VIRY.CZ

Data která se zobrazují v přidat odebrat programy jsou v klíči registru
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall.
Pomocí regeditu už tam příslušné klíče dohledáte.
Pokud ale odinstalování proběhlo nekorektně, je nejlepší aplikaci znovu nainstalovat a pak odinstalovat. Jen samotná aplikace ví (většinou ), co si do registru uložila a co má taky odebrat. Je možné použít i některé čističe registrů, ty nemusí ale odebrat vše co tam po aplikaci zbylo nebo naopak mohou odebrat i něco na víc.
Navíc bych řekl, že ty vaše problémy budou mít souvislost právě s těmi Ofisy.


Ještě k té infekci. Možná by zatím nebylo od věci stáhnout si třeba RootkitRevealer
http://technet.microsoft.com/en-us/sysi ... 97445.aspx a spustit scan, ať víme, jestli je tam nějaké svinstvo, které zahákovalo ten ovladač.

Dobré ranko na Moravu:)

zkoušel jste office přes ten revo uninstaller? JInak zkuste co psal kolega, nainstalovat je znovu a pak odinstalovat

otestujte na http://www.virustotal.com
c:\windows\system32\drivers\ntfs.sys

pokud jste ještě nepoužil rootkit revealer, udělejte sken gmerem
Stáhněte Gmer http://www.viry.cz/forum/viewtopic.php?f=29&t=62878
- rozbalte a spusťte
-proběhne sken, po skončení se otevře okno s výsledky, klikněte na Save a tím si uložíte log,který sem vložíte

-Podle návodu v odkazu provedete druhý sken a log sem také vložíte.

Pokud už jste revaver použil, poprosím o log z něj

nemáte problémy s Nodem? Funguje jak má?

Stahněte OTL http://oldtimer.geekstogo.com/OTL.exe
-uložte ho na plochu a spustte soubor OTL.exe.
Spusťte Otl,
-všechno odoznačte - nebo dejte na none.
- nastavte file created a file modified... na File age.
- do bílého pole zkopirujte tento skript:


-klikněte na run scan
-objeví se log, zkopírujte ho zde

MiliNess píše:Data která se zobrazují v přidat odebrat programy jsou v klíči registru

Pomocí regeditu už tam příslušné klíče dohledáte.
Pokud ale odinstalování proběhlo nekorektně, je nejlepší aplikaci znovu nainstalovat a pak odinstalovat. Jen samotná aplikace ví (většinou ), co si do registru uložila a co má taky odebrat. Je možné použít i některé čističe registrů, ty nemusí ale odebrat vše co tam po aplikaci zbylo nebo naopak mohou odebrat i něco na víc.
Navíc bych řekl, že ty vaše problémy budou mít souvislost právě s těmi Ofisy.


Ještě k té infekci. Možná by zatím nebylo od věci stáhnout si třeba RootkitRevealer
http://technet.microsoft.com/en-us/sysi ... 97445.aspx a spustit scan, ať víme, jestli je tam nějaké svinstvo, které zahákovalo ten ovladač.

Dobré ráno - ten registr jsem zkusil již včera - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall...ale ty klíče tam nejsou
projížděl jsem to RevoUninstallerem tak je možné že jsem je vymazal zkoušel jsem to instalačkou opravit,odinstalovat i nainstalovat,ale vše bylo neůspěšné..ale můžu se o to pokusit po práci ještě jednou,je fakt že po tom pročištění zbytků souboru RevoUninstaller, jsem to už nezkusil..
ten RootkitRev. taky vyzkouším...zatím děkuji za rady a trpělivost

motji píše:Dobré ranko na Moravu:)

zkoušel jste office přes ten revo uninstaller? JInak zkuste co psal kolega, nainstalovat je znovu a pak odinstalovat

otestujte na http://www.virustotal.com
c:\windows\system32\drivers\ntfs.sys

pokud jste ještě nepoužil rootkit revealer, udělejte sken gmerem
Stáhněte Gmer http://www.viry.cz/forum/viewtopic.php?f=29&t=62878
- rozbalte a spusťte
-proběhne sken, po skončení se otevře okno s výsledky, klikněte na Save a tím si uložíte log,který sem vložíte

-Podle návodu v odkazu provedete druhý sken a log sem také vložíte.

Pokud už jste revaver použil, poprosím o log z něj

nemáte problémy s Nodem? Funguje jak má?

Stahněte OTL http://oldtimer.geekstogo.com/OTL.exe
-uložte ho na plochu a spustte soubor OTL.exe.
Spusťte Otl,
-všechno odoznačte - nebo dejte na none.
- nastavte file created a file modified... na File age.
- do bílého pole zkopirujte tento skript:

Kód: Vybrat vše

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /s
c:\windows\*.* /U
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
ndis.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
/md5stop
c:\windows\*.* /JN
c:\windows\*.* /HL
c:\windows\*.* /RP

-klikněte na run scan
-objeví se log, zkopírujte ho zde

Zdravíčko -
tak RevoUninstaller jsem zkusil,ale právě tím jsem možná vymazal i ty klíče v registru pokusím se dnes ještě jednou o tu instalaci..
scan Gmer provedu a log vložím
pokud jde o Nod - problémy To netuším ani jak zjistit zda funguje jak má..vím že se pravidelně aktualizuje,že tam běží jen AMON, a že se spouští se systémem - ani netuším jak by měl fungovat a jak se to zjišťuje..
To OTL -sqamozřejmě provedu a log dodám
revaver jsem ještě nepoužil a asi ani nepoužiji,když mám dát ten scan Gmer..že?

Tak po práci provedu vše dle vašich rad a pak budu netrpělivě čekat co se mnou provedete dál..zatím přeji hezký den..

Raději bych Gmer , možná na revaver možná také dojde
Můžete Nod odinstalovat? vypněte ho a pak třeba odinstalujte přes Revo uninstaler, mám trošku pocit, jestli také není napaden..ale možná se pletu

motji píše: Raději bych Gmer , možná na revaver možná také dojde
Můžete Nod odinstalovat? vypněte ho a pak třeba odinstalujte přes Revo uninstaler, mám trošku pocit, jestli také není napaden..ale možná se pletu

njn..odinstalovat ho můžu..pak ho znovu nainstaluju..
:arrow:ale zatím mi -po tom co jsem vymazal ty exe soubory nic dalšího nehlásí..
ale dostanu se ke všem ůkonům až po 15hodině..

To je v pořádku, já tu občas nakouknu a jinak tu budu až večer po půl9 nejdřív

Tady je test toho ovladače z total virus: výsledek o

http://www.virustotal.com/cs/analisis/0 ... 1263912646



ZDE Log. 1 z GMER:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-01-19 15:59:19
Windows 5.1.2600 Service Pack 2
Running: gmer.exe; Driver: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\uwtyapoc.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs amon.sys (Amon monitor/Eset)
AttachedDevice \FileSystem\Fastfat \Fat amon.sys (Amon monitor/Eset)
AttachedDevice \Driver\Tcpip \Device\Ip fwdrv.sys (Kerio Technologies)
AttachedDevice \Driver\Tcpip \Device\Ip ntkrnlpa.exe (NT Kernel & System/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp fwdrv.sys (Kerio Technologies)
AttachedDevice \Driver\Tcpip \Device\Tcp ntkrnlpa.exe (NT Kernel & System/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\Udp fwdrv.sys (Kerio Technologies)
AttachedDevice \Driver\Tcpip \Device\Udp ntkrnlpa.exe (NT Kernel & System/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp fwdrv.sys (Kerio Technologies)
AttachedDevice \Driver\Tcpip \Device\RawIp ntkrnlpa.exe (NT Kernel & System/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

Počkám ještě na druhý log z gmeru, měla bych tu být po půl9 večer

zde vkládám log z OTL...před půl hodinou jsem vložil i log 2 z GMER ..ALE NĚKAM ZMIZEL?! To je divný pokusím se ho vložit ještě jednou..

Aha..už to vidím..píše mi to že moje zpráva obsahuje 187000 znaků a povolených je jen 6000..to samé bude i v tom logu z gmer...tak teď nevím..pošlu to na leteckou poštu a vložím ti sem linky??

Tady link na leteckou poštu,jsou tam oba logy - OTL a gmer 2 snad to tak může být??
http://leteckaposta.cz/220958699

V Gmeru nic nevidím, na Otl ještě mrknu.
Zkuste ještě ten revaler.


stáhněte MBR
http://www2.gmer.net/mbr/mbr.exe
-uložte ho na plochu


start-spustit
do okénka zkopírujte
ok

vytvoří se log s názvem mbr.log, vložte ho zde
[/quote]

jak to ted vypadá s počítačem?

Dobrý večer - no jsem na pochybách..něco zde bude nedobrého,:Po scanu v Gmer a následně i po scanu v OTL mi nešel spustit prohlížeč a to ani mozillafirefox ta hlásila nečekaný pád a pak chybu s nějakým kodem ,a IE ten nereagoval vůbec
Až po retartu to zase funguje dobře..co se týká načítání stránek - ryclost bych řekl že v normě..
Ale řekl bych že mi hodně pomalu nabíhá system po spuštění..obrazovka a ikony sice najedou relativně v krátkém čase,ale když chci otevřít jakýkoliv soubor či složku tak dlouho trvá než vyskočí okno pak dlouhé hledání než se otevře..cca po 5-6 minutách už vše běhá tak jak má...no v pohodě to rozhodně nevidím
Nod mám přeinstalován ,teď jdu na ten log MBR ... TO JE TEN REVALER?? NEBO JEŠTĚ NĚCO JINÉHO?

log MBR:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
kernel: MBR read successfully
user & kernel MBR OK

Můžete se podívat co je v této složce?
C:\WINDOWS\XXLGSC

otestujte na www.virustotal.com
C:\WINDOWS\WMSysPr9.prx
C:\WINDOWS\System32\nscompat.tlb
C:\WINDOWS\System32\amcompat.tlb
C:\WINDOWS\UN32.EXE
C:\WINDOWS\UN32P.INI
C:\WINDOWS\System32\dllcache\ltts1033.lxa
C:\WINDOWS\System32\dllcache\c_28603.nls
C:\WINDOWS\System32\c_28603.nls
C:\WINDOWS\System32\dllcache\nls302en.lex
C:\WINDOWS\winnt256.bmp

Tak je to v háji :arrow:při scanu tím Revealer mi vyběhl
NOD - Win32/TrojanDownloader.Small.OUC unknown infection type (Patched)-D:/System Volume Information
scan sice doběhl do konce,dole bylo napsáno něco anglicky - což neovládám ale bylo tam snad nějakých 38 položek..chtěl jsem dát save - uložit na plochu ale tam mě to nepustilo s tím že umístění již nelze použít..tak jsem dal dokumenty - a vyletělo okno v aplikaci Rootkit Revealer došlo k problému a je třeba ji zavřít
následně druhé okno v aplikaci :drwtsn32exe došlo k problému a je třeba ji zavřít..
log se samozřejmě neuložil..