureit je pomalý, je to na několik hodin
Pak napište co počítač

skoro na celý den.. dam sem ten log z curelta

ComboFix.exe\32788R22FWJFW\List-C.bat;C:\Documents and Settings\marek\Desktop\Malware,cistenie,killer loger\ComboFix.exe;Pravdepodobne BATCH.Virus;;
ComboFix.exe;C:\Documents and Settings\marek\Desktop\Malware,cistenie,killer loger;Archív obsahuje infikované objekty;Presunuté;
xampp-win32-1.6.8-installer.exe\pv.exe;C:\Documents and Settings\marek\Desktop\Programy\instalačky\xampp-win32-1.6.8-installer.exe;Program.PrcView.3725;;
xampp-win32-1.6.8-installer.exe;C:\Documents and Settings\marek\Desktop\Programy\instalačky;Archív obsahuje infikované objekty;Presunuté;
ARCHPR.EXE;C:\Program Files\ElcomSoft\Advanced Archive Password Recovery;Tool.PassSteel.46;;
pv.exe;C:\Program Files\xampp\apache\bin;Program.PrcView.3725;;
A0761259.bat;C:\System Volume Information\_restore{3AC6717D-616D-4F46-90EB-C4CB94E3F959}\RP498;Pravdepodobne BATCH.Virus;;
A0761311.bat;C:\System Volume Information\_restore{3AC6717D-616D-4F46-90EB-C4CB94E3F959}\RP498;Pravdepodobne BATCH.Virus;;
A0764648.exe\32788R22FWJFW\List-C.bat;C:\System Volume Information\_restore{3AC6717D-616D-4F46-90EB-C4CB94E3F959}\RP500\A0764648.exe;Pravdepodobne BATCH.Virus;;
A0764648.exe;C:\System Volume Information\_restore{3AC6717D-616D-4F46-90EB-C4CB94E3F959}\RP500;Archív obsahuje infikované objekty;Presunuté;
A0764655.exe\pv.exe;C:\System Volume Information\_restore{3AC6717D-616D-4F46-90EB-C4CB94E3F959}\RP501\A0764655.exe;Program.PrcView.3725;;
A0764655.exe;C:\System Volume Information\_restore{3AC6717D-616D-4F46-90EB-C4CB94E3F959}\RP501;Archív obsahuje infikované objekty;Presunuté;
BearShareV6.exe/data105\MediaBar.dll;D:\Nový priečinok\inštalačky\BearShareV6.exe/data105;Adware.Softomate.112;;
data105;D:\Nový priečinok\inštalačky;Archív obsahuje infikované objekty;;
BearShareV6.exe;D:\Nový priečinok\inštalačky;Archív obsahuje infikované objekty;Presunuté;
mv2p070RC2p.exe\Mv2PlayerPlus.exe;D:\Nový priečinok\inštalačky\mv2p070RC2p.exe;Trojan.PWS.Banker.28836;;
mv2p070RC2p.exe;D:\Nový priečinok\inštalačky;Archív obsahuje infikované objekty;Presunuté;
RSFAN.exe;D:\Nový priečinok\rapid\RS_FAN_1.0;Trojan.Proxy.2138;Vymazané;
A0764656.exe/data105\MediaBar.dll;D:\System Volume Information\_restore{3AC6717D-616D-4F46-90EB-C4CB94E3F959}\RP501\A0764656.exe/data105;Adware.Softomate.112;;
data105;D:\System Volume Information\_restore{3AC6717D-616D-4F46-90EB-C4CB94E3F959}\RP501;Archív obsahuje infikované objekty;;
A0764656.exe;D:\System Volume Information\_restore{3AC6717D-616D-4F46-90EB-C4CB94E3F959}\RP501;Archív obsahuje infikované objekty;Presunuté;
A0764657.exe\Mv2PlayerPlus.exe;D:\System Volume Information\_restore{3AC6717D-616D-4F46-90EB-C4CB94E3F959}\RP501\A0764657.exe;Trojan.PWS.Banker.28836;;
A0764657.exe;D:\System Volume Information\_restore{3AC6717D-616D-4F46-90EB-C4CB94E3F959}\RP501;Archív obsahuje infikované objekty;Presunuté;
A0764662.exe;D:\System Volume Information\_restore{3AC6717D-616D-4F46-90EB-C4CB94E3F959}\RP501;Trojan.Proxy.2138;Vymazané;
A0001599.exe\Mv2PlayerPlus.exe;D:\System Volume Information\_restore{4E394273-B55A-4BB3-BF58-2ED5C303B3B7}\RP6\A0001599.exe;Trojan.PWS.Banker.28836;;
A0001599.exe;D:\System Volume Information\_restore{4E394273-B55A-4BB3-BF58-2ED5C303B3B7}\RP6;Archív obsahuje infikované objekty;Presunuté;
A0001846.exe;D:\System Volume Information\_restore{4E394273-B55A-4BB3-BF58-2ED5C303B3B7}\RP6;Pravdepodobne DLOADER.Trojan;;
A0001847.exe;D:\System Volume Information\_restore{4E394273-B55A-4BB3-BF58-2ED5C303B3B7}\RP6;Trojan.Proxy.2138;Vymazané;

teraz som dal liečiť, a presunut neliečitelné.

Jak to vypadá s počítačem ted?

Procesor už nie je vyťažený stále ako predtým, už menej už šlape v rámci možností pc. ešte skúsim ako sa bude chovať pri zapojeni siete a pri zobrazovaní stránok atd.
Zatial velmi pekne Ďakujem. !! ak bude problém pretrvávať ozvem sa..

Odinstalujte combofix přes
Start >> Spustit zkopírujte do okénka:

ComboFix /Uninstall

stiskněte Enter
-To odinstaluje ComboFix a smaže s ním související soubory a složky.



Stáhněte T-Cleaner
http://sweb.cz/Marinus/T-Cleaner.exe

-Spusťte,pro potvrzení volby mačkejte klávesu A, Enter
-po použití prográmek vymažte.Pozor,antiviry ho mohou falešně označit za vir


Stahněte TFC a použijte
TFC (http://oldtimer.geekstogo.com/TFC.exe)


Stáhněte Ccleaner,viz můj podpis
-nainstalujte a vyčištěte dočasné soubory, i registry

Vložte nový log ze RSIT a řekněte co počítač,jak se chová,už je vše v pořádku?