VIRY.CZ

Pri odinštalovaní jedného programu ( pomocou Your Uninstallera ) sa mi pri tom odinštalovávali presnejšie mazali aj iné súbory iných aplikácií! Ja som bol v šoku, pretože to sa mi nikdy predtým nestalo. Samozrejme, že NOD32 mlčal... Počul som, že v súčasnosti zúri na internete nejaký český vírus, na ktorý nie je v súčasnosti liek. Ešte pred spomenutým odinštalovaním ( Your Uninstaller ) mi zmizli všetky ikony na ploche, po reštarte sa objavila cca polovica z nich.....

Hoci som partíciu prepísal image-om, nemám kľudné svedomie... Veľmi nerád by som zálohoval cca 500 GB na dévédéčká....

Prosím o pomoc! Vopred ďakujem

====================================================================================
Logfile of random's system information tool 1.06 (written by random/random)
Run by Omikron at 2010-01-29 20:05:30
Systém Microsoft Windows XP Professional Service Pack 2
System drive C: has 95 GB (95%) free of 100 GB
Total RAM: 3071 MB (79% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:05:37, on 29. 1. 2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\TotalCmd\TOTALCMD.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\foobar2000\foobar2000.exe
C:\Documents and Settings\Omikron\Dokumenty\Preberanie\RSIT.exe
C:\Program Files\trend micro\Omikron.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Bonus.SSR.FR10] "C:\Program Files\ABBYY FineReader 10\Bonus.ScreenshotReader.exe" /autorun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe

--
End of file - 2816 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"zBrowser Launcher"=C:\Program Files\Logitech\iTouch\iTouch.exe [2004-03-18 892928]
"StartCCC"=C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [2009-08-13 98304]
"egui"=C:\Program Files\ESET\ESET Smart Security\egui.exe [2007-12-21 1443072]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2008-02-13 16857600]
"Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2005-05-03 69632]
"Bonus.SSR.FR10"=C:\Program Files\ABBYY FineReader 10\Bonus.ScreenshotReader.exe [2010-01-18 941320]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-08-17 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2009-08-14 155648]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

======List of files/folders created in the last 1 months======

2010-01-29 20:05:30 ----D---- C:\rsit
2010-01-29 20:05:30 ----D---- C:\Program Files\trend micro
2010-01-29 16:29:20 ----D---- C:\Program Files\ABBYY FineReader 10
2010-01-29 16:29:20 ----D---- C:\Documents and Settings\All Users\Data aplikací\ABBYY
2010-01-29 12:56:38 ----D---- C:\Program Files\Monkey's Audio
2010-01-29 11:53:32 ----R---- C:\WINDOWS\Alcmtr.exe
2010-01-29 11:44:40 ----D---- C:\Documents and Settings\Omikron\Data aplikací\foobar2000
2010-01-29 11:44:34 ----D---- C:\Program Files\foobar2000
2010-01-29 11:23:11 ----D---- C:\Program Files\VS Revo Group
2010-01-29 10:14:30 ----D---- C:\Documents and Settings\Omikron\Data aplikací\WinRAR
2010-01-29 10:13:21 ----D---- C:\Program Files\WinRAR
2010-01-29 09:53:08 ----D---- C:\Documents and Settings\Omikron\Data aplikací\Macromedia
2010-01-29 09:53:08 ----D---- C:\Documents and Settings\Omikron\Data aplikací\Adobe
2010-01-29 09:48:21 ----D---- C:\Documents and Settings\Omikron\Data aplikací\Mozilla
2010-01-29 09:48:13 ----D---- C:\Program Files\Mozilla Firefox
2010-01-29 09:40:36 ----D---- C:\Documents and Settings\Omikron\Data aplikací\ESET
2010-01-29 09:39:07 ----D---- C:\Program Files\ESET
2010-01-29 09:39:07 ----D---- C:\Documents and Settings\All Users\Data aplikací\ESET
2010-01-29 09:32:26 ----D---- C:\Program Files\TotalCmd
2010-01-29 09:32:26 ----A---- C:\WINDOWS\wincmd.ini

======List of files/folders modified in the last 1 months======

2010-01-29 20:05:33 ----D---- C:\WINDOWS\Prefetch
2010-01-29 20:05:31 ----D---- C:\WINDOWS\Temp
2010-01-29 20:05:30 ----RD---- C:\Program Files
2010-01-29 16:35:35 ----SHD---- C:\WINDOWS\Installer
2010-01-29 12:56:38 ----D---- C:\WINDOWS\system32
2010-01-29 12:14:04 ----SD---- C:\Documents and Settings\Omikron\Data aplikací\Microsoft
2010-01-29 11:55:21 ----D---- C:\WINDOWS
2010-01-29 11:54:25 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-01-29 11:54:07 ----D---- C:\WINDOWS\system32\RTCOM
2010-01-29 11:54:07 ----D---- C:\WINDOWS\system32\drivers
2010-01-29 11:54:05 ----RSHDC---- C:\WINDOWS\system32\dllcache
2010-01-29 11:53:53 ----D---- C:\WINDOWS\system32\CatRoot2
2010-01-29 11:23:15 ----HD---- C:\WINDOWS\inf
2010-01-29 09:30:59 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 easdrv;easdrv; C:\WINDOWS\system32\DRIVERS\easdrv.sys [2007-12-21 30216]
R1 epfwtdi;epfwtdi; C:\WINDOWS\system32\DRIVERS\epfwtdi.sys [2007-12-21 53768]
R1 intelppm;Řadič procesoru Intel; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2004-08-17 39936]
R2 eamon;EAMON; C:\WINDOWS\system32\DRIVERS\eamon.sys [2007-12-21 39944]
R2 epfw;epfw; C:\WINDOWS\system32\DRIVERS\epfw.sys [2007-12-21 71176]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2009-08-14 4485632]
R3 AtiHdmiService;ATI Function Driver for HDMI Service; C:\WINDOWS\system32\drivers\AtiHdmi.sys [2009-06-02 99856]
R3 Epfwndis;Eset Personal Firewall; C:\WINDOWS\system32\DRIVERS\Epfwndis.sys [2007-12-21 30728]
R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2005-01-07 138752]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2008-02-14 4676096]
R3 itchfltr;iTouch Keyboard Filter; C:\WINDOWS\system32\DRIVERS\itchfltr.sys [2004-03-10 12953]
R3 RTLE8023xp;Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys [2008-01-03 105856]
R3 usbehci;Ovladač miniportu rozšířeného radiče hostitele Microsoft USB 2.0; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;Rozbočovač umožnující USB2; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbuhci;Ovladač Microsoft univerzálního hostitelského řadiče USB od společnosti Microsoft; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-03 20480]
S3 GMSIPCI;GMSIPCI; \??\F:\INSTALL\GMSIPCI.SYS []
S3 MSICPL;MSICPL; \??\F:\install4\MSICPL.sys []
S3 NTACCESS;NTACCESS; \??\F:\NTACCESS.sys []
S3 Revoflt;Revoflt; C:\WINDOWS\system32\DRIVERS\revoflt.sys [2009-12-30 27064]
S3 SetupNTGLM7X;SetupNTGLM7X; \??\F:\NTGLM7X.sys []
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2009-08-14 602112]
R2 ekrn;Eset Service; C:\Program Files\ESET\ESET Smart Security\ekrn.exe [2007-12-21 468224]
S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2009-08-13 593920]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S3 EhttpSrv;Eset HTTP Server; C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe [2007-12-21 19200]

-----------------EOF-----------------

Log vypadá čistý. Pro jistotu udělejte sken MBAM: http://www.malwarebytes.org/mbam.php a dejte log. Předem nic nemažte.

Mám ešte jednu zásadnú otázku. Ak sú na disku C: vírus/-y a prepíšem disk C: image-om, budú vírus/-y definitívne zlikvidované?

==============================================
Malwarebytes' Anti-Malware 1.44
Verzia databázy: 3659
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

29. 1. 2010 22:05:42
mbam-log-2010-01-29 (22-05-42).txt

Typ kontroly: Rýchla
Objektov kontrolovaných: 101350
Uplynutý cas: 1 minute(s), 41 second(s)

Infikovaných procesov pamäte: 0
Infikovaných modulov pamäte: 0
Infikovaných registracných klúcov: 0
Infikovaných registracných hodnôt: 0
Infikovaných registracných údajov položiek: 0
Infikovaných priecinkov: 0
Infikovaných súborov: 0

Infikovaných procesov pamäte:
(Žiadne škodlivé položky)

Infikovaných modulov pamäte:
(Žiadne škodlivé položky)

Infikovaných registracných klúcov:
(Žiadne škodlivé položky)

Infikovaných registracných hodnôt:
(Žiadne škodlivé položky)

Infikovaných registracných údajov položiek:
(Žiadne škodlivé položky)

Infikovaných priecinkov:
(Žiadne škodlivé položky)

Infikovaných súborov:
(Žiadne škodlivé položky)

Podle všeho za problémem není virus. I MBAM je čistý. Neznám YourUninstaller (požívám, když je třeba, TotalUninstall) a opravdu vám nemohu říci, proč mazal něco, co neměl. Pokud něco nefunguje, zkuste buď reinstal, nebo obnovu systému k datu, kdy korektně fungoval.

Ďakujem pekne za pomoc Takže image spoľahlivo odstráni vírus/-y?

To nemohu tvrdit. Záleží na tom, zda je image čistý. Ptal jste se na posouzení logu. Resumé je, že je čistý. Pro jistotu jsme udělali test jinou aplikací a vyšel též negativně. V PC by ještě mohl být rootkit. Pkud chcete můžete idělat sken IceSword: http://www.viry.cz/forum/viewtopic.php?f=29&t=11394 a dát logy Process a KernelModule. Osobně si ale myslím, že YourUnistaller nějakým způsobem poškodil systém.