VIRY.CZ

Combofix mi zahlásil aktivitu rootkitu a vyžadoval restart PC, to proběhlo ale žádný log od combofixu na Cčku najít nemůžu

Mel by byt tady C:\ComboFix.txt a je to normalne poznamkovy blok. Bez logu toho moc nenadelam.


Zkuste jeste udelat sken s AVPTool http://forum.viry.cz/viewtopic.php?f=29&t=58179

AVP Tool byl ukončen z důvodu ochrany počítače nebo tak něco mi vyskočilo během scanu a program se ukončil a Combofix žádný log opravdu nevytvořil na Cčku jsou logy od tds killeru a adw cleaneru ale combofix tam není.

našel jsem v program files uninstall soubor k těm megacodeks po kterých mě začal počítač zlobit. Mám zkusit ten uninstal spustit?

Lemur píše:našel jsem v program files uninstall soubor k těm megacodeks po kterých mě začal počítač zlobit. Mám zkusit ten uninstal spustit?

Zkuste.



Zkuste AVPTool spustit v nouzovem rezimu

log z avptool:

Status: Detected (events: 4)
29.12.2012 17:48:56 Detected Trojan program Trojan.Win32.Genome.ahsuw C:\Documents and Settings\Michal Posvar\TNod 1.4.2.1 Final.rar//TNod 1.4.2.1 Final/TNod-1.4.2.1-final-setup.exe//TNODUP.exe High
29.12.2012 18:27:08 Detected Trojan program Trojan.Win32.Genome.ahsuw C:\Documents and Settings\Public\TNod 1.4.2.1 Final.rar//TNod 1.4.2.1 Final/TNod-1.4.2.1-final-setup.exe//TNODUP.exe High
29.12.2012 19:09:41 Detected Trojan program Trojan.Win32.Genome.ahsuw C:\Users\Michal Posvar\TNod 1.4.2.1 Final.rar//TNod 1.4.2.1 Final/TNod-1.4.2.1-final-setup.exe//TNODUP.exe High
29.12.2012 19:40:19 Detected Trojan program Trojan.Win32.Genome.ahsuw C:\Users\Public\TNod 1.4.2.1 Final.rar//TNod 1.4.2.1 Final/TNod-1.4.2.1-final-setup.exe//TNODUP.exe High

mám zkusit spustit znovu ten combofix?

Ano. Spustte ho v nouzovem rezimu.

Během scanu mi vyskočilo okno:

You are infected with Rootkit.ZeroAccess! It has inserted itself into the tcp/ip stack. This is particularly difficult infection. ....zbytek jsem nestačil opsat poté okno zmizelo. pak vyskočilo jeste jedno okno o detekci rootkitu to jsem potvrdil a poté vyskočilo jeste další a tam bylo Combofix detekoval přítomnost aktivity rootkitu a vyžaduje restart počítače. po potrvrzení OK se pc restartuje a po restartu uz combofix nenabehne.

Combofix jsem spouštěl v nouzovém režimu bez možnosti připojení k síti

Postupujte podle navodu kolegy

vyosek píše: Stahnete Malwarebytes Anti-Rootkit http://www.bleepingcomputer.com/downloa ... i-rootkit/

• Ulozte nejlepe na Plochu a rozbalte
• Spustte kliknutim na mbar
• Nyni postupne kliknete na Next a Update
• Po dokonceni update (aktualizace) databaze kliknete opet na Next
• Nechte zaskrtnute vsechny tri moznosti a klinete na Scan cimz spustite prohledavani PC
• Po dokonceni skenu (cca 5 minutek) zkontrolujte, zda-li je u vsech nalezu (samozrejme pokud budou) zatrzitko
• Tez zkontrolujte, jetsli je zatrzitko u Create Restore point
• Nyni kliknete na CleanUp cimz nalezenou infekci odstranime
• PC bude restartovan
• Slozka mbar by mela obsahovat log (a zrejme se i sam otevre) mbar-log-rok-mesic-den (hodina-minuta-sekunda).txt, ten mi sem dejte

Malwarebytes Anti-Rootkit 1.01.0.1011
www.malwarebytes.org

Database version: v2012.12.29.11

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Michal Posvar :: MICHALPOSVAR [administrator]

30.12.2012 0:36:47
mbar-log-2012-12-30 (00-36-47).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 31319
Time elapsed: 19 minute(s), 49 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 3
C:\Windows\$NtUninstallKB15850$\4058696704\L (Backdoor.0Access) -> Delete on reboot.
C:\Windows\$NtUninstallKB15850$\4058696704\U (Backdoor.0Access) -> Delete on reboot.
C:\Windows\$NtUninstallKB15850$\4058696704 (Backdoor.0Access) -> Delete on reboot.

Files Detected: 0
(No malicious items detected)

(end)

Jeste jeden navod od kolegy si pujcim

vyosek píše: Stahnete RKill http://download.bleepingcomputer.com/grinler/rkill.com

• Pokud ho havet blokuje, pouzijte jeden z nasledujicich - i ty prejmenovane

  Rkill EXE:
  http://download.bleepingcomputer.com/grinler/rkill.exe
  
  Rkill iExplore.exe:
  http://download.bleepingcomputer.com/gr ... xplore.exe
  
  Rkill uSeRiNiT.exe:
  http://download.bleepingcomputer.com/gr ... eRiNiT.exe
  
  Rkill WiNlOgOn.exe:
  http://download.bleepingcomputer.com/gr ... NlOgOn.exe

• Ulozte nejlepena plochu a ukoncete vsechny aplikace (jinak to udela RKill za Vas)
• Spustte tradicne dvojklikem - program probehne do par sekund a ukonci i svou cinnost
• RKill ukonci vsechny ne-systemove procesy - tedy i procesy, pod kterymi bezi havet
• Na plose vznikne log Rkill.txt ten mi sem vlozte
• Ted nerestartujte PC - prisli byste o ucinek RKillu

Pokud je zapnuty, vypnete antivir i dalsi pripadne zabezpeceni.
Spustte ComboFix jako spravce (kliknete na ComboFix pravym mysidlem a levym na Spustit jako spravce
Odsouhlaste licencni podminky a nechte program pracovat. Jestli vam nabidne instalaci Konzoly pro zotaveni, souhlaste.
Po dobu skenu nic nespoustejte, nikam neklikejte.
Po dokonceni skenovani (muze dojit i k restartu pc) by se mel vytvorit log, ktery bude umisteny zde C:\ComboFix.txt
Jeho obsah sem zkopirujte

Kdyby po restartu nenabehl windows, restartujte znovu, mackejte klavesu F8 a zvolte - Posledni znama funkcni konfigurace
Kdyz windows nabehne, ale pri spousteni programu bude hlasena chyba, staci restartovat pc a bude to v poradku

Tady je výsledek Rkillu:

Rkill 2.4.5 by Lawrence Abrams (Grinler)
http://www.bleepingcomputer.com/
Copyright 2008-2012 BleepingComputer.com
More Information about Rkill can be found at this link:
http://www.bleepingcomputer.com/forums/topic308364.html

Program started at: 12/30/2012 10:58:47 AM in x86 mode.
Windows Version: Windows Vista (TM) Home Premium Service Pack 2

Checking for Windows services to stop:

* No malware services found to stop.

Checking for processes to terminate:

* No malware processes found to kill.

Checking Registry for malware related settings:

* No issues found in the Registry.

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

Performing miscellaneous checks:

* No issues found.

Checking Windows Service Integrity:

* Windows Defender (WinDefend) is not Running.
Startup Type set to: Manual

* Ovladač ověření brány firewall systému Windows (mpsdrv) is not Running.
Startup Type set to: Manual

* iphlpsvc [Missing Service]

* MpsSvc [Missing ImagePath]

Searching for Missing Digital Signatures:

* No issues found.

Checking HOSTS File:

* HOSTS file entries found:

127.0.0.1 localhost

Program finished at: 12/30/2012 10:59:04 AM
Execution time: 0 hours(s), 0 minute(s), and 17 seconds(s)

Combofix spustím ale vyskočí pouze první okno kde běží text se zeleným písmem poté ještě vyskočí to druhé okno kde se něco načítá ale to modré okno se scanem už se nespustí

Zkuste tedy CF spustit jeste jednou v nouzovem rezimu. MBAM neco smazlo, tak treba uz tentokrat dojede

to samé se děje v nouzovém režimu combofix scan vůbec nenaběhne povolil jsem u combofixu dnes aktualizaci nemůže být problém v tom?

V tom urcite problem nebude. CF obcas s Vistou nespolupracuje, ale obavam se, ze to stale blokuje ten 0Access. Je to pekna svine. Je jich taky vic druhu a vy jste si teda fakt umel vybrat.


Stahnete MBRScan http://eric71.geekstogo.com/tools/MbrScan.exe , ulozte ho na plochu a spustte jako spravce.
Kliknete na Report
Za chvili vyskoci log s nazvem MBRScan.txt, ten mi sem zkopirujte