VIRY.CZ

zdravim mam problem s pc je akysi pomaly, vcera mi ho zrazu restartlo, po spusteni bla cista plocha, vsetky disky boli prazdne aj ked v skutocnosti tam vsetko je
ESET mi iba hlasi trojany win32/olmasco.o a win32/olmarik tdl4

poradte co s tym, dakujem za rady

prikladam log v txt subore iba tento jedn log mi vygeneroval CF

ComboFix 12-02-25.02 - Joseph . 03. 2012 22:16:07.4.2 - x86
MicrosoftŽ Windows Vista™ Business 6.0.6002.2.1250.421.1029.18.3326.2059 [GMT 1:00]
Running from: c:\users\Joseph\Desktop\ComboFix.exe
AV: ESET Smart Security 4.2 *Enabled/Updated* {77DEAFED-8149-104B-25A1-21771CA47CD1}
FW: ESET personal firewall *Enabled* {4FE52EC8-CB26-1113-0EFE-8842E2773BAA}
SP: ESET Smart Security 4.2 *Enabled/Updated* {CCBF4E09-A773-1FC5-1F11-1A056723366C}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Created a new restore point
* Resident AV is active
.
.
- REDUCED FUNCTIONALITY MODE -
.
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\drivers\etc\hosts.ics
.
.
((((((((((((((((((((((((( Files Created from 2012-02-03 to 2012-03-03 )))))))))))))))))))))))))))))))
.
.
2012-03-03 21:20 . 2012-03-03 21:22 -------- d-----w- c:\users\Joseph\AppData\Local\temp
2012-03-03 21:20 . 2012-03-03 21:20 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-03-03 20:46 . 2012-03-03 20:46 -------- d-----w- c:\program files\trend micro
2012-03-03 20:46 . 2012-03-03 20:46 -------- d-----w- C:\rsit
2012-03-03 12:56 . 2012-03-03 13:52 23368 ----a-w- c:\windows\system32\drivers\OlmarikFixer.sys
2012-03-03 12:19 . 2012-03-03 12:19 -------- d-----w- c:\programdata\Kaspersky Lab
2012-03-02 07:18 . 2012-02-08 06:03 6552120 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{03A16EC0-2271-4847-8ECF-361DC2B02796}\mpengine.dll
2012-02-15 12:54 . 2012-01-12 19:52 2044416 ----a-w- c:\windows\system32\win32k.sys
2012-02-15 12:54 . 2011-12-14 16:17 680448 ----a-w- c:\windows\system32\msvcrt.dll
2012-02-15 12:54 . 2011-12-20 10:56 2409784 ----a-w- c:\program files\Windows Mail\OESpamFilter.dat
2012-02-06 16:41 . 2012-02-06 16:45 -------- d-----w- c:\program files\fliptoast
2012-02-06 16:41 . 2012-02-06 16:41 -------- d-----w- c:\program files\Free Offers from Freeze.com
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-01-29 04:10 . 2009-10-03 11:38 237072 ------w- c:\windows\system32\MpSigStub.exe
2011-12-16 10:26 . 2011-12-16 10:26 0 ----a-w- c:\users\Joseph\AppData\Local\BITC6BA.tmp
2011-12-16 10:26 . 2011-12-16 10:26 0 ----a-w- c:\users\Joseph\AppData\Local\BIT91C5.tmp
.
.
((((((((((((((((((((((((((((( SnapShot@2012-03-03_10.34.23 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-01-21 01:58 . 2012-03-03 13:04 80016 c:\windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
- 2008-09-12 08:29 . 2012-03-03 10:14 14438 c:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1642235748-1831838932-1144732441-1000_UserData.bin
+ 2008-09-12 08:29 . 2012-03-03 13:04 14438 c:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1642235748-1831838932-1144732441-1000_UserData.bin
+ 2008-01-21 02:25 . 2008-01-21 02:25 62976 c:\windows\System32\oobe\windeploy.exe
+ 2008-01-21 02:25 . 2008-01-21 02:25 42496 c:\windows\System32\oobe\oobeldr.exe
+ 2008-01-21 02:25 . 2008-01-21 02:25 52736 c:\windows\System32\oobe\audit.exe
- 2008-09-12 08:27 . 2012-03-03 10:12 16384 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2008-09-12 08:27 . 2012-03-03 13:02 16384 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2012-03-02 23:23 . 2012-03-03 13:02 32768 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2012-03-02 23:23 . 2012-03-03 10:12 32768 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2008-09-12 08:27 . 2012-03-03 13:02 32768 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2008-09-12 08:27 . 2012-03-03 10:12 32768 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2012-03-03 13:02 . 2012-03-03 13:02 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2012-03-03 10:12 . 2012-03-03 10:12 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2012-03-03 13:02 . 2012-03-03 13:02 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2012-03-03 10:12 . 2012-03-03 10:12 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2006-11-02 13:05 . 2012-03-03 13:04 175614 c:\windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
+ 2008-01-21 02:25 . 2008-01-21 02:25 195640 c:\windows\System32\oobe\Setup.exe
+ 2010-04-05 20:25 . 2012-03-03 12:52 571300 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
- 2010-04-05 20:25 . 2012-03-03 10:10 571300 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
+ 2008-10-30 22:24 . 2012-03-03 20:09 1277300 c:\windows\System32\WDI\SuspendPerformanceDiagnostics_SystemData_FastS4.bin
+ 2009-09-17 09:09 . 2009-04-11 06:27 1315840 c:\windows\System32\oobe\msoobe.exe
- 2010-04-05 20:25 . 2012-03-03 10:10 30073852 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-1642235748-1831838932-1144732441-1000-12288.dat
+ 2010-04-05 20:25 . 2012-03-03 12:52 30073852 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-1642235748-1831838932-1144732441-1000-12288.dat
+ 2009-05-17 16:54 . 2012-03-03 13:50 288601074 c:\windows\winsxs\ManifestCache\6.0.6002.18005_001c11ba_blobs.bin
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TiVme Agent"="c:\program files\GIGABYTE\vivoTV\ScheduleAgent.exe" [2010-01-25 114688]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 76304]
"VolPanel"="c:\program files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" [2006-12-06 180224]
"CTHelper"="CTHELPER.EXE" [2007-10-25 19456]
"CTxfiHlp"="CTXFIHLP.EXE" [2007-10-25 19968]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"SAOB Monitor"="c:\program files\Acronis\TrueImageHome\OnlineBackupStandalone\TrueImageMonitor.exe" [2010-11-16 2536752]
"TrueImageMonitor.exe"="e:\acronis\TrueImageHome\TrueImageMonitor.exe" [2010-12-17 5566176]
"Slu·ba Acronis Scheduler2"="c:\program files\Common Files\Acronis\Schedule2\schedhlp.exe" [2010-12-17 391144]
"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\SSMMgr.exe" [2010-06-07 618496]
"3180 Scan2PC"="c:\windows\twain_32\Samsung\CLX3180\Scan2Pc.exe" [2010-05-10 1989120]
"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2011-01-12 2219184]
"Start WingMan Profiler"="c:\program files\Logitech\Gaming Software\LWEMon.exe" [2010-06-14 153672]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"DevconDefaultDB"="c:\windows\system32\READREG" [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"EnableLinkedConnections"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1642235748-1831838932-1144732441-1000]
"EnableNotificationsRef"=dword:00000001
.
S2 afcdpsrv;Slu·ba Acronis Nonstop Backup;c:\program files\Common Files\Acronis\CDP\afcdpsrv.exe [2011-02-02 3246040]
S3 afcdp;afcdp;c:\windows\system32\DRIVERS\afcdp.sys [2011-02-02 167968]
.
.
--- Other Services/Drivers In Memory ---
.
*NewlyCreated* - EOLMARIKFIX
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
Contents of the 'Scheduled Tasks' folder
.
2012-03-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-06 15:25]
.
2012-03-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-06 15:25]
.
2012-03-03 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1642235748-1831838932-1144732441-1000Core.job
- c:\users\Joseph\AppData\Local\Google\Update\GoogleUpdate.exe [2008-12-27 10:43]
.
2012-03-03 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1642235748-1831838932-1144732441-1000UA.job
- c:\users\Joseph\AppData\Local\Google\Update\GoogleUpdate.exe [2008-12-27 10:43]
.
.
------- Supplementary Scan -------
.
uStart Page = about:blank
mStart Page = hxxp://www.bigseekpro.com/quicklogodesigner/{6 ... 8215E181E5}
IE: E&xportova¶ do programu Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
IE: LastPass vypĺňacie formuláre - file://c:\program files\LastPass\context.html?cmd=fillforms
IE: {{7E6A20FB-153F-402c-A84B-1A64E1955D3D} - {7E6A20FB-153F-402c-A84B-1A64E1955D3D} - e:\translat\WebIE.dll
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748449} - {CC963627-B1DC-40E0-B52A-CF21EE748449} - e:\translat\WebIE.dll
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748450} - {CC963627-B1DC-40E0-B52A-CF21EE748450} - e:\translat\WebIE.dll
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748451} - {CC963627-B1DC-40E0-B52A-CF21EE748451} - e:\translat\WebIE.dll
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748452} - {CC963627-B1DC-40E0-B52A-CF21EE748452} - e:\translat\WebIE.dll
TCP: DhcpNameServer = 195.34.133.21 212.186.211.21
DPF: {813A45F9-744F-435F-A815-19E2DF35A9D8} - hxxp://www.o2c.de/download/o2cplayerac.cab
FF - ProfilePath - c:\users\Joseph\AppData\Roaming\Mozilla\Firefox\Profiles\3ktn4wqo.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.sk/
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8 ... &gfns=1&q=
FF - prefs.js: network.proxy.type - 0
FF - user.js: general.useragent.extra.zencast - Creative ZENcast v2.00.13);user_pref(general.useragent.extra.zencast,
.
.
------- File Associations -------
.
txtfile="e:\pspad editor\PSPad.exe" "%1"
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-03-03 22:22
Windows 6.0.6002 Service Pack 2 NTFS
.
scanning hidden processes ...
.
scanning hidden autostart entries ...
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CTHelper = CTHELPER.EXE?
CTxfiHlp = CTXFIHLP.EXE?
.
scanning hidden files ...
.
scan completed successfully
hidden files: 0
.
**************************************************************************
.
Completion time: 2012-03-03 22:39:21
ComboFix-quarantined-files.txt 2012-03-03 21:38
ComboFix2.txt 2012-03-03 12:16
ComboFix3.txt 2012-03-03 10:48
.
Pre-Run: Volných bajtů: 25 934 749 696
Post-Run: Volných bajtů: 25 901 924 352
.
- - End Of File - - 0BBDC0D4437962D57FA4373E73B3A294

Naughty píše:Ahoj,

dávat log po CF je debilovina, viz můj podpis.

Vlož prosím obsah logu z CF (ne do codu, blbě se luští - dík)

skopiroval som log z combofix dufam ze to takto moze byt

ak nie ospravedlnujem sa som novacik medzi virmi

Naughty píše:
Všechny logy z Cf zabal a upni sem do příspěvku.

upol som vid prvy prispevok

Naughty píše: - otevře se textový soubor, který sem zkopíruj.

mbr vygeneroval .log subor vid priloha


ten tdsskiller mi nejde otvorit, normalne ho stiahnem dvojklik a nic sa nedeje

Naughty píše:ve složce qoobox se nacházejí zbyvající logy, ach.

Nechme na zítra, jdu už spát. Na zítra mi nachystej stejný log jak kolega zde http://forum.viry.cz/viewtopic.php?f=13&t=120071

navíc otlpe budeš potřebovat neb něm budu opravovat mbr sektor.

to znamena ze mam urobit cely tento postup alebo iba urcitu cast?

Naughty píše:Ok, dem na to.



Dělej na nenakaženém pc!

Prvně stáhni z následujících odkazů dva soubory http://www.itxassociates.com/OT-Tools/OTLPEStd.exe a http://www.eeepc.fr/wp-content/uploads/ ... eepcfr.zip
¨

Předpříprava instal souborů
----------------------------

1.

Za pomocí winrar/7-zip rozbal OTLPEStd do libovolné složky, jenž bude obsahovat tři soubory:

ImgBurn.exe
ImgBurn.ini
OTLPE_New_Std.iso <-- Opět rozbal, ale tentokrát na plochu, tak aby byla složka OTLPE_New_Std, v ní budou už složky/soubory programu


2.

Rozbal eeepcfr.zip vedle složky OTLPE_New_Std, tak aby existovala jen jedna složka eeepcfr obsahující samotné soubory/složky programu.


Příprava bootovací flash (klúče)
---------------------------------

Vlož prázdnou flash (min. požadavek kapacity 512MB) do usb
Spusť ...\eeecpfr\usb_prep8.cmd, při objevení černého okna zmačkni libovolnou klávesu, tímto krokem dojde k načtení ovládacího okna.

Nastav:
- pod USB removable nastav zprávnou jednotku s flashkou
- do Drive Label vypiš: OTLPE
- klikni na tři tečky u "Source Path to built BartPE/WinPE Files" navol cestu ke složce OTLPE_New_Std (klik na Ok)
- zbytek programu nech nastaveno jak je (viz přiložený obrázek)
- klik na Start, potvrď 2X kliknutím na YES/Ano
- dojde ke kopírování souborů, při dokončení potvrď dialogove okno
- kliknutím na "close" ukonci program PetoUSB, ukonči i černé okno

poznámka: pokud tě vyzvu zkopíruj na flash i soubory, které sem uvedl

- vytáhni flash s PC.

Pokud nejde vytvořit flash disk, spusť nero, v menu programu zvol otevřít, najdi cestu k iso souboru (tj. OTLPE_New_Std.iso), dej vypálit. Dále postupuj jak u flash s přenosem na druhý pc. Informuj mne o tim, že report byl vytvořen z cd.

Na nakaženém pc!

- zasuň flash do PC, zapni
- pokud nedojde k načtení nebo dojde k BSOD (modré obrazovce) přejdi do BIOS-u (vetšinou přes tlačítko del hned při zapnutí PC) kde nastavíš:
V Boot Sequence hledej usb bootable nebo other a nastav first
V AHCI Mode/Sata mode - jen v případě BSOD - natav IDE
poznámka: každý bios je jiný, proto zevrubný popis
- při úspěšném startu operačního systému "starting Reatogo-X-Pe" s usb se načte plocha, kde bude umístněn soubor s názvem otlpe


Získávání logu
-------------------

- spusť OTLpe
- dojde k výzvě připojení registru (Do you wish to load remote user profile(s) scanning), klik na YES
- zvol účet administrátora (nebo s jeho oprávněním, tj. třeba tvůj profil pokud seš neomezený vládce ))
- pokud bude chtít připoj mu i uživatelské účty nacházející se v profilech uživatelů (dat soubor)
- ponech nastavení programu tak jak je
- zde doplňek: - do bílého pole mající titulek "Customs scans/Fixes" programu zkopíruj následující skript taktéž z bílého pole:

Kód: Vybrat vše

CREATERESTOREPOINT
netsvcs
drivers32
savembr:0

/md5start
cngaudit.dll
cryptsvc.dll
eNetHook.dll
eventlog.dll
hal.dll
netlogon.dll
KR10N.dll
scecli.dll
user32.dll
winsrv.dll
ws2_32.dll
autochk.exe
cmd.exe
csrss.exe
explorer.exe
lsass.exe
ntkrnlpa.exe
ntoskrnl.exe
services.exe
smss.exe
spoolsv.exe
svchost.exe
regedit.exe
userinit.exe
winlogon.exe
wscript.exe
afd.sys
adp3132.sys
acpi.sys
AGP440.sys
ahcix86.sys
ahcix86s.sys
atapi.sys
cdrom.sys 
Changer.sys
fastfat.sys
i8042prt.sys
iaStor.sys
iastorv.sys
IdeChnDr.sys
isapnp.sys 
JakNDis.sys
kbdclass.sys
KR10N.sys
mv61xx.sys
ndis.sys
ntfs.sys
nvata.sys
nvatabus.sys
nvgts.sys
nvraid.sys 
nvrd32.sys 
nvstor.sys
nvstor32.sys
symmpi.sys
tcpip.sys
tdx.sys
vaxscsi.sys
viamraid.sys
viasraid.sys
ViPrt.sys
Win32k.sys
Wdf01000.sys
/md5stop

%systemroot%\system32\logevent.dll /md5
%systemroot%\system32\sceclt.dll /md5
%systemroot%\system32\ntelogon.dll /md5
%systemroot%\system32\consrv.dll /md5+

%systemroot%\system32\logevent.dll /md5 /64
%systemroot%\system32\sceclt.dll /md5 /64
%systemroot%\system32\ntelogon.dll /md5 /64
%systemroot%\system32\consrv.dll /md5 /64

%systemroot%\system32\drivers\*.sys /md5
%systemroot%\system32\*.sys /md5

%systemroot%\system32\drivers\*.sys /md5 /64
%systemroot%\system32\*.sys /md5 /64

%SystemDrive%\PhysicalMBR.bin /md5
%PROGRAMFILES%\Mozilla Firefox\firefox.exe /md5
%PROGRAMFILES%\Internet Explorer\iexplore.exe /md5
%PROGRAMFILES%\Opera\opera.exe /md5
%PROGRAMFILES%\Google\Chrome\Application\chrome.exe /md5

%systemroot%\system32\Spool\prtprocs\*.* /s
%systemroot%\system32\drivers\*.sys /10
%systemroot%\system32\drivers\*.sys /X 
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\system32\*.* /10
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.* /lockedfiles
%systemroot%\system32\config\*.sav 



%systemroot%\Tasks\*.job
%systemroot%\*.* /U /s
%systemroot%\*. /rp /s
%ALLUSERSPROFILE%\Data Aplikací\*.*
%ALLUSERSPROFILE%\Data Aplikací\*.exe /s
%ALLUSERSPROFILE%\Nabídka Start\*.lnk /x
%ALLUSERSPROFILE%\Data Aplikácií\*.*
%ALLUSERSPROFILE%\Data Aplikácií\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Start Menu\*.lnk /x
%APPDATA%\*.
%APPDATA%\*.*
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\system32|bak;true;false;false /fp
%PROGRAMFILES%|bak;true;false;false /fp

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CryptSvc /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\BITS /s
reg query "HKLM\Software\Microsoft\Windows NT\CurrentVersion\winlogon" /v GinaDLL /c
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv" /v ImagePath /c
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS" /v ImagePath /c
reg query "HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager" /v BootExecute /c
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager" /v "PendingFileRenameOperations" /c
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems" /v Windows /c
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs" /c

type c:\boot.ini >> test.txt /c
bcdedit /enum all /v >C:\boot.txt /c
type C:\boot.txt >> test1.txt /c
echo list vol > C:\prikaz.txt | diskpart /s C:\prikaz.txt > C:\test2.txt /c




CREATERESTOREPOINT

- Klik na Run Scan
- po chvíli šrotování by se měl otevřít textový soubor, jehož obsah zkopíruj do svého příspěvku nebo vlož v podobě zip/rar souboru do přílohy. Jinak je uložen C:\otl.txt

Naughty píše:samozřejmně celý postup, pokud s enepodaři na flashku, vypálíš CD.

tak klikol som v petousb na start, potom yes, este raz yes a napisalo mi ze Operation completed sucecessfully, dal som ok, klknem v petousb na close a cierne okno nezmizne vybehnu tam moznosti a mam si jednu vybrat vybral som Q ako quit. Pozrem do flashy ci sa cosi vypalilo a nic tam nieje

co teraz? da sa pomocou petousb vypalit aj na cd alebo mam pouzit power2go(lebo nero na nenakazenom pc nemam)

Naughty píše:logy po Cf si mi uploudl?

ano v prvom prispevku

Naughty píše:jen se zeptám, měl nastaveno dle obrázku




zaskrkla volba "Enable File Copy". Kolega ji neměl. Nelze, stačí spustit OTLPEStd.exe, má v sobě samovypalovací program, malinký bez instalace.

nemal som to zaskrtnute uz to ide

Naughty píše:Ale já potřebuji i reporty

ComboFix2.txt
ComboFix3.txt

abych měl na porovnání. Zatím sem slepý, protože jediný použitelný výsledek dal MBRScan, srit který si smazal, neprokázal nic jen nástroje který si do pc rval. (není kritika, jen konstatování).

ake ComboFix2.txt ComboFix3.txt? ved mne vzdy vyhodi len jeden report (jeden log)

ako mam tieto logy vytvorit, resp. kedy? zatial som urobil iba dva logy, jeden na zaciatku pomocou CF a potom jeden MBRScanom.

sorry ze to nechapem

Naughty píše:Předpokládám když někdo spustí Cf, že ví, kam ukládá zalohy registru, kam co maže a kam logy, ano vytvoří jeden log, jenže starý nakopíruje do složky qoobox na Céčku (či rootu disku), navíc sem ti už psal:

ve složce qoobox se nacházejí zbyvající logy,

dle logu si Cf spustil 3X, proto potřebuji 3 reporty. Rozumíme si?

Zazipuj celou složku qoobox, upni ji, já si je vytáhnu sám.

uz ano


este sa opytam

vlozil som flashku do pc ale uz dlhsie mi nejde autostart

OTLpe spustim ako? mam dat prechadzat flashku-programs-otlpe a tam kliknut na otlpe.exe alebo na start (prikazovy skript)

pytam sa lebo v navode je : dojde k výzvě připojení registru (Do you wish to load remote user profile(s) scanning), klik na YES

ale nic take sa neudialo

PS: musim teraz nachvilu prec od PC ale do 2 hod. sa vratim dufam ze mi s tym este pomozes

Naughty píše: nech systém zavést z flashky , takhle by mělo probíhat načtení http://forum.malekal.com/otlpe-live-t23453.html, až s eobjeví plocha, spousť otlpe (registry by si měl připojit sám - jen zvol správný profil)

jj pomůžu

sorry za blbu otazku ale co znamena nech zavest system z flashky (to mam dat botovanie z flash ci ako?)

alebo mam urobit toto ako som napisal:
OTLpe spustim ako? mam dat prechadzat flashku-programs-otlpe a tam kliknut na otlpe.exe alebo na start (prikazovy skript)

takze to botovanie z usb nejde (v biose nastavim na primary usb flash) ale pred nabotovanim napise remove disks or other media press any key to restart

z CD to fachci

Naughty píše:ok, pak sme prosím hoď log

pri vytvarani logu v OTLPE mi vyskocila chyba uz druhy krat OUT OF MEMORY

co s tym? nemam hore zaskrtnut minimal output alebo nieco ine?

Naughty píše:zkus minimální výstup, pokud nepomůže, zkusím fixnout mbr rootkit aby se dalo pracovat v online režimu

nepodaril sa ani pri minimal output

co teraz?

pozn: do custom scans/fixes som skopiroval ten text ktory zacina CREATERESTOREPOINT

neviem preco mi pri mbrfix /drive 0 savembr c:\zalohambr.dat napise the system cannot find the file specified

odklikni enter
- na základě velikosti zkontroluj, jestli se skutečně jedná o postižený disk

pozri prilohu

Naughty píše:dej mbrfix /drive 1 driveinfo

takze nakoniec to bola predsa drive 0, islo to az po restarte