avast-trojskeho kone-log z rsit

[misako]

jo to asi proto, ze neni dodelane to s tim spdt? mam tedy restartovat napred?a pak dat uninstall?

[motji]

Ne, asi nemáte Daemon nebo alcohol, ten SPDT odinstalovává drivery od něj.
Zkuste Gmer v nouzovém režimu, předtím ho přejmenujte na zmije.com.
Pokud to nepůjde, napište, zkusím něco jiného.

[misako]

a zacala vyskakovat podobna tabulka co pise neco podobnyho - nejaka logonui.exe a nejde se ji nijak zbavit

[motji]

a vyskakuje i v nouzovém režimu?

[misako]

ted si nevzpominam,jak se jde do nouzoveho rezimu-co se macka za klavesu-ESC?

[motji]

Restartujete počítač a mačkáte F8 - nouzový režim s prací v síti

[misako]

Pomoc vypadalo to nahle dopre, tabulka zmizela, po samovolnem restartu uz slo dat u spdt uninstall, pote sel spustit ten gmer v normalnim rezimu ale pote zacaly vyskakovat ty tabulky pri vsem a uz nesel spustit ani internet poklepanim na ikonu ani zvolit normalni restart - takze pak restart natvrdo, potom v nouzovem rezimu-coz je ted- se nastesti jde pripojit k internetu,ale co dal ted nevim??zkusit spustit ten gmer?a musi se teda nejak napred prejmenovat??

[misako]

Pomoc vypadalo to nahle dobre, tabulka zmizela, po samovolnem restartu uz slo dat u spdt uninstall, pote sel spustit ten gmer v normalnim rezimu ale pote zacaly vyskakovat ty tabulky pri vsem a uz nesel spustit ani internet poklepanim na ikonu ani zvolit normalni restart - takze pak restart natvrdo, potom v nouzovem rezimu-coz je ted- se nastesti jde pripojit k internetu,ale co dal ted nevim??zkusit spustit ten gmer?a musi se teda nejak napred prejmenovat??

[motji]

Data máte zazálohovaná?
Máte případně inst.cd, pokud by bylo potřeba na opravu systému?
Máte možnost když tak psát z jiného pc?

[motji]

Pokud máte zálohu, ještě něco zkusíme. Já tu bohužel budu zase chvilinku ráno a pak večer kolem 10 hodiny, ale poprosím kolegu, ať na to mrkne, ať na mě nemusíte čekat.




Pokud nemáte, přesuňte Combofix na plochu
-otevřete si Poznámkový blok
-Do něj zkopírujte text z tohoto okénka

Kód: Vybrat vše

TDL::
c:\windows\system32\drivers\atapi.sys

Restore::
c:\windows\SoftwareDistribution\Download\8fb85d68ee3649be8b622da7b69408ee\atapi.sys
c:\windows\system32\ReinstallBackups\0001\DriverFiles\i386\atapi.sys

-uložte Vámi vytvořený TXT soubor jako CFScript.txt na plochu
-po uložení uchopte vámi vytvořený skript levým myšítkem a -přesuňte ho nad ikonu Combofixu, kde ho upustíte:




-po aplikaci na Vás vypadne další log,vložte ho sem

Upozornění : může se stát, že po aplikaci skriptu a restartu Windows nenaběhnou, v tom případě znovu restartujte a přitom mačkejte F8, pak zvolte Poslední známou funkční konfiguraci



Stáhněte Bootkit Remover http://www.esagelab.com/files/bootkit_remover.rar
-uložte ho na plochu a spusťte
- pravým tlačítkem myši klikněte do černého okna, zvolte Vybrat vše, stiskněte CTRL+C a pak zde na foru CTRL+V.

[misako]

vecer se pak uz neslo spojit s viry.cz:(
zalohu dat mam. Az tak hrozne na ten pocitac nespecham,staci vecer.Moznost pripojeni z jineho nemam,ale v nouzovym rezimu to jde zatim hezky..
Posilam log z toho Combofix a ten vypis z bootkitu:


ComboFix 10-07-04.02 - míša 05.07.2010 7:59.6.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.420.1029.18.447.50 [GMT 2:00]
Spuštěný z: c:\documents and settings\míša\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\míša\Plocha\CFScript.txt
AV: avast! antivirus 4.8.1368 [VPS 100704-0] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
FW: Sunbelt Kerio Personal Firewall *enabled* {E659E0EE-10E6-49B7-8696-60F38D0EB174}
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\daemon.dll

Nakažená kopie c:\windows\system32\drivers\atapi.sys byla nalezena a vyléčena.
Obnovena kopie z - Kitty had a snack :p
Nakažená kopie c:\windows\system32\DRIVERS\atapi.sys byla nalezena a vyléčena.
Obnovena kopie z - Kitty had a snack :p
Nakažená kopie c:\windows\system32\DRIVERS\atapi.sys byla nalezena a vyléčena.
Obnovena kopie z - Kitty had a snack :p
Nakažená kopie c:\windows\system32\drivers\atapi.sys byla nalezena a vyléčena.
Obnovena kopie z - Kitty had a snack :p
Nakažená kopie c:\windows\system32\DRIVERS\atapi.sys byla nalezena a vyléčena.
Obnovena kopie z - Kitty had a snack :p
Nakažená kopie c:\windows\system32\DRIVERS\atapi.sys byla nalezena a vyléčena.
Obnovena kopie z - Kitty had a snack :p
.
((((((((((((((((((((((((( Soubory vytvořené od 2010-06-05 do 2010-07-05 )))))))))))))))))))))))))))))))
.

2010-07-05 05:55 . 2004-08-04 05:59 95360 -c--a-w- c:\windows\system32\dllcache\atapi.sys
2010-07-05 05:55 . 2004-08-04 05:59 95360 ----a-w- c:\windows\system32\drivers\atapi.sys
2010-07-04 21:52 . 2010-07-04 21:52 -------- d-----w- C:\spoolerlogs
2010-07-04 08:12 . 2010-07-04 08:12 -------- d--h--w- c:\windows\PIF
2010-07-04 06:29 . 2009-10-22 11:54 37392 ----a-w- c:\windows\system32\drivers\64645272.sys
2010-07-04 06:29 . 2009-10-09 21:31 315408 ----a-w- c:\windows\system32\drivers\6464527.sys
2010-07-04 06:29 . 2009-09-25 15:59 128016 ----a-w- c:\windows\system32\drivers\64645271.sys
2010-07-02 21:02 . 2010-07-02 21:03 -------- d-----w- c:\program files\trend micro
2010-07-02 21:02 . 2010-07-02 21:04 -------- d-----w- C:\rsit
2010-06-27 18:25 . 2010-06-27 18:25 -------- d-----w- c:\windows\system32\wbem\Repository

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-13 19:39 . 2008-02-21 19:46 -------- d-----w- c:\program files\rajce
2010-05-24 20:26 . 2001-10-25 12:00 49452 ----a-w- c:\windows\system32\perfc005.dat
2010-05-24 20:26 . 2001-10-25 12:00 318304 ----a-w- c:\windows\system32\perfh005.dat
2004-12-03 08:49 . 2006-05-01 17:26 9409536 -c----w- c:\program files\sidebarb75.exe
2004-12-02 13:31 . 2006-05-01 17:19 7741336 -c----w- c:\program files\DivX521XP2K.exe
2004-11-30 12:11 . 2006-05-01 17:12 4567928 -c----w- c:\program files\winamp506_full.exe
2004-11-30 11:37 . 2006-05-01 17:07 12717056 -c----w- c:\program files\MP10Setup.exe
2006-05-01 17:22 . 2006-05-01 17:22 56 --sh--r- c:\windows\system32\2534FE75F5.sys
2006-05-01 17:22 . 2006-05-01 17:22 1682 -csha-w- c:\windows\system32\KGyGaAvL.sys
.

------- Sigcheck -------

[-] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\8fb85d68ee3649be8b622da7b69408ee\atapi.sys
[7] 2004-08-04 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\SoftwareDistribution\Download\4df038d60d071da9e4afe55fba7cbfbf\atapi.sys
[7] 2004-08-04 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\system32\dllcache\atapi.sys
[-] 2004-08-04 05:59 . !HASH: COULD NOT OPEN FILE !!!!! . 95360 . . [------] . . c:\windows\system32\drivers\atapi.sys
[7] 2002-08-29 . 95B858761A00E1D4F81F79A0DA019ACA . 86912 . . [5.1.2600.1106] . . c:\windows\$NtServicePackUninstall$\atapi.sys
[-] 2001-10-25 . A64013E98426E1877CB653685C5C0009 . 86656 . . [5.1.2600.0] . . c:\windows\system32\ReinstallBackups\0001\DriverFiles\i386\atapi.sys
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-03-17 339968]
"SoundMan"="SOUNDMAN.EXE" [2005-06-20 77824]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2003-12-13 33792]
"SMail"="c:\program files\Seznam\Postak\Postak.exe" [2005-11-30 450560]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2006-10-30 256576]
"AAWTray"="c:\program files\Lavasoft\Ad-Aware 2007\AAWTray.exe" [2007-08-08 88024]
"DAEMON Tools-1033"="c:\program files\D-Tools\daemon.exe" [2004-03-12 81920]
"dvd43"="c:\program files\dvd43\dvd43_tray.exe" [2006-05-22 694272]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 144784]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-17 15360]

c:\documents and settings\mˇça\Nabˇdka Start\Programy\Po spuçtŘnˇ\
setup_9.0.0.722_03.07.2010_23-47(2).lnk - c:\documents and settings\mˇça\Plocha\Virus Removal Tool\setup_9.0.0.722_03.07.2010_23-47(2)\startup.exe [2010-7-4 72208]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2006-3-22 113664]
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-24 29696]
NkbMonitor.exe.lnk - c:\program files\Nikon\PictureProject\NkbMonitor.exe [2007-6-27 118784]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4gui.exe"=
"c:\\Program Files\\ICQ6\\ICQ.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R0 64645272;64645272 Boot Guard Driver;c:\windows\system32\drivers\64645272.sys [4.7.2010 8:29 37392]
R0 d346bus;d346bus;c:\windows\system32\drivers\d346bus.sys [7.10.2007 20:57 156800]
R0 d346prt;d346prt;c:\windows\system32\drivers\d346prt.sys [7.10.2007 20:57 5248]
R1 64645271;64645271;c:\windows\system32\drivers\64645271.sys [4.7.2010 8:29 128016]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [1.4.2009 19:37 114768]
R1 fwdrv;Firewall Driver;c:\windows\system32\drivers\fwdrv.sys [20.2.2007 13:34 302000]
R1 khips;Kerio HIPS Driver;c:\windows\system32\drivers\khips.sys [20.2.2007 13:34 71088]
R1 setup_9.0.0.722_03.07.2010_23-47(2)drv;setup_9.0.0.722_03.07.2010_23-47(2)drv;c:\windows\system32\drivers\6464527.sys [4.7.2010 8:29 315408]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [1.4.2009 19:37 20560]
S4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys --> c:\windows\system32\Drivers\sptd.sys [?]
.
Obsah adresáře 'Naplánované úlohy'

2010-06-26 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2006-10-10 16:13]
.
.
------- Doplňkový sken -------
.
uInternet Settings,ProxyServer = 127.0.0.1:3128
uInternet Settings,ProxyOverride = 127.0.0.1;localhost;<local>
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{230D1201-7607-4CF6-A11F-9E4BF0A333E0} - {0DB13731-CEFD-43CF-A8FD-B61DCBC4D5B8} - c:\program files\Eurotran XP\etnxp.dll
IE: {{2C73F784-D2DE-4422-B070-2E3332FE5744} - {0320AC26-52C8-4316-B2C4-24BB6FA73C9A} - c:\program files\Eurotran XP\etnxp.dll
FF - ProfilePath - c:\documents and settings\míša\Data aplikací\Mozilla\Firefox\Profiles\s2ullyll.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - prefs.js: network.proxy.http - 127.0.0.1
FF - prefs.js: network.proxy.http_port - 3128
FF - prefs.js: network.proxy.socks - 127.0.0.1
FF - prefs.js: network.proxy.socks_port - 9000
FF - prefs.js: network.proxy.ssl - 127.0.0.1
FF - prefs.js: network.proxy.ssl_port - 3128
FF - prefs.js: network.proxy.type - 4
FF - plugin: c:\program files\Common Files\ParallelGraphics\Cortona\npCortona.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npCortona.dll
FF - plugin: c:\program files\Opera75\Program\Plugins\npdrmv2.dll
FF - plugin: c:\program files\Opera75\Program\Plugins\npdsplay.dll
FF - plugin: c:\program files\Opera75\Program\Plugins\NPOFFICE.DLL
FF - plugin: c:\program files\Opera75\Program\Plugins\nppl3260.dll
FF - plugin: c:\program files\Opera75\Program\Plugins\nprpjplug.dll
FF - plugin: c:\program files\Opera75\Program\Plugins\NPSWF32.dll
FF - plugin: c:\program files\Opera75\Program\Plugins\npwmsdrm.dll

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-05 08:11
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll dvd43llh.sys >>UNKNOWN [0x8418FDC0]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf762afc3
\Driver\ACPI -> ACPI.sys @ 0xf7466cb8
\Driver\atapi -> dvd43llh.sys @ 0xf795fb20
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x8057807e
ParseProcedure -> ntkrnlpa.exe @ 0x80576ce0
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x8057807e
ParseProcedure -> ntkrnlpa.exe @ 0x80576ce0
user & kernel MBR OK

**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Reinstall\ćHőwć*]
"DisplayName"="?\11\09"
"DeviceDesc"="?\11\09"
"ProviderName"="???\11??H\11??"
"MFG"="???"
"ReinstallString"=".10.1000.5"
"DeviceInstanceIds"=multi:"d:\\ati\\rs480\\sbdrv\\smbus\\smbusati.inf\00"
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(612)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3868)
c:\progra~1\WINDOW~3\wmpband.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\System32\Ati2evxx.exe
c:\program files\Lavasoft\Ad-Aware 2007\aawservice.exe
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Sunbelt Software\Personal Firewall\kpf4ss.exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\System32\wdfmgr.exe
c:\windows\SOUNDMAN.EXE
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\program files\Sunbelt Software\Personal Firewall\kpf4gui.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\Sunbelt Software\Personal Firewall\kpf4gui.exe
c:\program files\Java\jre1.6.0_06\bin\jucheck.exe
.
**************************************************************************
.
Celkový čas: 2010-07-05 08:22:02 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-07-05 06:21
ComboFix2.txt 2010-07-03 20:29
ComboFix3.txt 2010-07-03 08:06
ComboFix4.txt 2010-07-02 21:59

Před spuštěním: Volných bajtů: 25 770 668 032
Po spuštění: Volných bajtů: 25 757 339 648

- - End Of File - - 7167E63A5AD96F1CF9ED831BBAA0A3E1



Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
www.esagelab.com

\\.\C: -> \\.\PhysicalDrive0
MD5: ee7fe9f24bc949ea3a78cf7064fbe50b
\\.\E: -> \\.\PhysicalDrive0

Size Device Name MBR Status
--------------------------------------------
233 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Press any key to quit...

[stell]

zdravim
zaskok za kolegynu
Otvor Notepad (Poznámkový blok) a zkopíruj do neho celý zeleny tex:

Kód: Vybrat vše

@ECHO OFF
remover.exe fix \\.\PhysicalDrive0
EXIT

Potom klik na Subor -> Uložiť ako.. .. -> Ako je Názov souboru tak do toho riadku napiš:fix.bat
Typ súboru tak tam vyberies *všetky súbory
A ulož ho na plochu.>spust-suh;as-pocitac sa restartuje,,spust znovu remover.exe a log vloz sem

[misako]

Diky, to >spust-suh;as znamena co?

[stell]

tj,suhlas...precitaj este raz uloz na plochu ako fix.bat.
a potom odinstaluj aj AVPTOOL,,tak ako je v navode
http://www.viry.cz/forum/viewtopic.php?f=29&t=58179

[misako]

hlidam u toho deti a delam dalsich sto veci,tak to jde pomalu:( a nevim,jak spustit to fix.bat, co je ulozene na plose-pres co ted?