Odvirování PC, zrychlení počítače, vzdálená pomoc prostřednictvím služby neslape.cz
win32/olmarik v operační paměti
Moderátor: Moderátoři
Pravidla fóra
Pokud chcete pomoc, vložte log z FRST [návod zde] nebo RSIT [návod zde]
Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.
!NOVINKA!
Nově lze využívat služby vzdálené pomoci, kdy se k vašemu počítači připojí odborník a bližší informace o problému si od vás získá telefonicky! Více na www.neslape.cz
Pokud chcete pomoc, vložte log z FRST [návod zde] nebo RSIT [návod zde]
Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.
!NOVINKA!
Nově lze využívat služby vzdálené pomoci, kdy se k vašemu počítači připojí odborník a bližší informace o problému si od vás získá telefonicky! Více na www.neslape.cz
Re: win32/olmarik v operační paměti
opět gmer spadl při \device\harddiskvolumeshadowcopy1
Re: win32/olmarik v operační paměti
Nevadí, udělejte jen mbam. Já už končím, dobrou noc 
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data
Chcete podpořit naše forum? Informace zde
K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.
Vždy před odvirováním počítače zazálohujte důležitá data
Chcete podpořit naše forum? Informace zde
K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.
Re: win32/olmarik v operační paměti
Malwarebytes' Anti-Malware 1.44
Verze databáze: 3710
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882
9.2.2010 7:02:32
mbam-log-2010-02-09 (07-02-23).txt
Typ kontroly: Kompletní kontrola (C:\|D:\|)
Zkontrolované objekty: 462081
Uplynulý čas: 1 hour(s), 27 minute(s), 50 second(s)
Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 6
Infikované hodnoty registru: 0
Infikované datové položky registru: 0
Infikované adresáře: 0
Infikované soubory: 5
Infikované procesy v paměti:
(Nebyly nalezeny žádné škodlivé položky)
Infikované moduly v paměti:
(Nebyly nalezeny žádné škodlivé položky)
Infikované klíče registru:
HKEY_CLASSES_ROOT\sp (TrojanProxy.Agent) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\GoogleUpdateBeta (Backdoor.IRCBot) -> No action taken.
Infikované hodnoty registru:
(Nebyly nalezeny žádné škodlivé položky)
Infikované datové položky registru:
(Nebyly nalezeny žádné škodlivé položky)
Infikované adresáře:
(Nebyly nalezeny žádné škodlivé položky)
Infikované soubory:
C:\Users\Jarda\Desktop\XVideo Converter.exe (Malware.pacler) -> No action taken.
C:\install\Half-open_limit_fix_3.6\tools\CertMgr.Exe (Malware.Packer.Gen) -> No action taken.
C:\install\Half-open_limit_fix_3.6\tools\makecert.exe (Malware.Packer.Gen) -> No action taken.
C:\Program Files\HUADRV.DLL (Spyware.OnlineGames) -> No action taken.
C:\Program Files\MarkFunDrv.dll (Spyware.OnlineGames) -> No action taken.
Verze databáze: 3710
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882
9.2.2010 7:02:32
mbam-log-2010-02-09 (07-02-23).txt
Typ kontroly: Kompletní kontrola (C:\|D:\|)
Zkontrolované objekty: 462081
Uplynulý čas: 1 hour(s), 27 minute(s), 50 second(s)
Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 6
Infikované hodnoty registru: 0
Infikované datové položky registru: 0
Infikované adresáře: 0
Infikované soubory: 5
Infikované procesy v paměti:
(Nebyly nalezeny žádné škodlivé položky)
Infikované moduly v paměti:
(Nebyly nalezeny žádné škodlivé položky)
Infikované klíče registru:
HKEY_CLASSES_ROOT\sp (TrojanProxy.Agent) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\GoogleUpdateBeta (Backdoor.IRCBot) -> No action taken.
Infikované hodnoty registru:
(Nebyly nalezeny žádné škodlivé položky)
Infikované datové položky registru:
(Nebyly nalezeny žádné škodlivé položky)
Infikované adresáře:
(Nebyly nalezeny žádné škodlivé položky)
Infikované soubory:
C:\Users\Jarda\Desktop\XVideo Converter.exe (Malware.pacler) -> No action taken.
C:\install\Half-open_limit_fix_3.6\tools\CertMgr.Exe (Malware.Packer.Gen) -> No action taken.
C:\install\Half-open_limit_fix_3.6\tools\makecert.exe (Malware.Packer.Gen) -> No action taken.
C:\Program Files\HUADRV.DLL (Spyware.OnlineGames) -> No action taken.
C:\Program Files\MarkFunDrv.dll (Spyware.OnlineGames) -> No action taken.
Re: win32/olmarik v operační paměti
Otestujte na www.virustotal.comC:\Users\Jarda\Desktop\XVideo Converter.exe
C:\install\Half-open_limit_fix_3.6\tools\CertMgr.Exe
C:\install\Half-open_limit_fix_3.6\tools\makecert.exe
C:\Program Files\HUADRV.DLL
C:\Program Files\MarkFunDrv.dll
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data
Chcete podpořit naše forum? Informace zde
K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.
Vždy před odvirováním počítače zazálohujte důležitá data
Chcete podpořit naše forum? Informace zde
K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.
Re: win32/olmarik v operační paměti
Všechny programy používáte? Jsou legální?
Já bych řekla, že jsou v pořádku, pokud to ted není nějaký crack, tam riziko viru je
Já bych řekla, že jsou v pořádku, pokud to ted není nějaký crack, tam riziko viru je
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data
Chcete podpořit naše forum? Informace zde
K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.
Vždy před odvirováním počítače zazálohujte důležitá data
Chcete podpořit naše forum? Informace zde
K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.
Re: win32/olmarik v operační paměti
neaktivovaná free verze Users\Jarda\Desktop\XVideo Converter.exe (může pryč)
otevírá nad 50linek pro download (windows hack)-pro torrenty, emule apod., C:\install\Half-open_limit_fix_3.6\tools\CertMgr.Exe (bez toho bude život těžší)
--//--- C:\install\Half-open_limit_fix_3.6\tools\makecert.exe
neznám, C:\Program Files\HUADRV.DLL (?)
neznám, C:\Program Files\MarkFunDrv.dll (?)
otevírá nad 50linek pro download (windows hack)-pro torrenty, emule apod., C:\install\Half-open_limit_fix_3.6\tools\CertMgr.Exe (bez toho bude život těžší)
--//--- C:\install\Half-open_limit_fix_3.6\tools\makecert.exe
neznám, C:\Program Files\HUADRV.DLL (?)
neznám, C:\Program Files\MarkFunDrv.dll (?)
Re: win32/olmarik v operační paměti
Co neznáte smažte, pokud by Vám některý program nefungoval, přeinstalujete 
.
Jak to ted vypadá s počítačem?
.Jak to ted vypadá s počítačem?
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data
Chcete podpořit naše forum? Informace zde
K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.
Vždy před odvirováním počítače zazálohujte důležitá data
Chcete podpořit naše forum? Informace zde
K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.
Re: win32/olmarik v operační paměti
mám smazat i ty "registry key" nebo jen "file", co označil MWB?
PS: Olmarik stále hlášen v paměti
PS: Olmarik stále hlášen v paměti
Re: win32/olmarik v operační paměti
I registry
Já jdu ještě pořádně prozkoumat logy a pak napíšu, co dál
Já jdu ještě pořádně prozkoumat logy a pak napíšu, co dál
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data
Chcete podpořit naše forum? Informace zde
K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.
Vždy před odvirováním počítače zazálohujte důležitá data
Chcete podpořit naše forum? Informace zde
K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.
Re: win32/olmarik v operační paměti
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data
Chcete podpořit naše forum? Informace zde
K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.
Vždy před odvirováním počítače zazálohujte důležitá data
Chcete podpořit naše forum? Informace zde
K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.
Re: win32/olmarik v operační paměti
adtschemah je používán jinou aplikací-povypínal jsem vše, co šlo, a stále ho něco používá a nemoho ho nechat otestovat. (zkusim nabootovat z něčeho jiného, přejmenuju a otestuju)
než si prohlídneš ten log, popíšu chování toho zmetka:
Cca před 3 měsíci mi po nějaké aktualizaci NOD32 našel trojana v nějakých kodekách (tipuji, že už trojan byl v systému déle). Žil jsem s ním nějakou dobu, až ho NOD přestal detekovat. Ničeho neobvyklého jsem si nevšiml a říkal si, že ho nod postupně zlikvidoval. Manželka mi pak minulý týden volala, že se nedostane na internet. CPU běželo na 100% (nějakej z svchostů +-60% a nod+-40%), na internet se téměř nedalo dostat, pokud se povedlo, rychlost změřená dsl.cz byla v desítkách kbitů. Odinstaloval jsem legálního noda, a stáhnul demo. Demo noda ihned našlo olmarika. Na telefon s kamarádem jsem zkusil, co se dá - proto jsem psal, že jsem Vám(Ti) udělal v tom bordel (combofix, ccleaner,....). Výsledkem bylo, že počítač funguje normálně, avšak Olmarik se stále drží v paměti.
než si prohlídneš ten log, popíšu chování toho zmetka:
Cca před 3 měsíci mi po nějaké aktualizaci NOD32 našel trojana v nějakých kodekách (tipuji, že už trojan byl v systému déle). Žil jsem s ním nějakou dobu, až ho NOD přestal detekovat. Ničeho neobvyklého jsem si nevšiml a říkal si, že ho nod postupně zlikvidoval. Manželka mi pak minulý týden volala, že se nedostane na internet. CPU běželo na 100% (nějakej z svchostů +-60% a nod+-40%), na internet se téměř nedalo dostat, pokud se povedlo, rychlost změřená dsl.cz byla v desítkách kbitů. Odinstaloval jsem legálního noda, a stáhnul demo. Demo noda ihned našlo olmarika. Na telefon s kamarádem jsem zkusil, co se dá - proto jsem psal, že jsem Vám(Ti) udělal v tom bordel (combofix, ccleaner,....). Výsledkem bylo, že počítač funguje normálně, avšak Olmarik se stále drží v paměti.
Re: win32/olmarik v operační paměti
pro motji http://www.virustotal.com/cs/analisis/7 ... 1265752564
pro Naughtyho - nedaří se mi nainstalovat - verze 3.7 (rku37300509) hlásí Error loading driver, NTSTATUS code: C000001 (adaware i noda jsem i zkusil vypnout, stejně nejde)
edit: tahal jsem odsud http://antirootkit.com/software/RootKit-Unhooker.htm
pro Naughtyho - nedaří se mi nainstalovat - verze 3.7 (rku37300509) hlásí Error loading driver, NTSTATUS code: C000001 (adaware i noda jsem i zkusil vypnout, stejně nejde)
edit: tahal jsem odsud http://antirootkit.com/software/RootKit-Unhooker.htm
Naposledy upravil(a) jsykora dne 09 úno 2010 23:10, celkem upraveno 1 x.
Re: win32/olmarik v operační paměti
rootrepelear padá při testování ve stejném folderu na stejné chybě (4x)
PC jsem zkoušel restartovat, vypnout co se dá včetně noda, vše při vypnutým modemu
edit:už mně nic nenapadá, jdu chrnět
PC jsem zkoušel restartovat, vypnout co se dá včetně noda, vše při vypnutým modemu
edit:už mně nic nenapadá, jdu chrnět
Re: win32/olmarik v operační paměti
stáhl jsem následující programy a u většiny smazal pravděpodobně vše, co doporučily :-/
http://rootrepeal.googlepages.com/RootRepeal.zip
http://sites.google.com/site/sysprotantirootkit/
http://images.malwareremoval.com/random/RSIT.exe
http://sweb.cz/Marinus/T-Cleaner.exe
http://oldtimer.geekstogo.com/TFC.exe
http://www2.gmer.net/mbr/mbr.exe
http://www.ccleaner.com/download/downloading
http://download.eset.com/special/EOlmarikRemover.exe
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
ještě Adaware a Spybot a Nod32
Mám zkusit logy těch třech programů dělat na dálku (přes logmein), nebo je to nesmysl a mám radši vydržet, až budu osobně odpoledne u toho zavšivenýho PC?
http://rootrepeal.googlepages.com/RootRepeal.zip
http://sites.google.com/site/sysprotantirootkit/
http://images.malwareremoval.com/random/RSIT.exe
http://sweb.cz/Marinus/T-Cleaner.exe
http://oldtimer.geekstogo.com/TFC.exe
http://www2.gmer.net/mbr/mbr.exe
http://www.ccleaner.com/download/downloading
http://download.eset.com/special/EOlmarikRemover.exe
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
ještě Adaware a Spybot a Nod32
Mám zkusit logy těch třech programů dělat na dálku (přes logmein), nebo je to nesmysl a mám radši vydržet, až budu osobně odpoledne u toho zavšivenýho PC?
Přispějete na provoz fóra?