Scan PC z USB či boot CD

[Bilis]

Zdravím mám dotaz zda máte někdo ověřený postup čím oscanovat nakažené PC offline. Jako boot CD používám Mega ISO ale nevím jaký další nástroj použít na oscanování nakaženého HD na hrubé odstranění virů a jiné havěti. Máte někdo osobní zkušenosti popřípadě doporučení?

[mahajana]

treba Kaspersky Rescue Disk 10 -->> CD / DVD nebo USB -->> http://support.kaspersky.com/faq/?qid=208282173

[Bilis]

Díky našel a nasadil jsem ClamWin tak uvidíme jak bude úspěšný. Stahuji i toho Kasperskyho.

[mahajana]

Díky našel a nasadil jsem ClamWin tak uvidíme jak bude úspěšný. Stahuji i toho Kasperskyho.

nóó jen tak bokem ClamWin je trabant a Kaspersky je Porsche --->>> ohledne detekce

[motji]

Dobrý večer
Omlouvám se za vstup

Ale kolega má pravdu - ClamWin Kašperskému, co se detekce týče, nesahá ani po kotníky. Doporučuji rovnou nasadit Kašperáka

[Bilis]

OK zkusím oba pak dám vědět jak to dopadlo

[motji]

dobře, pak se ozvěte

[Bilis]

Díky našel a nasadil jsem ClamWin tak uvidíme jak bude úspěšný. Stahuji i toho Kasperskyho.

nóó jen tak bokem ClamWin je trabant a Kaspersky je Porsche --->>> ohledne detekce

Tak mám výsledek mého snažení log z ClamWin
----------- SCAN SUMMARY -----------

Known viruses: 857343
Engine version: 0.96.5
Scanned directories: 11242
Scanned files: 92028
Infected files: 32
Total errors: 32

Data scanned: 35106.69 MB
Data read: 71486.17 MB (ratio 0.49:1)
Time: 6963.906 sec (116 m 3 s)

Log z kasperskyho je příliš rozsáhlý tak jen stručně

Kontrola objektů: dokončeno před 2 hod. (události: 706, objekty: 246125, čas: 15:32:44)
Výsledek: Zjištěno (události: 351)
Výsledek: Odstraněno (události: 128)
Výsledek: Neošetřeno (události: 225)

[motji]

Prosím Vás, jaký vir našel Kašperský?
Jinak sem můžete klidně dát i log ze Rsitu, když už jste tu

[Bilis]

Našel toho spoustu můžu sem vložit soubor?

jinak mám jen log z HJT
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17:41:08, on 30.12.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Alwil Software\Avast5\avastUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ICQ7.2\ICQ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSSE] "C:\Program Files\Microsoft Security Essentials\msseces.exe" -hide -runkey
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIDIA driver monitor] C:\WINDOWS\nvsvc32.exe
O4 - HKCU\..\Run: [MSConfig] C:\Documents and Settings\Administrator\pkm.exe \u
O4 - HKCU\..\Run: [Windows Firewall] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\lsass.exe
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ7.2\ICQ.exe" silent loginmode=4
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Program Files\ICQ7.2\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Program Files\ICQ7.2\ICQ.exe
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.autocont.cz
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 5940171859
O17 - HKLM\System\CCS\Services\Tcpip\..\{11B9D989-AFEB-4DF7-BBB2-AEEDA1EBDC64}: NameServer = 10.255.255.10,10.255.255.20
O17 - HKLM\System\CS1\Services\Tcpip\..\{11B9D989-AFEB-4DF7-BBB2-AEEDA1EBDC64}: NameServer = 10.255.255.10,10.255.255.20
O17 - HKLM\System\CS2\Services\Tcpip\..\{11B9D989-AFEB-4DF7-BBB2-AEEDA1EBDC64}: NameServer = 10.255.255.10,10.255.255.20
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Proces mezipaměti kategorií součástí - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Websense CPM Report Scheduler (yji0aayj8yeuu) - Unknown owner - C:\WINDOWS\system32\vafuwegou.exe (file missing)

--
End of file - 6756 bytes

[motji]

to byl jen HJT, ale stačilo , máte tam virů až až.
Mě zajímá konkrétní typ viru, nebyl to náhodou virut nebo vitro?

[Bilis]

Většinou trojani Trojan.Win32.Inject, Trojan-Downloader.Win32.Refroso, P2P-Worm.Win32, Backdoor.Win32.
Taky nějaký rootkity.

Když už takhle hezky využívám vašich znalostí, můžete mi poradit jak se těch potvor zbavím?
PS:Mám tu i ten log z RSITU mám ho sem vložit?

[mahajana]

wow to je celej tuzex viru to se dá sehnat kde?

[Bilis]

Jo to by mě taky zajímalo jak jsem koupil tak prodávam PC mi dovezla sestřenka zajímalo by mne kde a kdy byl původ to už se asi nedozvíme ale sbírka to je slušná

[motji]

ANo vložte. Asi to bude chtít combofix . Kouknu na Rsit a uvidíme .
NO sestřenka tedy pěkně řádila