Odvirování PC, zrychlení počítače, vzdálená pomoc prostřednictvím služby neslape.cz

NOD - TrojanDownloader.Small

Máte problém s virem? Vložte sem log z FRST nebo RSIT.

Moderátor: Moderátoři

Pravidla fóra
Pokud chcete pomoc, vložte log z FRST [návod zde] nebo RSIT [návod zde]

Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.

!NOVINKA!
Nově lze využívat služby vzdálené pomoci, kdy se k vašemu počítači připojí odborník a bližší informace o problému si od vás získá telefonicky! Více na www.neslape.cz
Odpovědět
Zpráva
Autor
MiliNess
Přítel fóra
Přítel fóra
Příspěvky: 4144
Registrován: 15 říj 2009 18:15
Bydliště: Cheb

Re: NOD - TrojanDownloader.Small

#76 Příspěvek od MiliNess »

Data která se zobrazují v přidat odebrat programy jsou v klíči registru
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall.
Pomocí regeditu už tam příslušné klíče dohledáte.
Pokud ale odinstalování proběhlo nekorektně, je nejlepší aplikaci znovu nainstalovat a pak odinstalovat. Jen samotná aplikace ví (většinou :) ), co si do registru uložila a co má taky odebrat. Je možné použít i některé čističe registrů, ty nemusí ale odebrat vše co tam po aplikaci zbylo nebo naopak mohou odebrat i něco na víc.
Navíc bych řekl, že ty vaše problémy budou mít souvislost právě s těmi Ofisy.


Ještě k té infekci. Možná by zatím nebylo od věci stáhnout si třeba RootkitRevealer
http://technet.microsoft.com/en-us/sysi ... 97445.aspx a spustit scan, ať víme, jestli je tam nějaké svinstvo, které zahákovalo ten ovladač.
Pokud jste s naší pomocí spokojeni, můžete nás podpořit. Informace zde

Uživatelský avatar
motji
VIP
VIP
Příspěvky: 23302
Registrován: 23 říj 2008 08:02

Re: NOD - TrojanDownloader.Small

#77 Příspěvek od motji »

Dobré ranko na Moravu:)

:arrow: zkoušel jste office přes ten revo uninstaller? JInak zkuste co psal kolega, nainstalovat je znovu a pak odinstalovat :)

:arrow: otestujte na http://www.virustotal.com
c:\windows\system32\drivers\ntfs.sys

:arrow: pokud jste ještě nepoužil rootkit revealer, udělejte sken gmerem
:arrow: Stáhněte Gmer http://www.viry.cz/forum/viewtopic.php?f=29&t=62878
- rozbalte a spusťte
-proběhne sken, po skončení se otevře okno s výsledky, klikněte na Save a tím si uložíte log,který sem vložíte

-Podle návodu v odkazu provedete druhý sken a log sem také vložíte.

Pokud už jste revaver použil, poprosím o log z něj :)

:arrow: nemáte problémy s Nodem? Funguje jak má?

:arrow: Stahněte OTL http://oldtimer.geekstogo.com/OTL.exe
-uložte ho na plochu a spustte soubor OTL.exe.
:arrow: Spusťte Otl,
-všechno odoznačte - nebo dejte na none.
- nastavte file created a file modified... na File age.
- do bílého pole zkopirujte tento skript:


Kód: Vybrat vše

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /s
c:\windows\*.* /U
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
ndis.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
/md5stop
c:\windows\*.* /JN
c:\windows\*.* /HL
c:\windows\*.* /RP
-klikněte na run scan
-objeví se log, zkopírujte ho zde :)
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data :!:
Chcete podpořit naše forum? Informace zde

Obrázek

K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.

xxmejla
Návštěvník
Návštěvník
Příspěvky: 89
Registrován: 29 pro 2009 02:24
Bydliště: HANÁÁÁ

Re: NOD - TrojanDownloader.Small

#78 Příspěvek od xxmejla »

MiliNess píše:Data která se zobrazují v přidat odebrat programy jsou v klíči registru

Pomocí regeditu už tam příslušné klíče dohledáte.
Pokud ale odinstalování proběhlo nekorektně, je nejlepší aplikaci znovu nainstalovat a pak odinstalovat. Jen samotná aplikace ví (většinou :) ), co si do registru uložila a co má taky odebrat. Je možné použít i některé čističe registrů, ty nemusí ale odebrat vše co tam po aplikaci zbylo nebo naopak mohou odebrat i něco na víc.
Navíc bych řekl, že ty vaše problémy budou mít souvislost právě s těmi Ofisy.


Ještě k té infekci. Možná by zatím nebylo od věci stáhnout si třeba RootkitRevealer
http://technet.microsoft.com/en-us/sysi ... 97445.aspx a spustit scan, ať víme, jestli je tam nějaké svinstvo, které zahákovalo ten ovladač.
Dobré ráno - ten registr jsem zkusil již včera - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall...ale ty klíče tam nejsou :?:
projížděl jsem to RevoUninstallerem tak je možné že jsem je vymazal :roll: zkoušel jsem to instalačkou opravit,odinstalovat i nainstalovat,ale vše bylo neůspěšné..ale můžu se o to pokusit po práci ještě jednou,je fakt že po tom pročištění zbytků souboru RevoUninstaller, jsem to už nezkusil..
ten RootkitRev. taky vyzkouším...zatím děkuji za rady a trpělivost :wink:

xxmejla
Návštěvník
Návštěvník
Příspěvky: 89
Registrován: 29 pro 2009 02:24
Bydliště: HANÁÁÁ

Re: NOD - TrojanDownloader.Small

#79 Příspěvek od xxmejla »

motji píše:Dobré ranko na Moravu:)

:arrow: zkoušel jste office přes ten revo uninstaller? JInak zkuste co psal kolega, nainstalovat je znovu a pak odinstalovat :)

:arrow: otestujte na http://www.virustotal.com
c:\windows\system32\drivers\ntfs.sys

:arrow: pokud jste ještě nepoužil rootkit revealer, udělejte sken gmerem
:arrow: Stáhněte Gmer http://www.viry.cz/forum/viewtopic.php?f=29&t=62878
- rozbalte a spusťte
-proběhne sken, po skončení se otevře okno s výsledky, klikněte na Save a tím si uložíte log,který sem vložíte

-Podle návodu v odkazu provedete druhý sken a log sem také vložíte.

Pokud už jste revaver použil, poprosím o log z něj :)

:arrow: nemáte problémy s Nodem? Funguje jak má?

:arrow: Stahněte OTL http://oldtimer.geekstogo.com/OTL.exe
-uložte ho na plochu a spustte soubor OTL.exe.
:arrow: Spusťte Otl,
-všechno odoznačte - nebo dejte na none.
- nastavte file created a file modified... na File age.
- do bílého pole zkopirujte tento skript:


Kód: Vybrat vše

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /s
c:\windows\*.* /U
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
ndis.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
/md5stop
c:\windows\*.* /JN
c:\windows\*.* /HL
c:\windows\*.* /RP
-klikněte na run scan
-objeví se log, zkopírujte ho zde :)
Zdravíčko -
:arrow: tak RevoUninstaller jsem zkusil,ale právě tím jsem možná vymazal i ty klíče v registru :arcisit: pokusím se dnes ještě jednou o tu instalaci..
:arrow: scan Gmer provedu a log vložím
:arrow: pokud jde o Nod - problémy :???: To netuším ani jak zjistit zda funguje jak má..vím že se pravidelně aktualizuje,že tam běží jen AMON, a že se spouští se systémem - ani netuším jak by měl fungovat a jak se to zjišťuje.. :o
:arrow: To OTL -sqamozřejmě provedu a log dodám :)
:arrow: revaver jsem ještě nepoužil a asi ani nepoužiji,když mám dát ten scan Gmer..že? :o

Tak po práci provedu vše dle vašich rad a pak budu netrpělivě čekat co se mnou provedete dál..zatím přeji hezký den..

Uživatelský avatar
motji
VIP
VIP
Příspěvky: 23302
Registrován: 23 říj 2008 08:02

Re: NOD - TrojanDownloader.Small

#80 Příspěvek od motji »

:arrow: Raději bych Gmer :) , možná na revaver možná také dojde :o
:arrow: Můžete Nod odinstalovat? vypněte ho a pak třeba odinstalujte přes Revo uninstaler, mám trošku pocit, jestli také není napaden..ale možná se pletu :o
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data :!:
Chcete podpořit naše forum? Informace zde

Obrázek

K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.

xxmejla
Návštěvník
Návštěvník
Příspěvky: 89
Registrován: 29 pro 2009 02:24
Bydliště: HANÁÁÁ

Re: NOD - TrojanDownloader.Small

#81 Příspěvek od xxmejla »

motji píše::arrow: Raději bych Gmer :) , možná na revaver možná také dojde :o
:arrow: Můžete Nod odinstalovat? vypněte ho a pak třeba odinstalujte přes Revo uninstaler, mám trošku pocit, jestli také není napaden..ale možná se pletu :o

:o njn..odinstalovat ho můžu..pak ho znovu nainstaluju..
:arrow:ale zatím mi -po tom co jsem vymazal ty exe soubory nic dalšího nehlásí.. :roll:
:( ale dostanu se ke všem ůkonům až po 15hodině..

Uživatelský avatar
motji
VIP
VIP
Příspěvky: 23302
Registrován: 23 říj 2008 08:02

Re: NOD - TrojanDownloader.Small

#82 Příspěvek od motji »

To je v pořádku, já tu občas nakouknu a jinak tu budu až večer po půl9 nejdřív :)
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data :!:
Chcete podpořit naše forum? Informace zde

Obrázek

K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.

xxmejla
Návštěvník
Návštěvník
Příspěvky: 89
Registrován: 29 pro 2009 02:24
Bydliště: HANÁÁÁ

Re: NOD - TrojanDownloader.Small

#83 Příspěvek od xxmejla »

Tady je test toho ovladače z total virus: výsledek o

http://www.virustotal.com/cs/analisis/0 ... 1263912646



:arrow: ZDE Log. 1 z GMER:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-01-19 15:59:19
Windows 5.1.2600 Service Pack 2
Running: gmer.exe; Driver: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\uwtyapoc.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs amon.sys (Amon monitor/Eset)
AttachedDevice \FileSystem\Fastfat \Fat amon.sys (Amon monitor/Eset)
AttachedDevice \Driver\Tcpip \Device\Ip fwdrv.sys (Kerio Technologies)
AttachedDevice \Driver\Tcpip \Device\Ip ntkrnlpa.exe (NT Kernel & System/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp fwdrv.sys (Kerio Technologies)
AttachedDevice \Driver\Tcpip \Device\Tcp ntkrnlpa.exe (NT Kernel & System/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\Udp fwdrv.sys (Kerio Technologies)
AttachedDevice \Driver\Tcpip \Device\Udp ntkrnlpa.exe (NT Kernel & System/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp fwdrv.sys (Kerio Technologies)
AttachedDevice \Driver\Tcpip \Device\RawIp ntkrnlpa.exe (NT Kernel & System/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

Uživatelský avatar
motji
VIP
VIP
Příspěvky: 23302
Registrován: 23 říj 2008 08:02

Re: NOD - TrojanDownloader.Small

#84 Příspěvek od motji »

Počkám ještě na druhý log z gmeru, měla bych tu být po půl9 večer :)
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data :!:
Chcete podpořit naše forum? Informace zde

Obrázek

K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.

xxmejla
Návštěvník
Návštěvník
Příspěvky: 89
Registrován: 29 pro 2009 02:24
Bydliště: HANÁÁÁ

Re: NOD - TrojanDownloader.Small

#85 Příspěvek od xxmejla »

zde vkládám log z OTL...před půl hodinou jsem vložil i log 2 z GMER ..ALE NĚKAM ZMIZEL?! :?: To je divný pokusím se ho vložit ještě jednou..

:!: :!: :!: Aha..už to vidím..píše mi to že moje zpráva obsahuje 187000 znaků a povolených je jen 6000..to samé bude i v tom logu z gmer...tak teď nevím..pošlu to na leteckou poštu a vložím ti sem linky?? :wink:

:arrow: Tady link na leteckou poštu,jsou tam oba logy - OTL a gmer 2 :) snad to tak může být?? :roll:
:arrow: http://leteckaposta.cz/220958699

Uživatelský avatar
motji
VIP
VIP
Příspěvky: 23302
Registrován: 23 říj 2008 08:02

Re: NOD - TrojanDownloader.Small

#86 Příspěvek od motji »

V Gmeru nic nevidím, na Otl ještě mrknu.
Zkuste ještě ten revaler.


:arrow: stáhněte MBR
http://www2.gmer.net/mbr/mbr.exe
-uložte ho na plochu


:arrow: start-spustit
do okénka zkopírujte

Kód: Vybrat vše

"%userprofile%\plocha\mbr" -t
ok

:arrow: vytvoří se log s názvem mbr.log, vložte ho zde
[/quote]

jak to ted vypadá s počítačem?
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data :!:
Chcete podpořit naše forum? Informace zde

Obrázek

K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.

xxmejla
Návštěvník
Návštěvník
Příspěvky: 89
Registrován: 29 pro 2009 02:24
Bydliště: HANÁÁÁ

Re: NOD - TrojanDownloader.Small

#87 Příspěvek od xxmejla »

Dobrý večer - no jsem na pochybách..něco zde bude nedobrého,:Po scanu v Gmer a následně i po scanu v OTL mi nešel spustit prohlížeč a to ani mozillafirefox ta hlásila nečekaný pád a pak chybu s nějakým kodem ,a IE ten nereagoval vůbec :(
Až po retartu to zase funguje dobře..co se týká načítání stránek - ryclost bych řekl že v normě..
:arrow: Ale řekl bych že mi hodně pomalu nabíhá system po spuštění..obrazovka a ikony sice najedou relativně v krátkém čase,ale když chci otevřít jakýkoliv soubor či složku tak dlouho trvá než vyskočí okno pak dlouhé hledání než se otevře..cca po 5-6 minutách už vše běhá tak jak má...no v pohodě to rozhodně nevidím :x
:arrow: Nod mám přeinstalován ,teď jdu na ten log MBR ... TO JE TEN REVALER?? NEBO JEŠTĚ NĚCO JINÉHO? :shock:

xxmejla
Návštěvník
Návštěvník
Příspěvky: 89
Registrován: 29 pro 2009 02:24
Bydliště: HANÁÁÁ

Re: NOD - TrojanDownloader.Small

#88 Příspěvek od xxmejla »

:arrow: log MBR:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
kernel: MBR read successfully
user & kernel MBR OK

Uživatelský avatar
motji
VIP
VIP
Příspěvky: 23302
Registrován: 23 říj 2008 08:02

Re: NOD - TrojanDownloader.Small

#89 Příspěvek od motji »

:arrow: Můžete se podívat co je v této složce?
C:\WINDOWS\XXLGSC

:arrow: otestujte na www.virustotal.com
C:\WINDOWS\WMSysPr9.prx
C:\WINDOWS\System32\nscompat.tlb
C:\WINDOWS\System32\amcompat.tlb
C:\WINDOWS\UN32.EXE
C:\WINDOWS\UN32P.INI
C:\WINDOWS\System32\dllcache\ltts1033.lxa
C:\WINDOWS\System32\dllcache\c_28603.nls
C:\WINDOWS\System32\c_28603.nls
C:\WINDOWS\System32\dllcache\nls302en.lex
C:\WINDOWS\winnt256.bmp
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data :!:
Chcete podpořit naše forum? Informace zde

Obrázek

K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.

xxmejla
Návštěvník
Návštěvník
Příspěvky: 89
Registrován: 29 pro 2009 02:24
Bydliště: HANÁÁÁ

Re: NOD - TrojanDownloader.Small

#90 Příspěvek od xxmejla »

:?: Tak je to v háji :arrow:při scanu tím Revealer mi vyběhl
NOD - Win32/TrojanDownloader.Small.OUC unknown infection type (Patched)-D:/System Volume Information
:arrow: scan sice doběhl do konce,dole bylo napsáno něco anglicky - což neovládám ale bylo tam snad nějakých 38 položek..chtěl jsem dát save - uložit na plochu ale tam mě to nepustilo s tím že umístění již nelze použít..tak jsem dal dokumenty - a vyletělo okno :arrow: v aplikaci Rootkit Revealer došlo k problému a je třeba ji zavřít
následně druhé okno :arrow: v aplikaci :drwtsn32exe došlo k problému a je třeba ji zavřít..
:arrow: log se samozřejmě neuložil.. :(

Odpovědět