zase ROOTKIT

[earl]

Ten log z AVPToolu?

Pouzijte MBAM

instalace,uplny sken,vlozit sem log-NIC NEMAZAT!

[brankar]

zdravim tady je log


aMalwarebytes' Anti-Malware 1.42
Verze databáze: 3414
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

23.12.2009 12:01:11
mbam-log-2009-12-23 (12-00-59).txt

Typ kontroly: Kompletní kontrola (A:\|C:\|D:\|E:\|)
Zkontrolované objekty: 231046
Uplynulý čas: 1 hour(s), 6 minute(s), 0 second(s)

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 0
Infikované hodnoty registru: 0
Infikované datové položky registru: 0
Infikované adresáře: 0
Infikované soubory: 18

Infikované procesy v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované moduly v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované klíče registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované hodnoty registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované datové položky registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované adresáře:
(Nebyly nalezeny žádné škodlivé položky)

Infikované soubory:
C:\SDFix\dummy.sys (Rootkit.Agent) -> No action taken.
C:\SDFix\apps\dummy.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(2)\RP31\A0027690.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(2)\RP31\A0026094.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(2)\RP31\A0027751.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(2)\RP31\A0027832.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(3)\RP1\A0002046.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(3)\RP1\A0005062.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(3)\RP1\A0006434.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(3)\RP2\A0007260.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(4)\RP0\A0000100.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(4)\RP0\A0000018.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(5)\RP6\A0004720.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(5)\RP6\A0004783.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(6)\RP6\A0007349.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(8)\RP1\A0002156.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(8)\RP2\A0003394.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(8)\RP3\A0003519.sys (Rootkit.Agent) -> No action taken.


OPERA mi hlasí pořad ....Vyskytl se problém při inicializaci poštovního klienta.

Store Init failed
Engine Init() failed

nešla načíst až na desáty pokus

[brankar]

Tady jsem skusil scan jestli se stoho da něco poznat


catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-22 16:35:46
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Program Files\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000000
"ujdew"=hex:ab,59,85,eb,74,ef,46,28,75,75,f8,30,45,ef,91,ac,e0,61,51,d3,7f,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000001
"khjeh"=hex:96,d9,97,37,50,ef,d0,ac,1c,c3,8e,b2,b0,8f,97,03,5b,20,47,9f,f9,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Program Files\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000000
"ujdew"=hex:ab,59,85,eb,74,ef,46,28,75,75,f8,30,45,ef,91,ac,e0,61,51,d3,7f,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000001
"khjeh"=hex:96,d9,97,37,50,ef,d0,ac,1c,c3,8e,b2,b0,8f,97,03,5b,20,47,9f,f9,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Program Files\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000000
"ujdew"=hex:ab,59,85,eb,74,ef,46,28,75,75,f8,30,45,ef,91,ac,e0,61,51,d3,7f,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000001
"khjeh"=hex:96,d9,97,37,50,ef,d0,ac,1c,c3,8e,b2,b0,8f,97,03,5b,20,47,9f,f9,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Program Files\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000000
"ujdew"=hex:ab,59,85,eb,74,ef,46,28,75,75,f8,30,45,ef,91,ac,e0,61,51,d3,7f,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000001
"khjeh"=hex:96,d9,97,37,50,ef,d0,ac,1c,c3,8e,b2,b0,8f,97,03,5b,20,47,9f,f9,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cursors\Schemes]
"\f\1e?r?n?é? ?u?k?a?z?a?t?e?l?e? ?"="C:\WINDOWS\cursors\arrow_r.cur,C:\WINDOWS\cursors\help_r.cur,C:\WINDOWS\cursors\wait_r.cur,C:\WINDOWS\cursors\busy_r.cur,C:\WINDOWS\cursors\cross_r.cur,C:\WINDOWS\cursors\beam_r.cur,C:\WINDOWS\cursors\pen_r.cur,C:\WINDOWS\cursors\no_r.cur,C:\WINDOWS\cursors\size4_r.cur,C:\WINDOWS\cursors\size3_r.cur,C:\WINDOWS\cursors\size2_r.cur,C:\WINDOWS\cursors\size1_r.cur,C:\WINDOWS\cursors\move_r.cur,C:\WINDOWS\cursors\up_r.cur"
"\f\1e?r?n?é? ?u?k?a?z?a?t?e?l?e? ?(?v?e?l?k?é?)?"="C:\WINDOWS\cursors\arrow_rm.cur,C:\WINDOWS\cursors\help_rm.cur,C:\WINDOWS\cursors\wait_rm.cur,C:\WINDOWS\cursors\busy_rm.cur,C:\WINDOWS\cursors\cross_rm.cur,C:\WINDOWS\cursors\beam_rm.cur,C:\WINDOWS\cursors\pen_rm.cur,C:\WINDOWS\cursors\no_rm.cur,C:\WINDOWS\cursors\size4_rm.cur,C:\WINDOWS\cursors\size3_rm.cur,C:\WINDOWS\cursors\size2_rm.cur,C:\WINDOWS\cursors\size1_rm.cur,C:\WINDOWS\cursors\move_rm.cur,C:\WINDOWS\cursors\up_rm.cur"
"\f\1e?r?n?é? ?u?k?a?z?a?t?e?l?e? ?(?n?e?j?v?\e\1t?a\1í?)?"="C:\WINDOWS\cursors\arrow_rl.cur,C:\WINDOWS\cursors\help_rl.cur,C:\WINDOWS\cursors\wait_rl.cur,C:\WINDOWS\cursors\busy_rl.cur,C:\WINDOWS\cursors\cross_rl.cur,C:\WINDOWS\cursors\beam_rl.cur,C:\WINDOWS\cursors\pen_rl.cur,C:\WINDOWS\cursors\no_rl.cur,C:\WINDOWS\cursors\size4_rl.cur,C:\WINDOWS\cursors\size3_rl.cur,C:\WINDOWS\cursors\size2_rl.cur,C:\WINDOWS\cursors\size1_rl.cur,C:\WINDOWS\cursors\move_rl.cur,C:\WINDOWS\cursors\up_rl.cur"

scanning hidden files ...

C:\Program Files\COMODO\COMODO Internet Security\Quarantine\ConfigWizards.exe 69632 bytes executable
C:\Program Files\COMODO\COMODO Internet Security\Quarantine\ConfigWizards.exe.info 190 bytes

[earl]

Dejte smazat,co MBAM nasel.

Udelejte kompletni scan pomoci AVPTool,postupujte presne dle navodu, pri vyberu jaka akce nechte lecit,obsah logu vlozte sem.

Pouzijte CureIt a provedte uplny sken dle navodu viz muj podpis.Pak nahlaste vysledek.

[brankar]

AVPTOOL JSEM ZKOUŠEL DVAKRÁT VŽDY DOBĚHL DO URČÍTÉHO MÍSTA A ZAMRZ
JDU SKUSIT CURELT

[earl]

Ok,a jeste pak log po vymazu z MBAMu.

[brankar]

Malwarebytes' Anti-Malware 1.42
Verze databáze: 3414
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

24.12.2009 9:16:34
mbam-log-2009-12-24 (09-16-34).txt

Typ kontroly: Kompletní kontrola (A:\|C:\|D:\|E:\|)
Zkontrolované objekty: 229675
Uplynulý čas: 1 hour(s), 15 minute(s), 28 second(s)

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 0
Infikované hodnoty registru: 0
Infikované datové položky registru: 0
Infikované adresáře: 0
Infikované soubory: 18

Infikované procesy v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované moduly v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované klíče registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované hodnoty registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované datové položky registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované adresáře:
(Nebyly nalezeny žádné škodlivé položky)

Infikované soubory:
C:\RECYCLER\S-1-5-21-1409082233-1580818891-839522115-1004\Dc9.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-1409082233-1580818891-839522115-1004\Dc141.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(2)\RP31\A0027690.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(2)\RP31\A0026094.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(2)\RP31\A0027751.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(2)\RP31\A0027832.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(3)\RP1\A0002046.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(3)\RP1\A0005062.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(3)\RP1\A0006434.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(3)\RP2\A0007260.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(4)\RP0\A0000100.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(4)\RP0\A0000018.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(5)\RP6\A0004720.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(5)\RP6\A0004783.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(6)\RP6\A0007349.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(8)\RP1\A0002156.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(8)\RP2\A0003394.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AAD5F66-A051-472E-8A14-9AAAB4539872}(8)\RP3\A0003519.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

[brankar]

tady je log Dr web nevím jestli to má být takhle

T-Cleaner.exe C:\Documents and Settings\user\Dokumenty\kikikikikikikikikikikiiá Trojan.StartPage.21667 Smazán.
2499019.exe\unvised_3.bin C:\Documents and Settings\user\Local Settings\Data aplikací\RadarSync\RadarSync\2499019.exe Tool.Reboot
2499019.exe C:\Documents and Settings\user\Local Settings\Data aplikací\RadarSync\RadarSync V archivu jsou infikované objekty Přesunut.
ConMgr_Setting.exe C:\Program Files\Samsung\Samsung PC Studio 3\Update\UnZipTemp Win32.Virut.56 Vyléčen.
Dc186.exe/data002\{app}\EvID4226Patch.exe C:\RECYCLER\S-1-5-21-1409082233-1580818891-839522115-1004\Dc186.exe/data002 Program.Tcpip
data002 C:\RECYCLER\S-1-5-21-1409082233-1580818891-839522115-1004 V archivu jsou infikované objekty
Dc186.exe C:\RECYCLER\S-1-5-21-1409082233-1580818891-839522115-1004 Kontejner obsahuje nakažené objekty Přesunut.
Dc51.exe C:\RECYCLER\S-1-5-21-1409082233-1580818891-839522115-1004 Tool.Prockill
A

[earl]

Pouzijte navod zde na vypnuti a zapnuti obnovy systemu-SVI.

Pc je ok,az na tu hlasku.

Kontaktujte providera a poproste ho,zda by vam mohl pridelit docasne treba na jeden den jinou IP,jestli se ta hlaska bude objevovat porad.

Mam za to,ze nebude.

[brankar]

Ok,zkusím se zeptat
Ten log teda je dobrý nebo co stím?

[earl]

Ano,ok.

Pro me to je celkem zvlastni.

Pokud bude provider nevstricny,tak zacneme zase od zacatku.

To by v tom byl cert...

[brankar]

zdravím tak jsem skusil otevřít bios a je tam položka advanced bios features jde mi o to že uplně dole při přepinani do dalšich položek se pod touhle položkou oběvuje hláška virus protection bot segvence tak jen jestli to tam patří díky zatím

[earl]

Ano,patri.

A zalezi na uzivateli,jestli ji povoli nebo zakaze.

V dnesni dobe,kdy jsou rootkity v boot sektoru castym jevem bych tu ochranu nechal rozhodne zapnutou.

[brankar]

Tak jsem to skusil domluvit asi nic mam přinést PC prí se nato podívaj a skusej to odvirovat no nevím když nejsou schopni napsat ani noveho providera

Ale ta hlaška se už nezobrazuje možná je brzo no uvidíme

[earl]

Ok,jsem zvedav,jak se jim to bude chovat u nich.