VIRY.CZ

opět gmer spadl při \device\harddiskvolumeshadowcopy1

Nevadí, udělejte jen mbam. Já už končím, dobrou noc

Malwarebytes' Anti-Malware 1.44
Verze databáze: 3710
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882

9.2.2010 7:02:32
mbam-log-2010-02-09 (07-02-23).txt

Typ kontroly: Kompletní kontrola (C:\|D:\|)
Zkontrolované objekty: 462081
Uplynulý čas: 1 hour(s), 27 minute(s), 50 second(s)

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 6
Infikované hodnoty registru: 0
Infikované datové položky registru: 0
Infikované adresáře: 0
Infikované soubory: 5

Infikované procesy v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované moduly v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované klíče registru:
HKEY_CLASSES_ROOT\sp (TrojanProxy.Agent) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\GoogleUpdateBeta (Backdoor.IRCBot) -> No action taken.

Infikované hodnoty registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované datové položky registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované adresáře:
(Nebyly nalezeny žádné škodlivé položky)

Infikované soubory:
C:\Users\Jarda\Desktop\XVideo Converter.exe (Malware.pacler) -> No action taken.
C:\install\Half-open_limit_fix_3.6\tools\CertMgr.Exe (Malware.Packer.Gen) -> No action taken.
C:\install\Half-open_limit_fix_3.6\tools\makecert.exe (Malware.Packer.Gen) -> No action taken.
C:\Program Files\HUADRV.DLL (Spyware.OnlineGames) -> No action taken.
C:\Program Files\MarkFunDrv.dll (Spyware.OnlineGames) -> No action taken.

Otestujte na www.virustotal.com
C:\Users\Jarda\Desktop\XVideo Converter.exe
C:\install\Half-open_limit_fix_3.6\tools\CertMgr.Exe
C:\install\Half-open_limit_fix_3.6\tools\makecert.exe
C:\Program Files\HUADRV.DLL
C:\Program Files\MarkFunDrv.dll

http://www.virustotal.com/cs/analisis/8 ... 1212863491
http://www.virustotal.com/cs/analisis/6 ... 1248453402
http://www.virustotal.com/cs/analisis/f ... 1248453682
http://www.virustotal.com/cs/analisis/8 ... 1265735025
http://www.virustotal.com/cs/analisis/e ... 1265735554

poslední je čistej

Všechny programy používáte? Jsou legální?
Já bych řekla, že jsou v pořádku, pokud to ted není nějaký crack, tam riziko viru je

neaktivovaná free verze Users\Jarda\Desktop\XVideo Converter.exe (může pryč)
otevírá nad 50linek pro download (windows hack)-pro torrenty, emule apod., C:\install\Half-open_limit_fix_3.6\tools\CertMgr.Exe (bez toho bude život těžší)
--//--- C:\install\Half-open_limit_fix_3.6\tools\makecert.exe
neznám, C:\Program Files\HUADRV.DLL (?)
neznám, C:\Program Files\MarkFunDrv.dll (?)

Co neznáte smažte, pokud by Vám některý program nefungoval, přeinstalujete .
Jak to ted vypadá s počítačem?

mám smazat i ty "registry key" nebo jen "file", co označil MWB?
PS: Olmarik stále hlášen v paměti

I registry
Já jdu ještě pořádně prozkoumat logy a pak napíšu, co dál

Otestujte na www.virustotal.com
C:\Windows\system32\adtschemah.exe

adtschemah je používán jinou aplikací-povypínal jsem vše, co šlo, a stále ho něco používá a nemoho ho nechat otestovat. (zkusim nabootovat z něčeho jiného, přejmenuju a otestuju)

než si prohlídneš ten log, popíšu chování toho zmetka:
Cca před 3 měsíci mi po nějaké aktualizaci NOD32 našel trojana v nějakých kodekách (tipuji, že už trojan byl v systému déle). Žil jsem s ním nějakou dobu, až ho NOD přestal detekovat. Ničeho neobvyklého jsem si nevšiml a říkal si, že ho nod postupně zlikvidoval. Manželka mi pak minulý týden volala, že se nedostane na internet. CPU běželo na 100% (nějakej z svchostů +-60% a nod+-40%), na internet se téměř nedalo dostat, pokud se povedlo, rychlost změřená dsl.cz byla v desítkách kbitů. Odinstaloval jsem legálního noda, a stáhnul demo. Demo noda ihned našlo olmarika. Na telefon s kamarádem jsem zkusil, co se dá - proto jsem psal, že jsem Vám(Ti) udělal v tom bordel (combofix, ccleaner,....). Výsledkem bylo, že počítač funguje normálně, avšak Olmarik se stále drží v paměti.

pro motji http://www.virustotal.com/cs/analisis/7 ... 1265752564

pro Naughtyho - nedaří se mi nainstalovat - verze 3.7 (rku37300509) hlásí Error loading driver, NTSTATUS code: C000001 (adaware i noda jsem i zkusil vypnout, stejně nejde)
edit: tahal jsem odsud http://antirootkit.com/software/RootKit-Unhooker.htm

rootrepelear padá při testování ve stejném folderu na stejné chybě (4x)

PC jsem zkoušel restartovat, vypnout co se dá včetně noda, vše při vypnutým modemu
edit:už mně nic nenapadá, jdu chrnět

stáhl jsem následující programy a u většiny smazal pravděpodobně vše, co doporučily :-/
http://rootrepeal.googlepages.com/RootRepeal.zip
http://sites.google.com/site/sysprotantirootkit/
http://images.malwareremoval.com/random/RSIT.exe
http://sweb.cz/Marinus/T-Cleaner.exe
http://oldtimer.geekstogo.com/TFC.exe
http://www2.gmer.net/mbr/mbr.exe
http://www.ccleaner.com/download/downloading
http://download.eset.com/special/EOlmarikRemover.exe
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
ještě Adaware a Spybot a Nod32

Mám zkusit logy těch třech programů dělat na dálku (přes logmein), nebo je to nesmysl a mám radši vydržet, až budu osobně odpoledne u toho zavšivenýho PC?