VIRY.CZ

Pomáháme v boji s počítačovou havěti!
https://forum.viry.cz:443/

prosím o prohlídku...díky

https://forum.viry.cz:443/viewtopic.php?t=95982

Stránka 1 z 2

Re: prosím o prohlídku...díky

Napsal: 10 led 2010 11:24
od motji
Hezké poledne :)

:arrow: Stáhněte na plochu, ukončete všechna aktivní okna a spusťte ComboFix - http://download.bleepingcomputer.com/sUBs/ComboFix.exe


- ComboFix je třeba spustit pod účtem s právy administrátora

- Před použitím vypněte všechny rezidentní bezpečnostní programy - antiviry, firewally, antispywary

- Po spuštění se zobrazí podmínky užití, potvrďte je stiskem tlačítka Ano

- Dále postupujte dle pokynů, během aplikování ComboFixu neklikejte do zobrazujícího se okna :!:

- Po dokončení skenování, trvajícího maximálně 10 minut, by měl program vytvořit log - C:\ComboFix.txt, skopírujte celý jeho obsah sem

Re: prosím o prohlídku...díky

Napsal: 13 led 2010 22:18
od motji
:arrow: Start - ovládací panely - možnosti složky - zobrazení - odkrýt skryté a systémové soubory

:arrow: Dejte soubor otestovat na http://www.virustotal.com

c:\windows\system32\Drivers\IesDrv.sys
C:^Documents and Settings^dharma^Nabídka Start^Programy^Po spuštění^Screen Saver Control.lnk

Do okénka zkopírujte cestu k souboru , pokud napíše, že soubor byl už testován, dejte otestovat znovu.
Sem vložte link s výsledky.

Re: prosím o prohlídku...díky

Napsal: 13 led 2010 23:16
od motji
:arrow: Pokud nemáte, přesuňte Combofix na plochu
-otevřete si Poznámkový blok
-Do něj zkopírujte text z tohoto okénka

Kód: Vybrat vše

Collect::
c:\windows\system32\Drivers\IesDrv.sys
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ASKUpgrade"=-
"ASKService"=-
Driver::
IesDrv
mkugdv
-uložte Vámi vytvořený TXT soubor jako CFScript.txt na plochu
-po uložení uchopte vámi vytvořený skript levým myšítkem a -přesuňte ho nad ikonu Combofixu, kde ho upustíte:

Obrázek


-po aplikaci na Vás vypadne další log,vložte ho sem

Upozornění : může se stát, že po aplikaci skriptu a restartu Windows nenaběhnou, v tom případě znovu restartujte a přitom mačkejte F8, pak zvolte Poslední známou funkční konfiguraci

:arrow: Stahněte z mého podpisu AVPTOOl http://www.viry.cz/forum/viewtopic.php?f=29&t=58179

-Podle návodu nainstalujte a proveďte sken
-co najde nechejte léčit, mazat
-sken může trvat několik hodin
-vložte zde log z výsledky

Re: prosím o prohlídku...díky

Napsal: 14 led 2010 07:40
od motji
:arrow: Pokud nemáte, přesuňte Combofix na plochu
-otevřete si Poznámkový blok
-Do něj zkopírujte text z tohoto okénka

Kód: Vybrat vše


KillAll::
Rootkit::
c:\windows\system32\Drivers\IesDrv.sys
Driver::
IesDrv
mkugdvs
FixCSet::
-uložte Vámi vytvořený TXT soubor jako CFScript.txt na plochu
-po uložení uchopte vámi vytvořený skript levým myšítkem a -přesuňte ho nad ikonu Combofixu, kde ho upustíte:

Obrázek


-po aplikaci na Vás vypadne další log,vložte ho sem

Upozornění : může se stát, že po aplikaci skriptu a restartu Windows nenaběhnou, v tom případě znovu restartujte a přitom mačkejte F8, pak zvolte Poslední známou funkční konfiguraci


:arrow: Stáhněte Gmer http://www.viry.cz/forum/viewtopic.php?f=29&t=62878
- rozbalte a spusťte
-proběhne sken, po skončení se otevře okno s výsledky, klikněte na Save a tím si uložíte log,který sem vložíte

-Podle návodu v odkazu provedete druhý sken a log sem také vložíte.

Re: prosím o prohlídku...díky

Napsal: 14 led 2010 10:22
od motji
Můžete duělat ještě znovu ten skript na combofix a gmer? Myslím že tam stále něco je :o

Re: prosím o prohlídku...díky

Napsal: 14 led 2010 11:57
od motji
:?: ten se drží zuby nehty

:arrow: Stáhněte Avenger
http://swandog46.geekstogo.com/avenger.exe

-spustíte program a potvrdíte kliknutím na ok,tím potvrzujete, že všechny činnosti s tím spojené činíte na vlastní riziko.
-Po odkliknutí se objeví hlavní okno programu,do bílého okna něj zkopírujte tento skript:

Kód: Vybrat vše

drivers to delete:
IesDrv

Files to delete:
C:\WINDOWS\system32\Drivers\IesDrv.sys
:!: -zaškrtněte políčko scan for rootkits

a klikněte na tlačítko Execute.
-Potom se objeví okno,kde kliknutím Yes potvrdíte spuštění skriptu. Pak znovu tlačítkem yes potvrdíte restart počítače.
-Po restartu by se měl otevřít poznámkový blok s logem o vykonání skriptu, bude také uložený v C:\avenger.txt.
-Log vložte sem

Re: prosím o prohlídku...díky

Napsal: 14 led 2010 14:01
od motji
:arrow: Stáhněte SystemLook
http://jpshortstuff.247fixes.com/SystemLook.exe

-uložte ho na plochu a spustte.
-do okénka zkopírujte

Kód: Vybrat vše

:filefind
IesDrv.sys

:regfind
IesDrv.sys
IesDrv
-klikněte na Look, proběhne sken, na konci se zobrazí log, jehož obsah zkopírujete sem

Re: prosím o prohlídku...díky

Napsal: 14 led 2010 21:44
od motji
:arrow: Stáhněte Avenger
http://swandog46.geekstogo.com/avenger.exe

-spustíte program a potvrdíte kliknutím na ok,tím potvrzujete, že všechny činnosti s tím spojené činíte na vlastní riziko.
-Po odkliknutí se objeví hlavní okno programu,do bílého okna něj zkopírujte tento skript:

Kód: Vybrat vše


Registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IesDrv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IesDrv\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IESDRV
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IesDrv
:!: -zaškrtněte políčko scan for rootkits

a klikněte na tlačítko Execute.
-Potom se objeví okno,kde kliknutím Yes potvrdíte spuštění skriptu. Pak znovu tlačítkem yes potvrdíte restart počítače.
-Po restartu by se měl otevřít poznámkový blok s logem o vykonání skriptu, bude také uložený v C:\avenger.txt.
-Log vložte sem

Re: prosím o prohlídku...díky

Napsal: 14 led 2010 22:06
od motji
Zkuste zopakovat systemlook se stejným skriptem

Re: prosím o prohlídku...díky

Napsal: 15 led 2010 07:09
od motji
Omlouvám se, měla jsem Vám tu napsat ten skript rovnou, popletl se Vám s avengerem :) . Takže Vás poprosím ještě jednou :)

:arrow: Stáhněte SystemLook
http://jpshortstuff.247fixes.com/SystemLook.exe

-uložte ho na plochu a spustte.
-do okénka zkopírujte
:filefind
IesDrv.sys

:regfind
IesDrv.sys
IesDrv
-klikněte na Look, proběhne sken, na konci se zobrazí log, jehož obsah zkopírujete sem

Re: prosím o prohlídku...díky

Napsal: 16 led 2010 07:51
od motji
Můžete prosím spustit znovu combofix?

Re: prosím o prohlídku...díky

Napsal: 16 led 2010 20:57
od motji
:arrow: Otestujte na www.virustotal.com
c:\windows\system32\drivers\taphss.sys


:arrow: Další skript pro avanger :)

Kód: Vybrat vše

Registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IesDrv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\IesDrv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IesDrv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IESDRV
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IESDRV\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IesDrv\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IESDRV

Re: prosím o prohlídku...díky

Napsal: 16 led 2010 21:27
od motji
Asi budeme hrát hru kdo z koho :?: :o

:arrow: Pokud nemáte, přesuňte Combofix na plochu
-otevřete si Poznámkový blok
-Do něj zkopírujte text z tohoto okénka

Kód: Vybrat vše

KIllAll::
Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IesDrv]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\IesDrv]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IesDrv]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IESDRV]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IESDRV\0000\Control]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IesDrv\Enum]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IESDRV]
-uložte Vámi vytvořený TXT soubor jako CFScript.txt na plochu
-po uložení uchopte vámi vytvořený skript levým myšítkem a -přesuňte ho nad ikonu Combofixu, kde ho upustíte:

Obrázek


-po aplikaci na Vás vypadne další log,vložte ho sem

Upozornění : může se stát, že po aplikaci skriptu a restartu Windows nenaběhnou, v tom případě znovu restartujte a přitom mačkejte F8, pak zvolte Poslední známou funkční konfiguraci

Re: prosím o prohlídku...díky

Napsal: 16 led 2010 22:03
od motji
:shock: Něco Vám po cestě zbaštilo jeden soubor :o :lol: , pak ho nahradíme :) .
Otestujte prosím na www,virustotal.com
c:\windows\$NtServicePackUninstall$\ctfmon.exe

Re: prosím o prohlídku...díky

Napsal: 16 led 2010 22:29
od motji
:shock: tak pokud nepoužíváte office, tak snad ne..ale já bych ho raději nahradila :) . Můžeme ho vypnout po startu, aby Vám nezavazel :D

:arrow: Pokud nemáte, přesuňte Combofix na plochu
-otevřete si Poznámkový blok
-Do něj zkopírujte text z tohoto okénka

Kód: Vybrat vše

FCOPY::
c:\windows\$NtServicePackUninstall$\ctfmon.exe | c:\windows\System32\ctfmon.exe
suspect::
C:\WINDOWS\system32\Drivers\IesDrv.sys
-uložte Vámi vytvořený TXT soubor jako CFScript.txt na plochu
-po uložení uchopte vámi vytvořený skript levým myšítkem a -přesuňte ho nad ikonu Combofixu, kde ho upustíte:

Obrázek


-po aplikaci na Vás vypadne další log,vložte ho sem

Upozornění : může se stát, že po aplikaci skriptu a restartu Windows nenaběhnou, v tom případě znovu restartujte a přitom mačkejte F8, pak zvolte Poslední známou funkční konfiguraci
Všechny časy jsou v UTC+01:00
Stránka 1 z 2

Založeno na phpBB® Forum Software © phpBB Limited

Český překlad – phpBB.cz