Notebook douho startuje a soubor srsvc.dll je infikován

[SJirka]

Počítač nenaznal žádnou změnu, chová se stejně, jak jsem již popsal výše:

---------
startuje pořád stejně dlouho - po náběhu OS (kdy se tam objeví ten známý grafický symbol Windows) se objeví Prosím čekejte..... a to trvá asi 2 minuty, než naběhnou uživatelé.
Dále pak po spuštění vyskočí hláška, že "Systém Windows zablokoval některé programy Po spuštění" a
"Služba centrum zabezpečení je vypnutá" - pokud se ji pokusím zapnout, vyhodí hlášku "Tuto službu Centra zabezpečení nelze spustit"
--------

[motji]

//Editováno

Odinstalujte combofix přes Start - Spustit
- zkopírujte do okénka:

ComboFix /Uninstall

-stiskněte Enter
-To odinstaluje ComboFix a smaže s ním související soubory a složky.


***********


Stáhněte T-Cleaner
http://sweb.cz/Marinus/T-Cleaner.exe

-Spusťte,pro potvrzení volby mačkejte klávesu A, Enter
-po použití prográmek vymažte.Pozor,antiviry ho mohou falešně označit za vir



***********


Z mého podpisu stahněte Ccleaner
- nainstalujte, při výběru, co se má nainstalovat, dejte pryč fajfku u instalace yahoo toolbaru

záložka čistič
- nechejte v levém sloupečku zatrhnuté vše jak je, klikněte na analyzovat
- po analýze klikněte na Spustit Ccleaner

záložka Registry
- klikněte na hledej problémy
- pak klikněte na opravit vybrané problémy -- udělat zálohu registrů - nemusíte
- kliknete opravit všechny problémy ok zavřít

Záložka Nástroje
- zde můžete odinstalovat programy. Je to důkladnější odinstalace než u přidat/odebrat programy ve Windows.

Ccleaner - čistič doporučuji používat, krásně pročistí pc od dočasných souborů.
Registry pročistí třeba po odinstalaci nějakého programu.


***********



Stahněte OTC a použijte
http://oldtimer.geekstogo.com/OTC.exe
-vyčistí tempy a po použitých programech



***********


Stahněte MBAM z mého podpisu
-Nainstalujte,dejte úplný sken

NIC NEMAZAT
-MBAM má občas falešné detekce,proto budeme mazat až po kontrole logu.
-Log zkopírujte sem.

[SJirka]

Vše jsem provedl dle instrukcí, MBAM nic nenašel, log zde:

Malwarebytes' Anti-Malware 1.44
Verze databáze: 3510
Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

23.3.2010 21:12:27
mbam-log-2010-03-23 (21-12-27).txt

Typ kontroly: Kompletní kontrola (C:\|E:\|)
Zkontrolované objekty: 266538
Uplynulý čas: 44 minute(s), 4 second(s)

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 0
Infikované hodnoty registru: 0
Infikované datové položky registru: 0
Infikované adresáře: 0
Infikované soubory: 0

Infikované procesy v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované moduly v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované klíče registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované hodnoty registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované datové položky registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované adresáře:
(Nebyly nalezeny žádné škodlivé položky)

Infikované soubory:
(Nebyly nalezeny žádné škodlivé položky)

[motji]

Po poradě s kolegy - ty chybějící soubory - to vypadalo na bug combofixu , totiž tyto soubory patří k xp, a ne vistám . Ale počítač v pořádku podle Vás není, takže jdeme hledat dál

Stáhněte Gmer http://www.viry.cz/forum/viewtopic.php?f=29&t=62878
- rozbalte a spusťte
-proběhne sken, po skončení se otevře okno s výsledky, klikněte na Save a tím si uložíte log,který sem vložíte

-Podle návodu v odkazu provedete druhý sken a log sem také vložíte.

[SJirka]

Ten první log je zde, u toho druhého skenování NB vždy vytuhne (zkoušel jsem celkem 3x), z toho podruhé se stal z displeje rozsypaný čaj, místo obrazu byly jen šedé a bílé proužky.

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-03-23 21:42:07
Windows 6.0.6001 Service Pack 1
Running: gmer.exe; Driver: C:\Users\Admin\AppData\Local\Temp\ugldapow.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Společnost Microsoft)
AttachedDevice \Driver\tdx \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\tdx \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

[motji]

Zkuste ho spustit v nouzovém režimu, pokud by i tak zlobil, nedělejte záložku Devices

[SJirka]

V nouzovém režimu to proběhlo v pořádku, tady je první log:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-03-24 19:35:29
Windows 6.0.6001 Service Pack 1
Running: gmer.exe; Driver: C:\Users\Admin\AppData\Local\Temp\ugldapow.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

a zde je druhý log:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-03-24 20:13:14
Windows 6.0.6001 Service Pack 1
Running: gmer.exe; Driver: C:\Users\Admin\AppData\Local\Temp\ugldapow.sys


---- Kernel code sections - GMER 1.0.15 ----

.text C:\Windows\system32\DRIVERS\tos_sps32.sys section is writeable [0x8A55B480, 0x3C939, 0xE8000020]
.dsrt C:\Windows\system32\DRIVERS\tos_sps32.sys unknown last section [0x8A59C900, 0x3CA, 0x48000040]

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

[motji]

Otestujte na www.virustotal.com
C:\Windows\system32\DRIVERS\tos_sps32.sys
-Do okénka zkopírujte cestu k souboru , pokud napíše, že soubor byl už testován, dejte otestovat znovu.
-Sem vložte link s výsledky.

[SJirka]

Link s výsledky testu:

http://www.virustotal.com/cs/analisis/d ... 1269464689

[motji]

Jak to vypadá s počítačem?

[SJirka]

Stav je stejný, jak jsem jej popisoval výše, jediná změna je v tom, že po odinstalaci MBAM již nevyskakuje hláška "Systém Windows zablokoval některé programy Po spuštění" - asi mu tenhle program vadil.

Jináč startuje pořád stejně dlouho - po náběhu OS (kdy se tam objeví ten známý grafický symbol Windows) se objeví Prosím čekejte..... a to trvá asi 2 minuty, než naběhnou uživatelé - což je dosti protivné a určitě to není normální stav (něco hledá ???)

A nadále pak po spuštění vyskočí hláška, že
"Služba centrum zabezpečení je vypnutá" - pokud se ji pokusím zapnout, vyhodí hlášku "Tuto službu Centra zabezpečení nelze spustit"
což je těžko překousnutelný handicap v dnešní zavirované době.

Jak jsem jinak trochu pochopil z výpisů, tak počítač jako takový je asi už OK, co se týká všlijaké havěti?

[motji]

Mě třeba systém nabíhá také 2-3 minuty,ale mám starý počítač . U Vás to asi v pořádku opravdu nebude . Nevíte, odkdy je tento problém?

Stahněte z mého podpisu AVPTOOl http://www.viry.cz/forum/viewtopic.php?f=29&t=58179

-Podle návodu nainstalujte a proveďte sken
-co najde nechejte léčit, mazat
-sken může trvat několik hodin
-vložte zde log z výsledky

[SJirka]

Jednak, jestli to k něčemu je, tak tenhle stroj je notebook a je asi rok starý, takže by měl nabíhat svižně a jednak to je NB jedněch známých, kteří jsou počítačoví analfabeti a NB mi předali se slovy že "jim tam furt něco vyskakuje" ..... takže pochybuji, že z nich vypáčím informaci, zda-li to nabíhá takto od začátku nebo až od někdy.....
Nakonec ten dlouhý náběh OS vem čert, když jim tak dlouho nevadil, tak to asi považjí za normální, a pokud to nemá, jak se říká, vliv na dojivost ani přírůstky.......
Co mě trápí více je však ta nemožnost zapnutí Centra zabezpečení - pro tuto skupinu lidí, kteří jsou schopni na interentu vymést kdeco, je to asi zásadní bezpečnostní služba, která by měla být aktivní.

Ten nástroj AVPTOOl jsme již aplikovali 21.3., viz log výše, ale když pravíte, tak jak večer přijdu domů, tak ho pustím.
Zatím děkuji.

[motji]

Tak to se omlouvám, přehlédla jsem to .

Centrum zabezpečení hlásí vypnuto, ale antivir funguje? Zkuste ho přeinstalovat.

Uvidíme, jestli nám combofix bude stále něco hlásit

Stáhněte na plochu, ukončete všechna aktivní okna a spusťte ComboFix - http://download.bleepingcomputer.com/sUBs/ComboFix.exe


- ComboFix je třeba spustit pod účtem s právy administrátora

- Před použitím vypněte všechny rezidentní bezpečnostní programy - antiviry, firewally, antispywary

- Po spuštění se zobrazí podmínky užití, potvrďte je stiskem tlačítka Ano

- Dále postupujte dle pokynů, během aplikování ComboFixu neklikejte do zobrazujícího se okna

- Po dokončení skenování, trvajícího maximálně 10 minut, by měl program vytvořit log - C:\ComboFix.txt, zkopírujte celý jeho obsah sem

[SJirka]

No ten antivir mám externí Avast, tak nevím, zda-li má něco společného s Centrem zabezpečení a zatím mi nikdy problémy nedělal. Faktem je, že se po každém zapnutí ohlásí a chce povolit upgrade (ne pouze aktualizovat virovou databázi), takže bych mu to tedy povolil, ať je tam aktuální verze a pak bych spustil ten ComboFix. Souhlas?