VIRY.CZ

Mám ten dojem, že se honíme za nějakou chimérou. Toho vira ukazuje jen Avast, všechny ostatní utility jsou zticha.

jsem z toho špatnej,hlavně,když tomu ještě moc nerozumím.před 10 dny jsem zkoušel nainstalovat avast 5,když jsem zjistil,že je to v ang.,přepsala se mi ta 4,tak jsem ji stahnul znova,za pár dní mi to začlo ten vir ukazovat.nemohl jsem něco udělat špatně?mám zkusit jiný antivir?

AVP je de facto Kaspersky a nenašel ho. Opravdu mi to připadá, že je to chiméra. Nic ho nenajde, není vidět přesto, že to není rootkit, nelze ho otestovat na virustotal, hlásí ho jenom Avast a odstřelit se nedá. Můžete v podstatě zkusit jakýkoli antivir. Po instalaci musíte mu ale vypnout rez. štít.

üž vím,jak na virus total,tohle mi ukázal,a taky nevím co je to chiméra,tak sorry.tohle je ta analýzaSrpski | Македонски | العربية | Suomi | ihMdI | | עברית | | Slovenščina | Dansk | Русский | Română | Türkçe | Nederlands | Ελληνικά | Français | Svenska | Português | Italiano | | | Magyar | Deutsch | Polski | Español | English
Virustotal je služba, která analyzuje podezřelé soubory na přítomnost virů, červů, trojanů a dalšího malware, pomocí detekčního jádra mnoha antivirů. Více informací...
AnalýzaHledání součtůStatistikyEmail/UploaderO VT

Soubor Not available, prior to VT database update přijatý 2009.01.15 13:29:00 (UTC)
Současný stav: Dokončeno

Výsledek: 2/36 (5.56%)
Formátované Vytisknout výsledky Antivirus Verze Poslední aktualizace Výsledek
AhnLab-V3 - - -
AntiVir - - HTML/Crypted.Gen
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - -
Fortinet - - -
GData - - -
Ikarus - - -
K7AntiVirus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32 - - -
Norman - - -
Panda - - -
PCTools - - -
Prevx1 - - -
Rising - - -
SecureWeb-Gateway - - Heuristic.Script.Crypted
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
TrendMicro - - -
VBA32 - - -
ViRobot - - -
VirusBuster - - -
Rozšiřující informace
File size: 15374425 bytes
MD5 : 9f0f28181d7e0ea8b146b186415b0108
SHA1 : bd21a3c07a7c33179f7589e845a10b305d4e4e74
SHA256: f56992bbc681716b121ce66dcf8ab3015028d8b4c1ce74d36b1c5d5825d74027
TrID : File type identification
Warning: file seems to be plain text/ASCII
TrID is best suited to analyze binary files!
Unknown!
ssdeep: 24576:1nCk6of2aBVK1xAeJsPEPMxeVxBfHorhik9o33J4J0G0FLOWts8YrmEtwAtln368:i2N
PEiD : -
RDS : NSRL Reference Data Set
-


VAROVÁNÍ: VirusTotal je služba poskytovaná zdarma společnosti Hispasec Sistemas. Kvalita výsledků není nijak zaručena. Výsledky jsou závislé na tvůrci daného produktu. Vysledky testů nemusí být 100% správné. Tyto výsledky nemusí znamenat, že daný soubor je infikován, nebo čistý!

VirusTotal © Hispasec Sistemas - Blog - Kontakt: info@virustotal.com - Terms of Service & Privacy Policy

Tak ho zkuste odstřelit Combofixem:

Skript:

Collect::
C:/WINDOWS/TEMP/CLAMAV-86e551538 JS:Script SH-inf

Teď je PC naprosto čistý (až na tento soubor) a není v něm tedy nic, co by ho mohlo obnovit. Dosud jste mi také neodpověděl, zda jste měl někdy něco v PC od ClamAntivirus. Zajímavé je, ža na VT ho Avast považuje za čistý a za infekci ho označují pouze 2 antiviry. nechce se mi moc věřit, že se opravdu jedná o virus.

cf jsem ještě nezkusil,ale už asi vím,kde je problém.zapnu pc a v souboru windows/templ naběhne vir,ale po krátkém čase se ta složka ztratí,sama,proto to nikdo nemuže potom najít

Opravdu zjímavé. Tohle jsem ještě neviděl a ani se to tu snad nikdy neřešilo. Nechápu potom, co může virus v PC dělat, když se po čase sám ztratí. Nemám tušení, co s tím. Do třetice otázka: Měl jste někdy v PC nějaký program od ClamAntivirus? Název souboru tomu totiž nasvědčuje.

toto je te n log z cfComboFix 10-02-01.01 - Pavel 06.02.2010 21:13:02.5.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.420.1029.18.2047.1583 [GMT 1:00]
Spuštěný z: c:\documents and settings\Pavel\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Pavel\Plocha\CFScript.txt
AV: avast! antivirus 4.8.1368 [VPS 100206-1] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((( Soubory vytvořené od 2010-01-06 do 2010-02-06 )))))))))))))))))))))))))))))))
.

2010-02-03 19:19 . 2010-02-03 19:19 -------- d-----w- c:\windows\system32\wbem\Repository
2010-02-01 13:49 . 2010-02-01 13:49 -------- d-----w- C:\rsit
2010-01-27 14:42 . 2010-01-27 14:43 -------- d-----w- c:\windows\system32\NtmsData
2010-01-23 19:53 . 2010-01-23 19:56 -------- d-----w- c:\program files\JPEG Resampler
2010-01-19 14:16 . 2010-01-19 19:37 -------- d-----w- c:\program files\Vietcong

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-06 20:04 . 2008-10-28 10:33 -------- d-----w- c:\program files\Spyware Terminator
2010-02-06 16:55 . 2008-04-14 12:00 163644 ----a-w- c:\windows\system32\drivers\secdrv.sys
2010-02-06 16:40 . 2008-10-28 10:39 -------- d-----w- c:\program files\WinClamAVShield
2010-02-02 18:49 . 2009-02-20 14:38 -------- d-----w- c:\program files\DAEMON Tools Lite
2010-02-02 18:48 . 2008-11-29 13:46 -------- d-----w- c:\program files\DAEMON Tools Toolbar
2010-02-01 15:08 . 2008-10-28 10:24 -------- d-----w- c:\program files\Alwil Software
2010-01-21 10:35 . 2009-03-03 16:10 -------- d-----w- c:\program files\Microsoft Silverlight
2010-01-19 11:57 . 2010-01-25 16:41 38848 ----a-w- c:\windows\system32\ava7.tmp
2010-01-19 11:57 . 2010-01-25 16:41 152672 ----a-w- c:\windows\system32\asw6.tmp
2010-01-18 17:25 . 2009-02-20 19:11 -------- d-----w- c:\program files\Cesta kolem světa za 80 dní
2010-01-04 17:30 . 2008-10-28 10:10 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-01-03 12:07 . 2009-01-22 14:39 -------- d-----w- c:\program files\Activision
2009-12-31 14:39 . 2009-12-30 12:43 -------- d-----w- c:\program files\Cesta do středu Země
2009-12-30 12:54 . 2009-12-30 12:50 -------- d-----w- c:\program files\Ankh
2009-12-29 07:27 . 2009-08-13 15:48 -------- d-----w- c:\program files\Ubisoft
2009-12-28 08:01 . 2009-12-28 07:49 -------- d-----w- c:\program files\FlatOut2
2009-12-26 18:15 . 2008-11-11 17:58 -------- d-----w- c:\program files\Google
2009-12-21 19:08 . 2008-04-14 12:00 916480 ------w- c:\windows\system32\wininet.dll
2009-12-16 20:39 . 2008-10-31 19:57 -------- d-----w- c:\program files\Common Files\Adobe
2009-12-15 18:30 . 2009-12-15 18:30 -------- d-----w- c:\program files\Terasoft
2009-12-14 09:32 . 2009-11-30 17:58 -------- d-----w- c:\program files\The KMPlayer
2009-12-10 11:09 . 2008-04-14 12:00 78030 ----a-w- c:\windows\system32\perfc005.dat
2009-12-10 11:09 . 2008-04-14 12:00 429018 ----a-w- c:\windows\system32\perfh005.dat
2009-12-09 20:17 . 2009-04-16 16:23 -------- d-----w- c:\program files\Hypermax
2009-11-30 17:50 . 2008-11-29 13:44 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-11-24 23:54 . 2008-10-28 10:24 1280480 ------w- c:\windows\system32\aswBoot.exe
2009-11-24 23:51 . 2008-10-28 10:24 93424 ------w- c:\windows\system32\drivers\aswmon.sys
2009-11-24 23:50 . 2008-10-28 10:24 94160 ------w- c:\windows\system32\drivers\aswmon2.sys
2009-11-24 23:50 . 2008-10-29 14:08 114768 ------w- c:\windows\system32\drivers\aswSP.sys
2009-11-24 23:50 . 2008-10-29 14:08 20560 ------w- c:\windows\system32\drivers\aswFsBlk.sys
2009-11-24 23:49 . 2008-10-28 10:24 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-11-24 23:48 . 2008-10-28 10:24 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-11-24 23:47 . 2008-10-28 10:24 27408 ------w- c:\windows\system32\drivers\aavmker4.sys
2009-11-24 23:47 . 2008-10-28 10:24 97480 ------w- c:\windows\system32\AVASTSS.scr
2009-11-21 16:03 . 2008-04-14 12:00 471552 ----a-w- c:\windows\AppPatch\aclayers.dll
.

((((((((((((((((((((((((((((( SnapShot@2010-02-01_18.28.13 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-02-06 20:19 . 2010-02-06 20:19 16384 c:\windows\Temp\Perflib_Perfdata_5c0.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2007-07-18 451872]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-06-01 153136]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-11-20 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-01-03 13508608]
"nwiz"="nwiz.exe" [2008-01-03 1626112]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-01-03 86016]
"RTHDCPL"="RTHDCPL.EXE" [2007-03-21 16126464]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864]
"36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2007-03-21 1953792]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"SpywareTerminator"="c:\program files\Spyware Terminator\SpywareTerminatorShield.exe" [2008-10-28 1783808]
"ISUSPM Startup"="c:\program files\Common Files\InstallShield\UpdateService\isuspm.exe" [2005-08-11 249856]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2006-03-20 86960]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Media Key.lnk - c:\program files\Media Key\MagicKey.exe [2008-12-3 159744]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=
"c:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=
"c:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=
"c:\\Program Files\\Electronic Arts\\Medal of Honor Airborne\\UnrealEngine3\\Binaries\\MOHA.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);c:\windows\system32\drivers\sfdrv01a.sys [5.7.2006 13:46 63352]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [29.10.2008 15:08 114768]
R1 kbfilter;Keyboard Filter Driver;c:\windows\system32\drivers\kbfilter.sys [3.12.2008 18:52 12856]
R1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [28.10.2008 11:33 141312]
R1 UsbFltr;WayTechUSBFilterDriver;c:\windows\system32\drivers\UsbFltr.sys [3.12.2008 18:52 9291]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [29.10.2008 15:08 20560]
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\atl01_xp.sys [28.10.2008 11:13 38656]
S2 gupdate1c9a3e9afe29ca;Google Update Service (gupdate1c9a3e9afe29ca);c:\program files\Google\Update\GoogleUpdate.exe [13.3.2009 15:36 133104]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [29.11.2008 14:44 691696]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-07-18 16:53 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Obsah adresáře 'Naplánované úlohy'

2010-02-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-03-13 14:36]

2010-02-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-03-13 14:36]

2010-02-06 c:\windows\Tasks\User_Feed_Synchronization-{5FC305F7-AF0E-4BD5-B765-136A4FE291E0}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 03:31]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
uInternet Connection Wizard,ShellNext = iexplore
IE: Crawler Search - tbr:iemenu
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
Handler: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - c:\progra~1\Crawler\Toolbar\ctbr.dll
DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://212.158.133.188/activex/AMC.cab
FF - ProfilePath - c:\documents and settings\Pavel\Data aplikací\Mozilla\Firefox\Profiles\1klnrolo.default\
FF - prefs.js: browser.search.selectedEngine - DAEMON Search
FF - prefs.js: browser.startup.homepage - hxxp://www.daemon-search.com/startpage|http:// ... s:official
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-06 21:19
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll prosync1.sys >>UNKNOWN [0x89DEE900]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xba91cf28
\Driver\ACPI -> ACPI.sys @ 0xba77fcb8
\Driver\atapi -> prosync1.sys @ 0xbadae6c1
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Attansic L1 Gigabit Ethernet 10/100/1000Base-T Controller -> SendCompleteHandler -> NDIS.sys @ 0xba605bb0
PacketIndicateHandler -> NDIS.sys @ 0xba612a21
SendHandler -> NDIS.sys @ 0xba5f087b
user & kernel MBR OK

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'explorer.exe'(3348)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\windows\system32\RUNDLL32.EXE
c:\windows\RTHDCPL.EXE
c:\windows\system32\nvsvc32.exe
c:\program files\Spyware Terminator\sp_rsser.exe
c:\program files\Windows Media Player\WMPNetwk.exe
c:\program files\Media Key\OSD.EXE
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\program files\Common Files\Ahead\Lib\NMIndexingService.exe
c:\program files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
.
**************************************************************************
.
Celkový čas: 2010-02-06 21:23:01 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-02-06 20:22
ComboFix2.txt 2010-02-04 22:24
ComboFix3.txt 2010-02-02 20:58
ComboFix4.txt 2010-02-01 20:07
ComboFix5.txt 2010-02-06 20:08

Před spuštěním: Volných bajtů: 169 599 004 672
Po spuštění: Volných bajtů: 169 627 312 128

- - End Of File - - D0B465C729B167303ADD8783954F50AA
já jsem ten pc dostal v létě 2008 vytuněnej od známého,hned jsem tam dal avast a st,tak nevím jestli tam něco bylo,ale od té doby je to pořád stejné,začalo to ukazovat až ted před týdnem,bud po zrychlení internetu nebo po přeinstalování avastu

Toto smažte z disku:

c:\program files\WinClamAVShield

Dále podle návodu: http://www.viry.cz/forum/viewtopic.php?f=15&t=2791 smažte vše, co má v sobě řetězec ClamAV. Bude to patně zbytek po ClamAntivirus.

to se omlouvám,,budu potřebovat pomocprotože vubec netuším,co dávat za slova,vyberu klíč HCU,ale jak to přejmenovat a co dál, už je na mně asi moc,

Otevřete Regedit>úpravy>najít. Pak zadáte "ClamAV" (bez uvozovek)>Enter. Po nálezu klíče stisknete >Delete<, potvrdíte, pak F3 a celé se to bude opakovat. Takto pokračujte, dokud se neobjeví hláška, že prohledávání bylo skončeno.

děkuji,zatím to vypadá dobře,vir nenaběh,ale ten WinClamAVShields mi nejde vymazat,ukazuje mi to ,že je používán jiným programem a nevím,jak ho vypnout

Pokud vir nenabíhá, nechte to tak. Ne všechny klíče se dají vymazat.

díky moc,hodně jste mi pomohl,dost jem si oddechl

Nemáte zač! I když si myslím, že to byl jen nějaký zbytek po CLAMu.