Stránka 1 z 3
win32/Jeffo.A virus
Napsal: 04 čer 2010 08:22
od RampoucH
Ahoj,
mám hodně velký problém. PC mi napadl vir win32/Jeffo.A
Mám notebook Toshiba A500 s win7.
Potřebuju se jej co nejrychleji a nejúčiněji zbavit. V PC jsem při napadení měl aktivní Smart security Když jsem provedl scan, našlo to pár virů ale určitě si to s nimi neporadilo. Hledal jsem na internetu a našel jsem program eScan, který jsem nainstaloval. Program si vyžádal restart PC (To jsem neměl dělat). Od té je PC velice zpomalený a nic nefunguje. (Zpomalený=na něco kliknu a 5 minut čekám než se něco stane a to bůh ví jestli)
Zde na stránkách jsem v časných ranních hodinách našel jednoúčelový antivir Resolve for 32/Jeffo, který jsem spustil a leze opravdu pomalu. Před chvilkou po cca 6ti hodinách přešel do skožky Programfiles (x86).
V momentálním stavu na PC nelze pracovat, proto nevím jak si dál počínat a zda jednoúčelový antivir Resolve for 32/Jeffo pomůže.
Přemýšlel jsem také nad obnovením systému buď za pomoci windows nebo záchranného recovery discu, ale data, která mám v PC, jsou pro mne velice důležitá a nechci o všechna přijít... Proto, nevím, zda se obnoví tovární nastavení nebo i lze provést obnovu systému např:5 dní zpátky.
Ke všemu se mi ještě v pravém dolním rohu obrazovky ukázalo:
Windows7
Sestavení 7600
Tato kopie systému windows není pravá
Všem předem děkuji za jakékoliv rady.
Re: win32/Jeffo.A virus
Napsal: 04 čer 2010 09:32
od JaRon
skus najprv obnovu systemu - par dni naspat, ked vsetko fungovalo
Re: win32/Jeffo.A virus
Napsal: 04 čer 2010 09:40
od RampoucH
Přez Win nelze, když se mi po nějakých 5-15 minutách rozklikne nabídka start tak tam nejsou žádné položky... Jde to udělat i nějak jinak?
A stále běží Resolve for 32/Jeffo obávám se vypnout NTB "na tvrdlo" aby se nestalo ještě něco horšího.
Re: win32/Jeffo.A virus
Napsal: 04 čer 2010 10:02
od JaRon
mozes skusit
http://www.bitdefender.com/site/Downloa ... movalTool/
ALE pokial je ten system pochybneho povodu, tak neviem, ci to ma zmysel riesit
Re: win32/Jeffo.A virus
Napsal: 04 čer 2010 10:16
od RampoucH
Jenže tady je ten problém, že nespustím ani prohlížeč abych daný software stáhnul. Prostě
nic nefunguje a
nikam se nedostanu Ani žádnou složku neotevřu. Již asi 2 hodini se mi otevírá
eScan, zatím naběhlo pozadí a čekám na písmenka
Také se mi asi podařilo vypnout
Eset.
EDIT:
Resolve for 32/Jeffo Dokončil scan, NIC NENAŠEL. Podařilo se mi spustit eScan, dělá, že něco dělá... Ale nevim, nevim.
Re: win32/Jeffo.A virus
Napsal: 04 čer 2010 13:21
od RampoucH
Tak dkyž eScan dokončil kompletní scan PC našel virus win32/Jeffo.B a vymazal ho. Následně jsem provedl bod obnovení a obnovil systém, ale nejsem si jist mírou obnovení systému, protože spousta věcí zůstala poškozených (Programy, fce) což s největší pravděpodobností vyřeší jejich přeinstalování a to mne už tolik bolet nebude. Hlavně, že jsou data prozatím v pořádku.
Potřeboval bych radu jestli je můj PC teď opravdu čistý ale nemohu spustit program RSIT abych přidal log. Píše mi to chybovou hlášku:
line 2563 (File "D:\plocha\RSIT.exe"):
Error: Variable used without begin declared.
V čem bude chyba?
Re: win32/Jeffo.A virus
Napsal: 04 čer 2010 13:26
od JaRon
citat Rudy:
RSIT musíte spustit v kompatibilitě WinXP. Pravým myšítkem na ikonu RSIT, vybrat kompatibilitu a spustit. Měl by se vytvořit kompletní log.
Re: win32/Jeffo.A virus
Napsal: 04 čer 2010 13:38
od RampoucH
EDIT: Log již není třeba, Vir vyřešen
Děkuji
Re: win32/Jeffo.A virus
Napsal: 04 čer 2010 21:35
od motji
Dobrý večer, záskok za kolegu
Z mého podpisu stahněte
Ccleaner
- nainstalujte, při výběru, co se má nainstalovat, dejte pryč fajfku u instalace
yahoo toolbaru
záložka
čistič
-nechejte v levém sloupečku zatrhnuté vše jak je, klikněte na
analyzovat
-po analýze klikněte na
Spustit Ccleaner
záložka
Registry
- klikněte na
hledej problémy
- pak klikněte na
opravit vybrané problémy -- udělat zálohu registrů - nemusíte
- kliknete
opravit všechny problémy ok
zavřít
Záložka
Nástroje
- zde můžete odinstalovat programy. Je to důkladnější odinstalace než u přidat/odebrat programy ve Windows.
Ccleaner - čistič doporučuji používat, krásně pročistí pc od dočasných souborů.
Registry pročistí třeba po odinstalaci nějakého programu.
V nouzovém režimu spusťte Avptool (po restartu mačkejte F8)
Stahněte z mého podpisu
AVPTOOl http://www.viry.cz/forum/viewtopic.php?f=29&t=58179
-Podle návodu nainstalujte a proveďte sken
-co najde nechejte léčit, mazat
-sken může trvat několik hodin
-vložte zde log z výsledky
Re: win32/Jeffo.A virus
Napsal: 05 čer 2010 14:49
od RampoucH
CCleanerem vyčištěno...
log: 
Autoscan: completed 3 minutes ago (events: 6, objects: 859416, time: 01:55:11)
5.6.2010 13:50:29 Task started
5.6.2010 14:58:32 Detected: Backdoor.Win32.Bifrose.cnpx D:\Programy-inst\MS Office 2007 CZ full\MS Office 2007 CZ full\MS Office 2007_Classic Menu.rar/Office2007ClassicMenu/Setup_OfficeMenu_retail.exe/data0000/Armadillo
5.6.2010 14:58:32 Untreated: Backdoor.Win32.Bifrose.cnpx D:\Programy-inst\MS Office 2007 CZ full\MS Office 2007 CZ full\MS Office 2007_Classic Menu.rar/Office2007ClassicMenu/Setup_OfficeMenu_retail.exe/data0000/Armadillo Write not supported
5.6.2010 15:45:26 Detected: Backdoor.Win32.Bifrose.cnpx D:\Programy-inst\MS Office 2007 CZ full\MS Office 2007 CZ full\MS Office 2007_Classic Menu.rar/Office2007ClassicMenu/Setup_OfficeMenu_retail.exe/data0000/Armadillo
5.6.2010 15:45:26 Untreated: Backdoor.Win32.Bifrose.cnpx D:\Programy-inst\MS Office 2007 CZ full\MS Office 2007 CZ full\MS Office 2007_Classic Menu.rar/Office2007ClassicMenu/Setup_OfficeMenu_retail.exe/data0000/Armadillo Write not supported
5.6.2010 15:45:40 Task completed
Re: win32/Jeffo.A virus
Napsal: 05 čer 2010 19:37
od motji
Tento program znáte?
D:\Programy-inst\MS Office 2007 CZ full\MS Office 2007 CZ full\MS Office 2007_Classic Menu.rar
Jak to ted vypadá s počítačem?
Re: win32/Jeffo.A virus
Napsal: 05 čer 2010 23:01
od RampoucH
Ano, znám. Toto je záloha instalačního CD pro balík office. Konkrétně soubor D:\Programy-inst\MS Office 2007 CZ full\MS Office 2007 CZ full\MS Office 2007_Classic Menu.rar tam zřejmě nemá ani co dělat, protože k samotné instalaci není vůbec třeba.
Mám jej odstranit?
S Pc to vypadá lépe než v pátek dopoledne
Řekl bych, že je vše O.K. vše funguje jak má a zatím jsem nezpozoroval, žádný nějaký větší problém. Jeden ale přeci, nefungují mi dotyková tlačítka na NTB v okolí klávesnice. Zřejmě při, čistce CCleanerem došlo i k smazání něčeho potřebného, nebo za to prachsprostě může vir.
Na stránkách výrobce mého NTB Toshiba A500-1C0 jsem se pokoušel najít nějaké ovladače nebo soft. který bych nainstaloval a zprovoznil tak doteková tlačítka ale za
1:vůbec nemohu najít svůj typ NTB pro vybrání správného druhu ovladače
2:nevím jaký ovladač hledat
Ale s virem je asi ámen
Re: win32/Jeffo.A virus
Napsal: 06 čer 2010 06:32
od motji
Soubor smažte.
Ty tlačítka Vám přestaly jít po použití ccleaneru? A zálohu registrů před mazáním jste si asi neudělal? Nikdy jsem neslyšela, že by CCleaner něco takového smazal,a le možná vir něco poškodil/smazal a ccleaner dílo zkázy dokončil
Ještě zkusíme combofix,
pro jistotu si ale zazálohujte důležitá data 
Stáhněte na plochu, ukončete všechna aktivní okna a spusťte
ComboFix -
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
- ComboFix je třeba
spustit pod účtem s právy administrátora
- Před použitím
vypněte všechny rezidentní bezpečnostní programy - antiviry, firewally, antispywary
- Po spuštění se zobrazí podmínky užití, potvrďte je stiskem tlačítka
Ano
- Dále postupujte dle pokynů,
během aplikování ComboFixu neklikejte do zobrazujícího se okna
- Po dokončení skenování, trvajícího maximálně 10 minut, by měl program vytvořit log -
C:\ComboFix.txt,
zkopírujte celý jeho obsah sem
Re: win32/Jeffo.A virus
Napsal: 06 čer 2010 11:08
od RampoucH
Nevím, kdy přesně přestali tlačítka fungovat. Od záčátku infekce virem až po dokončení CCleaneru jsem je nepoužíval.
ComboFix nelze spustit, píše
Error win32 only (mám win7 64bit). K čemu vlastně ComboFix slouží?
Dále jsem objevil na disku D:/ nějakou složku
FBackup obsahuje soubory s podobnými názvny jako
00d1806ee50a4c414c8404d31545268f a má 1,6GB. Předpokládám, že se jedná o složku, která se vytvořila po obnovení systému. Mohu ji smazat?
EDIT: Už si vzpomínám. Po obnovení systému se spustil PC v ECO režimu a já jej vypnul přez tlačítko, takže fungovali.
Re: win32/Jeffo.A virus
Napsal: 06 čer 2010 13:02
od motji
Aha, on se log ze Rsitu neprovedl celý a proto jsem si nevšimla, že máte 64b systém
.
Přiznám se že nevím k čemu ty složky slouží
, snad bude vědět kolega Jaron.
Combofix je takový hodně dobrý skener, a navíc automaticky maže známé soubory. Nedoporučuje se ovšem používat ho bez dozoru rádce, někdy má bugy a může způsobit pád systému. BOhužel na 64b systémy nefunguje.
Stahněte
dr. Web CureIt http://www.viry.cz/forum/viewtopic.php?f=29&t=47721
-udělejte sken , co najde nechte léčit, smazat
-sken může trvat několik hodin
-Soubor/Uložit výsledky - uložíte jako textovy soubor a zkopírujete zde
Stahněte
OTL http://oldtimer.geekstogo.com/OTL.exe
-uložte ho na plochu a spustte soubor
OTL.exe.
-do bílého okna dole skopírujte tento skript:
Kód: Vybrat vše
netsvcs
drivers32
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /s
c:\windows\*.* /U
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
symmpi.sys
adp3132.sys
mv61xx.sys
nvraid.sys
ndis.sys
winlogon.exe
explorer.exe
userinit.exe
lsass.exe
svchost.exe
smss.exe
hal.dll
ws2_32.dll
tcpip.sys
cryptsvc.dll
Changer.sys
JakNDis.sys
isapnp.sys
cdrom.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
reg query "HKLM\Software\Microsoft\Windows NT\CurrentVersion\winlogon" /v GinaDLL /c
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv" /v ImagePath /c
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS" /v ImagePath /c
%systemroot%\system32\drivers\*.sys /3
%systemroot%\system32\*.* /3
CREATERESTOREPOINT
- zaškrtněte okénko
Pro všechny uživatele.
-označte okénka
Kontrola na havěť "LOP" a
Kontrola na havěť "Purity"
- Klikněte na tlačítko
Prohledat
-po dokončení skenu se objeví logy
OTL.Txt a Extras.txt, vložte je zde