Nález Malwarebytes a avastu

[kristynkai7]

Tak já tedy jdu, jinak budu zakouslá, měj se hezky a hezké sníky, ty ale asi moc spát nebudeš, takže spíš ať vyhraje závody tvůj favorit brou brou a ještě jednou moc děkuju za pomoc a trpělivost se mnou, paaaa

[stell]

Maj sa krasne.
Dobru noc.

[stell]

Ok, predsa som nieco prehliadol, dalsie stopa po conficker.
Takze zajtra sprav toto:
Pri tejto akcii je nutné mať ComboFix na ploche.

Vypni>Antivir>Antispyware>vsetko rezidentne.
Otvor Notepad (Poznámkový blok) a zkopíruj do nehocelý tex:

Kód: Vybrat vše

KILLALL::
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2280:TCP"=-
Driver::
hzqtwwlk
NetSvc::
hzqtwwlk 

Potom klik na Subor -> Uložiť ako.. .-> Ako je Názov souboru tak do toho riadku napiš:CFScript.txt
Typ súboru tak tam vyberies *]všetky súbory
A ulož ho na plochu> Pozor CFScript.txt>Neotvarat a nemoze byt ani>CFScript.txt.txt A Urobis Toto :


Po skonceni skenu vlož log .

[kristynkai7]

Ahoj, tak jsem tu

Jdu udělat to s combofixem

PS: Tak mě napadlo, když nefunguje sofrware a ani sp3 na té staré plechovce, tak proč tam sakra fungují viry, to není fér a za včerejšek jsem to moc neschytala naštěstí, jen tu dnes nesmím být dlouho (tak jako včera)

[kristynkai7]

Tak hotovo, bylo to i s restartem a log přikládám

ComboFix 13-09-06.01 - Tomáš 08.09.2013 14:09:04.5.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.420.1029.18.1023.678 [GMT 2:00]
Spuštěný z: c:\documents and settings\Tomáš\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Tomáš\Plocha\CFScript.txt
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2013-08-08 do 2013-09-08 )))))))))))))))))))))))))))))))
.
.
2013-09-07 18:03 . 2013-09-07 18:03 -------- d-----w- C:\FRST
2013-09-07 17:29 . 2013-09-07 17:29 -------- d-----w- c:\windows\system32\wbem\Repository
2013-09-07 17:28 . 2013-09-07 17:28 -------- d-----w- C:\1b735d05094cd480c1336f71
2013-09-07 17:22 . 2013-09-07 17:22 -------- d-----w- c:\documents and settings\Administrator\Local Settings\Data aplikací\Mozilla
2013-09-07 17:21 . 2013-09-07 17:21 -------- d-----w- c:\documents and settings\Administrator\Local Settings\Data aplikací\Opera
2013-09-07 14:38 . 2013-09-07 17:28 -------- d-----w- c:\program files\Malwarebytes Anti-Exploit
2013-09-07 10:39 . 2013-09-07 10:39 -------- d-----w- c:\windows\ERUNT
2013-08-17 13:40 . 2013-09-07 15:25 -------- d-----w- c:\documents and settings\Tomáš\Data aplikací\vlc
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-09-07 09:08 . 2013-09-07 09:08 164352 ------w- C:\kk.zip
2013-08-30 07:48 . 2013-08-07 13:41 369584 ----a-w- c:\windows\system32\drivers\aswSP.sys
2013-08-30 07:48 . 2013-08-07 13:41 56080 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2013-08-30 07:48 . 2013-08-07 13:41 177864 ----a-w- c:\windows\system32\drivers\aswVmm.sys
2013-08-30 07:48 . 2013-08-07 13:41 49760 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2013-08-30 07:48 . 2013-08-07 13:41 770344 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2013-08-30 07:48 . 2013-08-07 13:41 49376 ----a-w- c:\windows\system32\drivers\aswRvrt.sys
2013-08-30 07:48 . 2013-08-07 13:41 29816 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2013-08-30 07:48 . 2013-08-07 13:41 66336 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2013-08-30 07:47 . 2013-08-07 13:40 41664 ----a-w- c:\windows\avastSS.scr
2013-08-30 07:47 . 2013-08-07 13:41 229648 ----a-w- c:\windows\system32\aswBoot.exe
2013-08-07 13:55 . 2012-05-27 13:48 692104 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2013-08-07 13:55 . 2011-08-26 07:27 71048 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2013-06-12 17:48 . 2013-06-12 17:48 17617288 ----a-w- c:\windows\system32\FlashPlayerInstaller.exe
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2013-08-30 07:47 121968 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2011-01-07 13880424]
"RTHDCPL"="RTHDCPL.EXE" [2008-10-28 17331200]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2013-04-04 958576]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2013-08-30 4858968]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2011-07-19 113024]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\!SASCORE]
@=""
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2004-08-17 13:49 15360 ----a-w- c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2008-10-28 09:18 17331200 ----a-w- c:\windows\RTHDCPL.EXE
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\BitLord\\BitLord.exe"=
"c:\\Program Files\\Opera\\opera.exe"=
"c:\\Program Files\\Microsoft Office2007\\Office12\\ONENOTE.EXE"=
"c:\\Documents and Settings\\Tomáš\\Dokumenty\\Tomáš\\Vysoká škola\\MirandaPack - stará\\miranda32.exe"=
.
R0 aswRvrt;aswRvrt;c:\windows\system32\drivers\aswRvrt.sys [7.8.2013 15:41 49376]
R0 aswVmm;aswVmm;c:\windows\system32\drivers\aswVmm.sys [7.8.2013 15:41 177864]
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [7.8.2013 15:41 770344]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [7.8.2013 15:41 369584]
R1 kbfilter;Keyboard Filter Driver;c:\windows\system32\drivers\kbfilter.sys [13.5.2008 23:44 12856]
R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [22.7.2011 18:27 12880]
R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [12.7.2011 23:55 67664]
R1 UsbFltr;WayTechUSBFilterDriver;c:\windows\system32\drivers\UsbFltr.sys [13.5.2008 23:44 8576]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [7.8.2013 15:41 29816]
R2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [7.8.2013 15:41 66336]
S3 mbamchameleon;mbamchameleon;c:\windows\system32\drivers\mbamchameleon.sys [4.1.2013 8:50 35144]
S3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\DRIVERS\VBoxNetFlt.sys --> c:\windows\system32\DRIVERS\VBoxNetFlt.sys [?]
S4 !SASCORE;SAS Core Service;c:\program files\SUPERAntiSpyware\SASCORE.EXE [12.8.2011 1:38 116608]
.
Obsah adresáře 'Naplánované úlohy'
.
2013-09-07 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-27 13:55]
.
2013-09-08 c:\windows\Tasks\avast! Emergency Update.job
- c:\program files\AVAST Software\Avast\AvastEmUpdate.exe [2013-08-07 07:47]
.
.
------- Doplňkový sken -------
.
uInternet Settings,ProxyOverride = local
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MI3369~1\Office12\EXCEL.EXE/3000
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{141D2E4F-F313-4991-B61A-EE5D6D849361} - http://bleskove.centrum.cz
IE: {{2A5CFB1C-AAA2-4760-8462-1B61CF74B7D8} - http://www.centrum.cz
IE: {{2BCB61BF-DC41-4738-A149-BDAAAD7FF0BD} - http://www.xchat.cz
IE: {{2E01031B-AB09-4455-823D-25F1A1C11F48} - http://aktualne.centrum.cz
IE: {{2F741D0A-150E-40F9-A602-1B2421475F1D} - http://slovniky.centrum.cz
IE: {{309176E6-E204-40A0-8D13-7F19C0498C40} - http://www.supermapy.cz
IE: {{49681216-5BF4-41A2-AAFA-129A6BD625DA} - http://mp3.centrum.cz/
IE: {{8B6E8E01-D262-4980-8C27-B8B2802285C1} - http://www.zena.cz
IE: {{8FD64249-590C-4FBC-B181-12A6BAF516AF} - http://www.fotoalba.cz
IE: {{A5050656-2286-454F-A489-C605ED1B461C} - http://pocasi.centrum.cz
IE: {{BC78516C-9DC9-40C5-A91E-74593222EF89} - http://sportplus.centrum.cz
IE: {{DAE865E8-970E-4931-A172-119CB56BBAF5} - http://www.digitalne.cz/
IE: {{FC29EB7D-EDBA-4299-AEE4-D1BDC70EFA15} - http://www.stahuj.cz/
IE: {{7E6A20FB-153F-402c-A84B-1A64E1955D3D} - {7E6A20FB-153F-402c-A84B-1A64E1955D3D} - c:\windows\WebIE.dll
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748449} - {CC963627-B1DC-40E0-B52A-CF21EE748450} - c:\windows\WebIE.dll
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748450} - {CC963627-B1DC-40E0-B52A-CF21EE748450} - c:\windows\WebIE.dll
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748451} - {CC963627-B1DC-40E0-B52A-CF21EE748451} - c:\windows\WebIE.dll
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748452} - {CC963627-B1DC-40E0-B52A-CF21EE748452} - c:\windows\WebIE.dll
TCP: DhcpNameServer = 213.46.172.36 213.46.172.37
FF - ProfilePath - c:\documents and settings\Tomáš\Data aplikací\Mozilla\Firefox\Profiles\38phtk9w.default-1378559057562\
FF - ExtSQL: 2013-09-05 17:38; wrc@avast.com; c:\program files\AVAST Software\Avast\WebRep\FF
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2013-09-08 14:18
Windows 5.1.2600 Service Pack 2 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_USERS\S-1-5-21-1220945662-2077806209-725345543-1004\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_8_800_94_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_8_800_94_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'explorer.exe'(3936)
c:\windows\system32\MSCTF.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\program files\AVAST Software\Avast\AvastSvc.exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Celkový čas: 2013-09-08 14:22:31 - počítač byl restartován
ComboFix-quarantined-files.txt 2013-09-08 12:22
ComboFix2.txt 2013-09-07 18:43
.
Před spuštěním: Volných bajtů: 139 682 074 624
Po spuštění: Volných bajtů: 139 809 415 168
.
- - End Of File - - 9F24778F16A0301269BDFCBCDD6F74C8
413FC2A0C716421B3158746D63736515

[stell]

Ok,
Este sprav toto co tu kolega napisal a koncime.
Potom odskusaj pocitac ,a napis ze ako to vsetko funguje
http://forum.viry.cz/viewtopic.php?f=13 ... r#p1251906

[kristynkai7]

Spravým

To je smazání těch nástrojů a všeho po tom čištění pokud se nepletu

Mám znovu nainstalovat ten malwarebytes anti-exploit? - protože tím obnovením systému zmizel

Pak budu zkoušet a napíšu jak to jde a zda je vše vpoho a ozvu se

Moc děkuju za rady a pomoc a trpělivost

PS: mimo téma chci se zeptat či je možné napsat zprávu (osobní) někomu z moderátorů (týmu fora)?

[stell]

Mám znovu nainstalovat ten malwarebytes anti-exploit?
ano, preinstaluj to, a potom ""uplne na koniec"" vymaz znova vsetky body obnovy, a po restarte zapni.

PS: mimo téma chci se zeptat či je možné napsat zprávu (osobní) někomu z moderátorů (týmu fora)?

jasne, maju to v podpise, bud E-mail, alebo SZ.

[kristynkai7]

Ahoj Stell,

promiň že píšu až nyní, přes týden jsem tu nebyla a nebyl čas to otestovat, tak jsem to testovala nyní, všechno vypadá, že jede jak má, projela jsem i rychlým testem malwarebytes a čisto, takže to vypadá, že havěť je pryč, moc děkuju za pomoc

Kontakt se mi zatím nezdařil, chtěla jsem odpovědět naughtymu (téma bohužel zamknul), ale e-mail nemá a SZ nemám povolené posílat

[stell]

Ahoj
Ak je to dolezite, tak skus napisat moderatorovi vyosek, (vyosek(leklaryba)forum.viry.cz) ,ci nema kontakt na Naughtyho, pretoze on je ako pocasie, raz je tu, raz inde, ja netusim ze ako sa snim spojit.
Ak vsetko funguje,tak temu zatvaram.
Nemas zaco.