Prosím o pomoc s logy (novacek s zavirovanym PC :( )

[zziipp]

Dobrý den,
jsem tu poprvé takže se omlouvám pokud něco napíši špatně nebo tak něco.
Před Vánoci jsem měl silně zavirovaný PC virem Kryptik a stále jsem s ním zápasil (za podpory společnosti ESET která mi posílala různé soubory které jsem přepisoval přes soubory jež byly napadeny. Celé tyto peripetie vypadali slibně až do teď kdy mě chtěli odpojit od sítě kvůli tomu že prý z mé IP adresy je strašně silá komunikace po portu 25. Proto jsem PC projel combofixem a to tak že dvakrát (při prvním projetí mi něco mazal, při druhém už ne) a tak bych se chtěl zeptat zda by mi někdo zkušený mohl zkontrolovat log a říct jestli už jsem se toho viru zbavil nebo co mám dělat dál. Moc dík za jakékoli rady!
PS: Používám Win XP SP3 a ESET Smart security
Přikládám:1)Log z combofixu; 2)Log z Gmeru (ten celkový! během toh úvodního mi to hned napsalo že bylo něco modifikovaný a nabídlo mi to hned ten celkový tak jsem to potvrdil);

--------------------------------------------------------------

1) Log z Combofixu:
ComboFix 10-01-19.08 - D5S 20.01.2010 13:33:29.5.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.511.270 [GMT 1:00]
Spuštěný z: c:\documents and settings\D5S\Plocha\ComboFix.exe
AV: ESET Smart Security 4.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
FW: ESET personal firewall *disabled* {E5E70D32-0101-4340-86A3-A7B0F1C8FFE0}
.

((((((((((((((((((((((((( Soubory vytvořené od 2009-12-20 do 2010-01-20 )))))))))))))))))))))))))))))))
.

2010-01-20 12:27 . 2010-01-20 12:31 -------- d-----w- c:\windows\LastGood

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-20 12:39 . 2009-12-14 12:14 763904 ----a-w- c:\windows\system32\drivers\ibmidvrc.sys
2009-12-15 12:20 . 2009-12-15 12:20 390144 ----a-w- c:\windows\system32\CF6462.exe
2009-12-15 12:11 . 2009-12-15 12:11 390144 ----a-w- c:\windows\system32\CF4859.exe
2009-12-15 12:05 . 2009-12-15 12:05 390144 ----a-w- c:\windows\system32\CF3565.exe
2009-12-15 12:03 . 2009-12-15 12:03 390144 ----a-w- c:\windows\system32\CF3236.exe
2009-12-15 12:02 . 2009-12-15 12:11 2933823 ----a-r- C:\neco.exe
2009-12-14 12:18 . 2009-12-14 12:18 390144 ----a-w- c:\windows\system32\CF18908.exe
2009-10-26 07:46 . 2004-08-18 12:00 46196 ----a-w- c:\windows\system32\perfc005.dat
2009-10-26 07:46 . 2004-08-18 12:00 309990 ----a-w- c:\windows\system32\perfh005.dat
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-12-10 39408]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-01-29 23975720]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="NvQTwk" [X]
"Smapp"="c:\program files\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 143360]
"DrvLsnr"="c:\program files\Analog Devices\SoundMAX\DrvLsnr.exe" [2003-05-08 69632]
"Spamihilator"="c:\program files\Spamihilator\spamihilator.exe" [2008-01-06 1003520]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2009-05-14 2029640]
"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0_05\bin\jusched.exe" [2005-08-26 36975]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2009-09-04 198160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Spamihilator\\dccproc.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [14.5.2009 14:47 107256]
R2 ekrn;ESET Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [14.5.2009 14:47 731840]
S1 e0d2d7f5;e0d2d7f5;c:\windows\system32\drivers\e0d2d7f5.sys [14.5.2009 16:06 0]
S2 NetDDEdsdmUPS;Správce DSDM služby DDE v síti NetDDEdsdmUPS;c:\windows\system32\1042h.exe srv --> c:\windows\system32\1042h.exe srv [?]

--- Ostatní služby/ovladače v paměti ---

*Deregistered* - ibmidvrc
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-20 13:39
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ibmidvrc]

.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'explorer.exe'(2088)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Celkový čas: 2010-01-20 13:41:41
ComboFix-quarantined-files.txt 2010-01-20 12:41

Před spuštěním: 9 229 938 688
Po spuštění: 9 215 492 096

- - End Of File - - E983368A800EBCCE6B489E6B25AA6759

--------------------------------------------------------------

2) Log z GMERu (celkový zakončený hláškou "WARNING !!!
GMER has found system modification caused by ROOTKIT activity."):

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-21 05:29:05
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\D5S\LOCALS~1\Temp\uxtdapob.sys


---- System - GMER 1.0.15 ----

SSDT 8290D8A0 ZwAssignProcessToJobObject
SSDT 8290CCB0 ZwOpenProcess
SSDT 8290D0D0 ZwOpenThread
SSDT 8290D6D0 ZwSuspendProcess
SSDT 8290D4F0 ZwSuspendThread
SSDT 8290CEE0 ZwTerminateProcess
SSDT 8290D310 ZwTerminateThread

---- Kernel code sections - GMER 1.0.15 ----

.pak2 C:\WINDOWS\system32\drivers\ibmidvrc.sys entry point in ".pak2" section [0xF867C168]
? C:\WINDOWS\system32\drivers\ibmidvrc.sys Zařízení připojené k systému nefunguje.
PAGE Ntfs.sys F84A2E55 4 Bytes CALL 82EC9D69

---- User code sections - GMER 1.0.15 ----

.text C:\Program Files\ESET\ESET Smart Security\ekrn.exe[192] kernel32.dll!SetUnhandledExceptionFilter 7C84495D 4 Bytes [C2, 04, 00, 00]

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 82EAA060

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)
AttachedDevice \Driver\Tcpip \Device\Ip epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)
AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)
AttachedDevice \Driver\Tcpip \Device\Udp epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)
AttachedDevice \Driver\Tcpip \Device\RawIp epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)
AttachedDevice \FileSystem\Fastfat \Fat eamon.sys (Amon monitor/ESET)

---- Threads - GMER 1.0.15 ----

Thread System [4:524] 8290B930

---- Services - GMER 1.0.15 ----

Service (*** hidden *** ) [BOOT] ibmidvrc <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\ibmidvrc@Type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\ibmidvrc@Start 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\ibmidvrc@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\ibmidvrc@Group Boot Bus Extender
Reg HKLM\SYSTEM\ControlSet002\Services\ibmidvrc@Type 1
Reg HKLM\SYSTEM\ControlSet002\Services\ibmidvrc@Start 0
Reg HKLM\SYSTEM\ControlSet002\Services\ibmidvrc@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\ibmidvrc@Group Boot Bus Extender

---- EOF - GMER 1.0.15 ----


PROSÍM PORAĎTE CO DÁL DÍK!!!

[cernohous13]

Zdravím a vítám tě u nás

Stahni Avenger zde:
http://swandog46.geekstogo.com/avenger.exe
Spusť a všude souhlas „Yes“
Hlavní okno

dole dej fajfku do obou čtverečků

Do pole „Input script here“ zkopíruj zelený text scriptu > „Execute“ > „Yes“
Bude restart a je potřeba vyčkat na otevření Notepadu a jeho obsah sem vložit.

Script

Kód: Vybrat vše

Files to delete:
C:\WINDOWS\system32\drivers\ibmidvrc.sys

Drivers to delete:
ibmidvrc

[zziipp]

Provedeno! Děkuji!

!!!(Jeste chci upozornit ze mi eset po rebootu hlasit totok: 21.1.2010 6:58:55 Rezidentní ochrana soubor C:\avenger\ibmidvrc.sys Win32/Rootkit.Agent.NSJ trojský kůň vyléčen smazáním - uložen do karantény PETRA\D5S Tato skutečnost byla zjištěna při pokusu o přístup k souboru aplikací: C:\zip.exe.)!!!

Zde je log z avengeru:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\drivers\ibmidvrc.sys" deleted successfully.
Driver "ibmidvrc" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

[cernohous13]

tak hlavní škůdce by mohl být pryč

teď ComboFix odinstalujeme
jdi Start -> Spustit... a zkopíruj ComboFix /Uninstall (pozor, za x je mezera) -> OK

pak použij

Stáhni z mého podpisu T-cleaner - uklidí po použitých čističích.
Po spuštění ignoruj případné varování antiviru - je to v pořádku
Po provedení akce T-cleaner smažeš

Stáhni si nový ComboFix
a ulož ho na plochu.
Ukonči všechna aktivní okna,vypni Antispy a Antivir a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna a nic nespouštěj
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah
Kdyby ti po použití ComboFixu systém nenaběhl - při restartu F8 a poslední známá funkční konfigurace

[zziipp]

Děkuji moc za pomoc! Moc si toho cenním! Vše jsem udělal dle rad...

Zde je nový log z Combofixu:
ComboFix 10-01-20.05 - D5S 21.01.2010 15:10:39.6.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.511.288 [GMT 1:00]
Spuštěný z: c:\documents and settings\D5S\Plocha\ComboFix.exe
AV: ESET Smart Security 4.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
FW: ESET personal firewall *disabled* {E5E70D32-0101-4340-86A3-A7B0F1C8FFE0}
.

((((((((((((((((((((((((( Soubory vytvořené od 2009-12-21 do 2010-01-21 )))))))))))))))))))))))))))))))
.

2010-01-21 11:33 . 2010-01-21 11:33 1372 ----a-w- C:\esetmail2.zip
2010-01-21 11:27 . 2010-01-21 11:32 -------- d-----w- C:\esetmail2
2010-01-21 10:18 . 2010-01-21 10:26 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-01-21 10:14 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-21 10:14 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-21 10:14 . 2010-01-21 10:17 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-01-21 09:56 . 2010-01-21 09:56 3142874 ----a-w- C:\esetmail.zip
2010-01-21 09:51 . 2010-01-21 09:54 -------- d-----w- C:\esetmail
2010-01-21 09:49 . 2010-01-21 09:50 -------- d-----w- c:\program files\IZArc
2010-01-21 09:22 . 2010-01-21 09:22 -------- d-----w- c:\windows\ie8updates
2010-01-21 09:19 . 2009-10-29 07:43 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2010-01-21 09:18 . 2009-10-29 07:43 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2010-01-21 09:07 . 2010-01-21 09:07 124886 ----a-w- C:\Qoobox.zip
2010-01-21 04:57 . 2010-01-21 04:57 -------- d-sh--w- c:\documents and settings\D5S\IETldCache
2010-01-21 04:50 . 2010-01-21 04:52 -------- dc-h--w- c:\windows\ie8
2010-01-21 04:40 . 2004-08-18 12:00 221184 ----a-w- c:\windows\system32\wmpns.dll
2010-01-21 03:44 . 2009-06-21 21:48 153088 -c----w- c:\windows\system32\dllcache\triedit.dll
2010-01-21 03:41 . 2009-07-10 13:28 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll
2010-01-21 03:36 . 2009-11-21 16:03 471552 -c----w- c:\windows\system32\dllcache\aclayers.dll
2010-01-21 03:34 . 2009-10-15 16:32 81920 -c----w- c:\windows\system32\dllcache\fontsub.dll
2010-01-21 03:34 . 2009-10-15 16:32 119808 -c----w- c:\windows\system32\dllcache\t2embed.dll
2010-01-20 12:47 . 2010-01-20 12:47 0 ----a-w- c:\windows\nsreg.dat

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-21 09:27 . 2004-08-18 12:00 46196 ----a-w- c:\windows\system32\perfc005.dat
2010-01-21 09:27 . 2004-08-18 12:00 309990 ----a-w- c:\windows\system32\perfh005.dat
2009-12-15 12:02 . 2009-12-15 12:11 2933823 ----a-r- C:\neco.exe
2009-11-21 16:03 . 2004-08-18 12:00 471552 ----a-w- c:\windows\AppPatch\aclayers.dll
2009-10-29 07:43 . 2004-08-18 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-12-10 39408]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-01-29 23975720]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="NvQTwk" [X]
"Smapp"="c:\program files\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 143360]
"DrvLsnr"="c:\program files\Analog Devices\SoundMAX\DrvLsnr.exe" [2003-05-08 69632]
"Spamihilator"="c:\program files\Spamihilator\spamihilator.exe" [2008-01-06 1003520]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2009-05-14 2029640]
"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0_05\bin\jusched.exe" [2005-08-26 36975]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2009-09-04 198160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Spamihilator\\dccproc.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [14.5.2009 14:47 107256]
R2 ekrn;ESET Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [14.5.2009 14:47 731840]
S1 e0d2d7f5;e0d2d7f5;c:\windows\system32\drivers\e0d2d7f5.sys [14.5.2009 16:06 0]
S2 NetDDEdsdmUPS;Správce DSDM služby DDE v síti NetDDEdsdmUPS;c:\windows\system32\1042h.exe srv --> c:\windows\system32\1042h.exe srv [?]
S3 esihdrv;esihdrv;\??\c:\docume~1\D5S\LOCALS~1\Temp\esihdrv.sys --> c:\docume~1\D5S\LOCALS~1\Temp\esihdrv.sys [?]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
FF - ProfilePath - c:\documents and settings\D5S\Data aplikací\Mozilla\Firefox\Profiles\6amypd8v.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com
FF - component: c:\program files\Real\RealPlayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll
FF - plugin: c:\program files\Java\jre1.5.0_05\bin\NPJava11.dll
FF - plugin: c:\program files\Java\jre1.5.0_05\bin\NPJava12.dll
FF - plugin: c:\program files\Java\jre1.5.0_05\bin\NPJava13.dll
FF - plugin: c:\program files\Java\jre1.5.0_05\bin\NPJava14.dll
FF - plugin: c:\program files\Java\jre1.5.0_05\bin\NPJava32.dll
FF - plugin: c:\program files\Java\jre1.5.0_05\bin\NPJPI150_05.dll
FF - plugin: c:\program files\Java\jre1.5.0_05\bin\NPOJI610.dll

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-21 15:16
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'explorer.exe'(1956)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Celkový čas: 2010-01-21 15:19:04
ComboFix-quarantined-files.txt 2010-01-21 14:18

Před spuštěním: 8 709 353 472
Po spuštění: 8 669 163 520

- - End Of File - - C857AFBFAE090DD6BED2EC40F89C1593

Tak jak to vypadá? Ještě tam něco je?

[cernohous13]

Klikni na VT v mém podpisu
klik "Procházet" > do zadávacího pole zkopíruj:

c:\windows\system32\drivers\e0d2d7f5.sys

"Odeslat soubor" (pokud byl již testován, nech testovat znovu)
Trpělivě vyčkej dokončení scanu dokud se neobjeví konečný výsledek např.0/39
Do fóra zkopíruj výsledný log. nebo link na stránku.

totéž se souborem:
c:\windows\system32\1042h.exe

soubor C:\neco.exe znáš?

Máš tam MBAM - udělej kompletní scan - log dej sem

[zziipp]

Netuším proč ale vždy když se pokusím něco uploadnout (na VT) tak mi to vyhodí hlášku "0 bytes size received / Se ha recibido un archivo vacio" a když jsem jim ráno zkoušel poslat jeden soubor mailem s předmětem SCAN (což je dle jejich stránek taky možné) tak se mi doteď nevrátil žádný výsledek. Tak nevím kde je chybka (zkoušel jsem Mozillu a pak i IE8 a oboje hodí strjnou hlášku). Nemáte nějaký návrh co s tím? Vám to funguje?

Jo a soubor neco.exe znam je to starsi verze combofixu prejmenovana na neco (ted jsem ji nepouzival ale muzu to asi smaznout,co?!)

[cernohous13]

ten druhý soubor tam nemusí být, ale ten první je dost možná přejmenovávaný nějakým škůdcem
proto

stáhneš speciální verzi G-Mer
Special
ulož na plochu a spusť -> proběhne krátký scan
když dostaneš hlášku rootkit activity and asks if you want to run scan>>klikneš NO<<
a nastavíš to takto


>> klikneš scan,<<
na konci scanu >>SAVE<< název dej Gspeclog.txt>>ulož na plochu a log vlož sem

soubor C:\neco.exe smaž

[zziipp]

Moc dík!
Soubor neco.exe jsem smazal!

Zde jsou logy:
1) MBAM: (!!Ten infikovaný soubor co je na konci logu mohu asi nechat smazat, ze jo??!!)

Malwarebytes' Anti-Malware 1.44
Verze databáze: 3607
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

21.1.2010 21:52:13
mbam-log-2010-01-21 (21-51-52).txt

Typ kontroly: Kompletní kontrola (A:\|C:\|D:\|E:\|)
Zkontrolované objekty: 140168
Uplynulý čas: 34 minute(s), 9 second(s)

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 0
Infikované hodnoty registru: 0
Infikované datové položky registru: 0
Infikované adresáře: 0
Infikované soubory: 1

Infikované procesy v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované moduly v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované klíče registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované hodnoty registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované datové položky registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované adresáře:
(Nebyly nalezeny žádné škodlivé položky)

Infikované soubory:
C:\System Volume Information\_restore{638188A6-6F90-4E5B-B2D5-7AC050168422}\RP2\A0000106.sys (Malware.Trace) -> No action taken.
---------------------------------------

2) Gspeclog: (!! Hláška "rootkit activity and asks if you want to run scan" se nekonala !!)

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-21 22:25:26
Windows 5.1.2600 Service Pack 3
Running: vni64f6r.exe; Driver: C:\DOCUME~1\D5S\LOCALS~1\Temp\uxtdapob.sys


---- System - GMER 1.0.15 ----

SSDT 82BA68A0 ZwAssignProcessToJobObject
SSDT 82BA5CB0 ZwOpenProcess
SSDT 82BA60D0 ZwOpenThread
SSDT 82BA66D0 ZwSuspendProcess
SSDT 82BA64F0 ZwSuspendThread
SSDT 82BA5EE0 ZwTerminateProcess
SSDT 82BA6310 ZwTerminateThread

---- User code sections - GMER 1.0.15 ----

.text C:\Program Files\ESET\ESET Smart Security\ekrn.exe[1684] kernel32.dll!SetUnhandledExceptionFilter 7C84495D 4 Bytes [C2, 04, 00, 00]

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)
AttachedDevice \Driver\Tcpip \Device\Ip epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)
AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)
AttachedDevice \Driver\Tcpip \Device\Udp epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)
AttachedDevice \Driver\Tcpip \Device\RawIp epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)
AttachedDevice \FileSystem\Fastfat \Fat eamon.sys (Amon monitor/ESET)

---- Threads - GMER 1.0.15 ----

Thread System [4:512] 82BA4930

---- EOF - GMER 1.0.15 ----

[zziipp]

Prosím poraďte co dál? Myslíte že už je to lepší? Ať na ty logy kouká jak koukám nic mi neříkají

[cernohous13]

Otevři Poznámkový blok (Notepad) a zkopíruj celý zelený text z "CFscriptu".
Soubor ulož na plochu jako CFscript.txt a jeho ikonu přetáhni myší nad ikonu ComboFixu - tam pusť.

ComboFix se spustí - počkej na log a vlož ho sem.

CFscript

Kód: Vybrat vše

KillAll::

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"=-
"Adobe Reader Speed Launcher"=-
"SunJavaUpdateSched"=-
"TkBellExe"=-

Driver::
esihdrv
NetDDEdsdmUPS
e0d2d7f5

File::
c:\windows\system32\drivers\e0d2d7f5.sys

[zziipp]

Doufám že jsem toudělal dobre. Jen jsem zahledl ze Combofix mazal tem soubor s koncovkou sys (ale to je asi spravne ze ano). Děkuji a jeste jednou dekuji!

Log z Combofixu:
ComboFix 10-01-20.05 - D5S 22.01.2010 9:11.7.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.511.336 [GMT 1:00]
Spuštěný z: c:\documents and settings\D5S\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\D5S\Plocha\CFscript.txt
AV: ESET Smart Security 4.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
FW: ESET personal firewall *disabled* {E5E70D32-0101-4340-86A3-A7B0F1C8FFE0}

FILE ::
"c:\windows\system32\drivers\e0d2d7f5.sys"
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\e0d2d7f5.sys

.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ESIHDRV
-------\Legacy_NETDDEDSDMUPS
-------\Service_e0d2d7f5
-------\Service_esihdrv
-------\Service_NetDDEdsdmUPS


((((((((((((((((((((((((( Soubory vytvořené od 2009-12-22 do 2010-01-22 )))))))))))))))))))))))))))))))
.

2010-01-21 19:53 . 2010-01-21 19:53 -------- d-sh--w- c:\documents and settings\D5S\PrivacIE
2010-01-21 11:33 . 2010-01-21 11:33 1372 ----a-w- C:\esetmail2.zip
2010-01-21 11:27 . 2010-01-21 11:32 -------- d-----w- C:\esetmail2
2010-01-21 10:18 . 2010-01-21 10:26 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-01-21 10:14 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-21 10:14 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-21 10:14 . 2010-01-21 10:17 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-01-21 09:56 . 2010-01-21 09:56 3142874 ----a-w- C:\esetmail.zip
2010-01-21 09:51 . 2010-01-21 09:54 -------- d-----w- C:\esetmail
2010-01-21 09:49 . 2010-01-21 09:50 -------- d-----w- c:\program files\IZArc
2010-01-21 09:22 . 2010-01-21 09:22 -------- d-----w- c:\windows\ie8updates
2010-01-21 09:19 . 2009-12-21 19:08 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2010-01-21 09:18 . 2009-12-21 19:08 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2010-01-21 09:07 . 2010-01-21 09:07 124886 ----a-w- C:\Qoobox.zip
2010-01-21 04:57 . 2010-01-21 04:57 -------- d-sh--w- c:\documents and settings\D5S\IETldCache
2010-01-21 04:50 . 2010-01-21 04:52 -------- dc-h--w- c:\windows\ie8
2010-01-21 04:40 . 2004-08-18 12:00 221184 ----a-w- c:\windows\system32\wmpns.dll
2010-01-21 03:44 . 2009-06-21 21:48 153088 -c----w- c:\windows\system32\dllcache\triedit.dll
2010-01-21 03:41 . 2009-07-10 13:28 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll
2010-01-21 03:36 . 2009-11-21 16:03 471552 -c----w- c:\windows\system32\dllcache\aclayers.dll
2010-01-21 03:34 . 2009-10-15 16:32 81920 -c----w- c:\windows\system32\dllcache\fontsub.dll
2010-01-21 03:34 . 2009-10-15 16:32 119808 -c----w- c:\windows\system32\dllcache\t2embed.dll
2010-01-20 12:47 . 2010-01-20 12:47 0 ----a-w- c:\windows\nsreg.dat

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-21 09:27 . 2004-08-18 12:00 46196 ----a-w- c:\windows\system32\perfc005.dat
2010-01-21 09:27 . 2004-08-18 12:00 309990 ----a-w- c:\windows\system32\perfh005.dat
2009-12-21 19:08 . 2004-08-18 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2009-11-21 16:03 . 2004-08-18 12:00 471552 ----a-w- c:\windows\AppPatch\aclayers.dll
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-12-10 39408]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-01-29 23975720]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="NvQTwk" [X]
"Smapp"="c:\program files\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 143360]
"DrvLsnr"="c:\program files\Analog Devices\SoundMAX\DrvLsnr.exe" [2003-05-08 69632]
"Spamihilator"="c:\program files\Spamihilator\spamihilator.exe" [2008-01-06 1003520]
"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2009-05-14 2029640]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Spamihilator\\dccproc.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [14.5.2009 14:47 107256]
R2 ekrn;ESET Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [14.5.2009 14:47 731840]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
FF - ProfilePath - c:\documents and settings\D5S\Data aplikací\Mozilla\Firefox\Profiles\6amypd8v.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com
FF - component: c:\program files\Real\RealPlayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll
FF - plugin: c:\program files\Java\jre1.5.0_05\bin\NPJava11.dll
FF - plugin: c:\program files\Java\jre1.5.0_05\bin\NPJava12.dll
FF - plugin: c:\program files\Java\jre1.5.0_05\bin\NPJava13.dll
FF - plugin: c:\program files\Java\jre1.5.0_05\bin\NPJava14.dll
FF - plugin: c:\program files\Java\jre1.5.0_05\bin\NPJava32.dll
FF - plugin: c:\program files\Java\jre1.5.0_05\bin\NPJPI150_05.dll
FF - plugin: c:\program files\Java\jre1.5.0_05\bin\NPOJI610.dll

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-22 09:22
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'explorer.exe'(3100)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\nvsvc32.exe
c:\program files\Analog Devices\SoundMAX\SMAgent.exe
c:\program files\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Celkový čas: 2010-01-22 09:29:21 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-01-22 08:29
ComboFix2.txt 2010-01-21 14:19

Před spuštěním: 8 430 796 800
Po spuštění: 8 366 264 320

- - End Of File - - 215CCD5A6C10779035A0FD46FB42A4AC

[cernohous13]

teď ComboFix odinstalujeme
jdi Start -> Spustit... a zkopíruj ComboFix /Uninstall (pozor, za x je mezera) -> OK

Odinstaluj G-Mer
přes Start -> Spustit... -> do okénka zkopíruj příkaz
C:\WINDOWS\gmer_uninstall.cmd

pak použij

Stáhni z mého podpisu T-cleaner - uklidí po použitých čističích.
Po spuštění ignoruj případné varování antiviru - je to v pořádku
Po provedení akce T-cleaner smažeš

Stáhni TempFolderCleaner http://oldtimer.geekstogo.com/TFC.exe
Zavři všechny programy a spusť. Po ukončení akce bude PC restartován.
Pokud ne, restartuj sám.
(čistí Temp složky , nečistí URL, historii, prefetch ani cookies)

Vypni Obnovu systému -> restart -> znovu ji zapni
návod bys našel na SVI v mém podpisu

Mohu doporučit kontrolu a vyčištění Ccleanerem

Stáhni Ccleaner - odkaz v mém podpisu.
Při instalaci vyhodit fajfku u "Instalovat Yahoo! Toolbar"

zavřít Internetový prohlížeč a
spustit "Čistič" > "Spustit Ccleaner" - odstraní nepotřebné
spustit "Registry" > "Hledej problémy" > "Opravit vybrané problémy"
souhlas se zálohou registrů - opakovat dokud nebudou registry čisté.
Návod:http://jnp.zive.cz/Clanky/Prirucka-do-k ... fault.aspx

Ten si můžeš nechat i na budoucí občasné čištění.

hodila by se Defragmentace a pak tvoje zpráva o stavu a chování PC

[zziipp]

Vše až na tu odinstalaci gmeru se povedlo (ten gem nevím jak odinstalovat na danem umisteni zadny takovy soubor neni) ale to dofam neni problem. Ted jeste pustim tu defragmentaci a mohu se zeptat? Uz je ten PC v poradku nebo se z nej jest mohu necim nakazit? Mam to jeste necim projet? (Kompletni test ESETem smart security? Nebo necim jinym? Jak se lze takovym virum branit? Myslel jsem ze "komplexni ochrana" od Esetu je dostacujici ale jak vidim tak neni, co by jste mi k ni doporucil? Diky moc za pomoc!!!

Jinak PC funguje

[cernohous13]

Nemám potvzeno, ale G-mer special se snad ani neinstaluje, takže není co mazat
logy ze všech scanerů jsou bez zjevné infekce a pokud NOD nic nezachytil, zkus to prověřit CureItem z mého podpisu. Defragmentace je proto, že se dost mazalo, a je lepší fragmenty na disku zase porovnat.

Žádný program ti nezajistí absolutní ochranu protože databáze škůdců pro jednotlivé ochranné programy vzniká až poté, co se malware objeví. Rozhodující je chování uživatele - s rozmyslem instalovat pouze prověřené odzkoušené programy. Po stažení je prověřit na VirusTotalu a po instalaci zkontrolovat Antivirem a třeba i MBAMem.

A při podezření hned RSIT log sem k nám.