Problém při odstraňování havěti, nelze přihlásit uživatele

[MiliNess]

soubor software je větev registru HKEY_LOCAL_MACHINE\Software
Tady ho máte opravený http://www.uschovna.cz/zasilka/P4L5L4VC3N3WHKFL
Rozbalte ho a překopírujte zpět.

[HonzaD]

soubor software je větev registru HKEY_LOCAL_MACHINE\Software
Tady ho máte opravený http://www.uschovna.cz/zasilka/P4L5L4VC3N3WHKFL
Rozbalte ho a překopírujte zpět.

Děkuji, měnil jste ještě něco krom toho?:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"UserInit"="C:\WINDOWS\system32\userinit.exe,"

Sem zvědav jeslti se přihlásím

[MiliNess]

Zatím ne. Uvidíme zda to naběhne. Pokud ne, pustím se do hlubšího vrtání

[HonzaD]

Naběhlo, moc děkuji

Nefunguje správce úloh

HijackThis psal při zapnutí chybu kterou přikládám jako obr.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:24:53, on 7.8.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
....

[HonzaD]

Z plochy jsem prave smazal soubor "file.exe"
http://www.virustotal.com/cs/analisis/2 ... 1281228626

[motji]

Vy budete mít ten počítač prošpikovaný havětí
Tohle znáte?
C:\Program Files\SRWare Iron\iron.exe


Stahněte Rkill z jednoho z odkazů, pokud by ho vir blokoval, zkuste stahnout jiný

Rkill EXE:
http://download.bleepingcomputer.com/grinler/rkill.exe

Rkill COM:
http://download.bleepingcomputer.com/grinler/rkill.com

Rkill SCR:
http://download.bleepingcomputer.com/grinler/rkill.scr

Rkill PIF:
http://download.bleepingcomputer.com/grinler/rkill.pif

-spusťte ho a nechejte pracovat. Sám se ukončí.

- Ted nerestartujte počítač!


Stáhněte na plochu, ukončete všechna aktivní okna a spusťte ComboFix - http://download.bleepingcomputer.com/sUBs/ComboFix.exe

-přejmenujte ho na žížala.com

-souhlaste s instalací konzole pro zotavení

- ComboFix je třeba spustit pod účtem s právy administrátora

- Před použitím vypněte všechny rezidentní bezpečnostní programy - antiviry, firewally, antispywary

- Po spuštění se zobrazí podmínky užití, potvrďte je stiskem tlačítka Ano

- Dále postupujte dle pokynů, během aplikování ComboFixu neklikejte do zobrazujícího se okna

- Po dokončení skenování, trvajícího maximálně 10 minut, by měl program vytvořit log - C:\ComboFix.txt, zkopírujte celý jeho obsah sem

[sunv]

SRWare Iron by měl být prohlížeč postavený na googlu chrome, důrazem na bezpečné surfování.

[motji]

Jak to tu vypadá?

[HonzaD]

Něměl jsem teď moc čas, ale zatím se zdá že vše funguje.

Co dělá ten Rkill?

ComboFix mi dříve zrušil nějaké nastavení ve windows, dalo by se obejít bez něj?
Tuším že mi zapl službu Centrum zabezpečení, kterou mám záměrně vypnutou (zdá se mi to na nic a akorát to žere RAM)

VIR mi také zakázal firewall ve windows, ale to sem si už opravil.

Člověk se až divní že se tohle může stát s internet expolererem 8, asi to nebude tak bezpečný prohlížeč jak microsoft všude tvrdí

HijackThis mi pořád píše tu chybu, ale log je už čistý (podle me a podle http://www.hijackthis.de/ )

Mám otázku, jako rezidentní štít stačí avira fee a nebo je potřeba další štít (antispyware či tak)? avast tuším i v té free verzi má anti všechno možný
Teď tam mam prozatimně spywareblaster s clamAV

[motji]

Proč si děláte analýzu na Hijackthis.de, když si tu necháváte radit od nás?
Avira s rezidentem stačí, Avast má navíc pouze antispam, ale každému sedí něco jiného. Hlavně odinstalujte zbytečné programy s rezidenty.

Rkill zastaví všechny procesy, takže nebude combofix nic blokovat.

A buďto se budete řídit mými radami a nedělat žádné testy navíc, ztěžujete mi tak práci, nebo si můžete pomoci sám (ale aby to nedopadlo tak, jak když jste tu přišel )


A na tohle se jejich analyzér na Hijackthis.de tvářil jak?
O4 - HKCU\..\Run: [smss32.exe] C:\WINDOWS\system32\smss32.exe

Pc rozhodně čisté není, takže pokud nejste proti, udělejte ten combofix.
Pokud ho skutečně použít nechcete, napište, vymyslím něco jiného.

[HonzaD]

hijackthis.de - Myslel jsem že bych ušetřil váš čas + chtěl jsem si také něco udělat "sám"

raději bych bez combofixu..

Prosí o radu, k čemu složí toto?:
"O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe"
Není to ta proslulá warezová ochrana?


Tady je aktuální log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:02:58, on 10.8.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

...

--

Prošel jsem to jednou, ale zdá se mi to být čistý (nevím tedy co má běžet z těch system32 procesů, ale hijackthis.de si nestěžoval )

Dále bych měl další problém, mám bílou plochu s tlačítkem obnovit active desktop
Když to dám tak to hodí chybu skriptu. (01.png) Nastavení plochy (02.png).
Nepomohlo ani dát výchozí motiv.

A pořád hází tu chybu HijackThis, kterou jsem už posílal výše.
)

Kde bych se dočetl více informací o combofixu v češtině? (co přesně dělá, jak pracuje atd.)

Díky..

[motji]

Jak chcete, ale bude to trošku zdlouhavější postup.

Prosí o radu, k čemu složí toto?:
"O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe"
Není to ta proslulá warezová ochrana?

http://www.processlibrary.com/directory/files/idrivert/


Stahněte MBAM z mého podpisu
-Nainstalujte,dejte úplný sken

NIC NEMAZAT
-MBAM má občas falešné detekce,proto budeme mazat až po kontrole logu.
-Log zkopírujte sem.



Stahněte OTL http://oldtimer.geekstogo.com/OTL.exe
-uložte ho na plochu a spustte soubor OTL.exe.
-do bílého okna dole skopírujte tento skript:

Kód: Vybrat vše

netsvcs
drivers32
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /s
c:\windows\*.* /U
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
symmpi.sys
adp3132.sys
mv61xx.sys
nvraid.sys
ndis.sys
winlogon.exe
explorer.exe
userinit.exe
lsass.exe
svchost.exe
smss.exe
hal.dll
ws2_32.dll
tcpip.sys
cryptsvc.dll
Changer.sys
JakNDis.sys
isapnp.sys
cdrom.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
reg query "HKLM\Software\Microsoft\Windows NT\CurrentVersion\winlogon" /v GinaDLL /c
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv" /v ImagePath /c
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS" /v ImagePath /c
%systemroot%\system32\drivers\*.sys /3
%systemroot%\system32\*.* /3
CREATERESTOREPOINT 

- zaškrtněte okénko Pro všechny uživatele.
-označte okénka Kontrola na havěť "LOP" a Kontrola na havěť "Purity"
- Klikněte na tlačítko Prohledat
-po dokončení skenu se objeví logy OTL.Txt a Extras.txt, vložte je zde



Návod k combofixu v češtině nikde není, neboť si to autor nepřeje. Nemá se používat na vlastní pěst, může Vám poškodit systém. Kromě toho, že automaticky maže soubory, které má v databázi, tak udělá podrobný log, který zkušený rádce vyhodnotí a podle něj určí další postup.

Usnadnovat práci mi nemusíte, ráda se spoléhám sama na sebe . Stačí, když budete dělat jen to, co Vám napíšu, nic víc

[HonzaD]

OLT udělám zítra.

Proč si nedokáží poradit s malwarem i běžné antyspyware nástroje sami (spywaretermnator, SUPERAntiSpyware)
Že by to bylo tím že tvůrci antimalware spolu nespolupracují v rámci zachování konkurence či obchodního modelu?

Kde rádcové berou postupy a může se stát že i po jejich radách zbude nějaká havěť?
Jaká je motivace? Příjemný pocit z dobře vykonané práce či poděkování vlastníka zavirovaného PC?

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Verze databáze: 4420

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

12.8.2010 5:33:58
mbam-log-2010-08-12 (05-33-58).txt

Typ skenu: Úplný sken (C:\|D:\|E:\|)
Skenované objekty: 591411
Uplynulý čas: 3 hodina(y), 13 minuta(y), 29 sekunda(y)

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 0
Infikované hodnoty registru: 0
Infikované datové položky registru: 3
Infikované složky: 0
Infikované soubory: 13

Infikované procesy v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované moduly v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované klíče registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované hodnoty registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované datové položky registru:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Infikované složky:
(Žádné škodlivé položky nebyly zjištěny)

Infikované soubory:
C:\Documents and Settings\AzNoH\temp\TeamViewer3\TeamViewer_.exe (Trojan.Backdoor) -> No action taken.
C:\Honza\download\BPSSR.EXE (Rogue.BulletProofSpyware) -> No action taken.
C:\Honza\download\totalcopy11.exe (Trojan.FlashKiller) -> No action taken.
C:\Honza\download\hfs.exe (Application.ServerHTTP) -> No action taken.
C:\Honza\download\TeamViewer3.5.4011.exe (Trojan.Backdoor) -> No action taken.
C:\Documents and Settings\AzNoH\Data aplikací\avdrn.dat (Malware.Trace) -> No action taken.
C:\Documents and Settings\AzNoH\Data aplikací\wiaserva.log (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\ES15.exe (Rogue.SecurityEsssentials) -> No action taken.
C:\WINDOWS\system32\helpers32.dll (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\irunin.bmp (Malware.Trace) -> No action taken.
C:\WINDOWS\irunin.dat (Malware.Trace) -> No action taken.
C:\WINDOWS\irunin.ini (Malware.Trace) -> No action taken.
C:\WINDOWS\irunin.lng (Malware.Trace) -> No action taken.

[motji]

Používáte Teamviewer3? Pokud ne, tak v mbamu vše smažte.
Pokud ano, tak na www.virustotal.com otestujte
C:\Honza\download\TeamViewer3.5.4011.exe


K Vaším otázkám.
Virů je velmi mnoho, každý den je jich spoustu nových...antivirovým společnostem chvilku trvá, než je zařadí do databáze. Spousta virů neustále mutuje, takže je antivir prostě v databázi nemá. Spousta virů s eumí tak dokonale maskovat, že je běžný antivir prostě neodhalí.

Kde rádcové berou postupy a může se stát že i po jejich radách zbude nějaká havěť?

Praxe a google
Stát se to může. Do pc nevidíme, nesedíme u něj. Musíme se spoléhat na logy, informace od uživatele, intuici, zkušenosti. On Vám vir v pc může zůstat i po odvirování v servise....

[HonzaD]

Používáte Teamviewer3? Pokud ne, tak v mbamu vše smažte.
Pokud ano, tak na http://www.virustotal.com otestujte
C:\Honza\download\TeamViewer3.5.4011.exe


K Vaším otázkám.
Virů je velmi mnoho, každý den je jich spoustu nových...antivirovým společnostem chvilku trvá, než je zařadí do databáze. Spousta virů neustále mutuje, takže je antivir prostě v databázi nemá. Spousta virů s eumí tak dokonale maskovat, že je běžný antivir prostě neodhalí.

Kde rádcové berou postupy a může se stát že i po jejich radách zbude nějaká havěť?

Praxe a google
Stát se to může. Do pc nevidíme, nesedíme u něj. Musíme se spoléhat na logy, informace od uživatele, intuici, zkušenosti. On Vám vir v pc může zůstat i po odvirování v servise....

Teamviewer 3
http://www.virustotal.com/file-scan/rep ... 1281619367

A
C:\Honza\download\totalcopy11.exe (Trojan.FlashKiller) -> No action taken.
http://www.virustotal.com/file-scan/rep ... 1281619606

C:\Honza\download\hfs.exe (Application.ServerHTTP) -> No action taken.
To píšou že je http server, což je (chci zachovat..)

A bpssr.exe je Spybot - Search & Destroy

Dem mazat registry, ať mi fachá active desktop? (nebo nefachá, ale hlavně ať tam není ta bílá chyba )