Kontrola logu (vyřešeno)

[frenkie]

Ahoj příteli
Ten look2merevomer nic nenašel, zato counter spy našel dva trojany toja vxgame a troj.goldun bh. Uvidim jestli tak se jich snažim zbavit. Na net se snaží dostat průzkumník na adresu custblock.intercage.com. Co s tim košem jak ho vysypat?

[Reklama]

[mijaja]

Jak dlouho máš Kerio. Ještě je v 30 denní volné verzi? Jestli jo, tak zakaž ve Feriu v záložce Filtrování adres adresu 69.50.166.194, nebo http://www.custblock.intercage.com - a všechno kolem ní zakaž.

Spusť HJT a fixni tu
O20 - Winlogon Notify: avpp32 - C:\WINDOWS\SYSTEM32\avpp32.dll
Spusť Killbox a vlož do žádku toto: C:\WINDOWS\SYSTEM32\avpp32.dll
- zaškrtni Standard File Kill + End Explorer Shell + Unregister dll before Deleting
- stiskni červený kruh s bílým X a potvrď
Skusme to udělat najednou přes oba programy.

To, že ten odkaz na tu stránku custblock.intercage není v HJT vidět, mě dost znepokojuje. Mohli by jsme ještě zkusit Rootkit Revealer, jestli ti toho šmejda neukrývá nějaký rootkit - to je teď dosti rozšířená možnost.
Můžeš po tom velkém čištění udělat ještě jeden log z MWAVu?

[frenkie]

Tak tenhle program mi vypsal celou stránku jenom nevim co s tím. Nový log z toho MWAM před spuštěním tohoto programu.
File C:\Documents and Settings\Vitas\Plocha\WinKRootKitRemover.exe tagged as not-a-virus:RiskTool.Win32.PsKill.k. No Action Taken.
Object "adbars Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
File C:\DOCUME~1\Vitas\LOCALS~1\Temp\nsv1A.tmp tagged as not-a-virus:RiskTool.Win32.PsKill.k. No Action Taken.
File C:\DOCUME~1\Vitas\LOCALS~1\Temp\nsl1E.tmp tagged as not-a-virus:RiskTool.Win32.PsKill.k. No Action Taken.

[mijaja]

To ti napsal ten RootkitRemover? To je dobře, je tam jen něco v Tempu a to můžeš bez problémů vymazat. Log z toho MWAVu nedělej, Napíšu z toho starého, co máš smáznout. Když to tam v systému nebude, značí to, že už to některý z čističů vymazal. Teď by to chtělo vyčistit registry. Máš stáhlý ten CCleaner? Tak to s ním projeď , tady máš i návod. Ještě se tem průzkumník snaží dostat ven? Nastavils to Kerio?

[frenkie]

Prosim Tě příteli to je log z toho MWAM ten Rootkit mi načetl stránku snad ze 3076 položkami . Co s tim jak to smazat???

[mijaja]

Tyhle soubory by měly z disku zmizet:

C:\WINDOWS\SYSTEM32\AVPI64.SYS
C:\WINDOWS\system32\vxgame1.exe
C:\WINDOWS\system32\vxgamet4.exe
C:\WINDOWS\system32\vxgame4.exe
C:\WINDOWS\system32\vxgame6.exe
C:\WINDOWS\system32\msvcp.exe
C:\WINDOWS\system32\paradise.raw.exe
C:\WINDOWS\system32\r42.exe
C:\WINDOWS\system32\r4.exe
C:\WINDOWS\system32\x_ice.exe
C:\WINDOWS\system32\dofcpr.dll
C:\WINDOWS\system32\prxsvc.dll
C:\WINDOWS\system\svchost.dll - Tady pozor na umístění - je to složka System (ne System32!)
C:\Documents and Settings\Vitas\u.exe
C:\Documents and Settings\Vitas\x.exe
C:\FOUND.001\FILE0038.CHK
C:\FOUND.001\FILE0100.CHK
C:\FOUND.001\FILE0101.CHK
C:\FOUND.001\FILE0102.CHK
C:\FOUND.001\FILE0104.CHK - Složku C:\FOUND.001 můžeš vymazat celou

Z toho RootKitu jsou tam vypsané položky s viry?

[frenkie]

Tak všechny položky až na jednu a ta mi dělá největší starosti jsem vymazal. AVPI.SYS nemohu nijak najít a při restartu mi vypíná PC Po naskočení je vypsaná obnova po kritické chybě ačkoliv mám obnovení systému vypnuto.
Nejde mi vysypat koš ačkoliv tam jsou položky jenom vidět píše i čistič disku že je prázdný. Po nastavení keria už na net nic neleze, ale určité programy nejdou spustit zvlášť ty co používají IE, ten je úplně mrtvý. Položka 020 z logu HJT. Tu knihovnu jsem našel v registru windowsnt
curent version
winlogon
notify
avpp32-teď je tu pět položek z nichž jedna je jako hodnota avpp32.dll
Ikdyž jio vymažu za chvíli je zpět. Jak už jsem psal ten rootkit mi vypíše 3076 položek, co s nima.????

[mijaja]

Vyzkoušej ji ještě v Hijackthisu -záložka Config - Misc Tools - Delete an NT service a do dialogu vepiš ten soubor. Ten výpis z removeru je dost dlouhý tady na fórum. Podívej se po tomhle. Je tu pod bodem 4 také možnost vypnutí služby a zároveň ti ukáže, k čemu patří.

[mikel]

Jestli máš doma schovaného Total Commandera, tak ho nainstaluj. Jestli ne tak si ho stáhni odsud (vyber si nejnovější verzi 6.54). V něm si v Konfigurace/Nastavení/Zobrazení zaškrtni zobrazovat skryté a systémové soubory. Pak si najdi adresář Local settings ve svém profilu v Documents and Settings. V něm jsou 2 adresáře - Temp a Temporary Internet files. Smaž obsah obou složek pomocí Shift+Delete. To stejné proveď pro všechny profily, které tam máš - All Users, Default User, LocalService, atd. Problém s vyčištěním disku je ten, že neodstraní všechno.
Pak vlez do adresáře C:\RECYCLER a do adresáře v něm, který má jméno ze samých čísel. Všechno, co v něm najdeš smaž, kromě souboru jako INFO2. Tím smažeš Koš.

[frenkie]

Tak poslední pokus už toho mám dost. Díky Mykel , udělal a vymazal vše jak si řekl. Recycler na C: prostě není, nenašel je comander ani průzkumník. Stáhnul jsem si noda vymazal asi 6 dalších věcí, ale jinak pořád stejné.
Mijajo HJT tu položku nenajde, ačkoliv já na ní koukám stále se vrací.Jsou to data registru s názvem Dllname typ regexpand_SZ data avpp32.dll Tak ještě jsem dám ty logy z toho ice.
Started Service:

Service Name:Alerter Display Name:Výstrahy
Service Name:aswUpdSv Display Name:avast! iAVS4 Control Service
Service Name:AudioSrv Display Name:Zvuk systému Windows
Service Name:avast! Antivirus Display Name:avast! Antivirus
Service Name:avast! Mail Scanner Display Name:avast! Mail Scanner
Service Name:avast! Web Scanner Display Name:avast! Web Scanner
Service Name:BITS Display Name:Služba inteligentního přenosu na pozadí
Service Name:CryptSvc Display Name:Šifrování
Service Name:DcomLaunch Display Name:Spouštěč procesů serveru DCOM
Service Name:Dhcp Display Name:Klient DHCP
Service Name:dmserver Display Name:Správce logických disků
Service Name:Dnscache Display Name:Klient DNS
Service Name:ERSvc Display Name:Zasílání zpráv o chybách
Service Name:Eventlog Display Name:Protokol událostí
Service Name:EventSystem Display Name:Systém událostí modelu COM+
Service Name:FastUserSwitchingCompatibility Display Name:Kompatibilita pro rychlé přepínání uživatelů
Service Name:helpsvc Display Name:Nápověda a odborná pomoc
Service Name:KPF4 Display Name:Kerio Personal Firewall 4
Service Name:lanmanserver Display Name:Server
Service Name:lanmanworkstation Display Name:Pracovní stanice
Service Name:LmHosts Display Name:Podpora rozhraní NetBIOS nad protokolem TCP/IP
Service Name:Netman Display Name:Síťová připojení
Service Name:Nla Display Name:Sledování umístění v síti (NLA)
Service Name:NOD32krn Display Name:NOD32 Kernel Service
Service Name:NVSvc Display Name:NVIDIA Driver Helper Service
Service Name:PlugPlay Display Name:Plug and Play
Service Name:PolicyAgent Display Name:Služby IPSEC
Service Name:ProtectedStorage Display Name:Chráněné úložiště
Service Name:RasMan Display Name:Správce vzdáleného přístupu
Service Name:RemoteRegistry Display Name:Vzdálený registr
Service Name:RpcSs Display Name:Vzdálené volání procedur (RPC)
Service Name:SamSs Display Name:Správce zabezpečení účtů
Service Name:Schedule Display Name:Plánovač úloh
Service Name:seclogon Display Name:Sekundární přihlašování
Service Name:SENS Display Name:Oznamování systémových událostí
Service Name:ShellHWDetection Display Name:Rozpoznávání hardwaru
Service Name:Spooler Display Name:Zařazování tisku
Service Name:SSDPSRV Display Name:Služba rozpoznávání pomocí protokolu SSDP
Service Name:stisvc Display Name:Načítání obrázků (WIA)
Service Name:TapiSrv Display Name:Telefonní subsystém
Service Name:TermService Display Name:Terminálová služba
Service Name:Themes Display Name:Motivy
Service Name:TrkWks Display Name:Klient služby sledování distribuovaných propojení
Service Name:W32Time Display Name:Systémový čas
Service Name:WebClient Display Name:Webový klient
Service Name:winmgmt Display Name:Služba WMI
Service Name:wuauserv Display Name:Automatické aktualizace
Service Name:WZCSVC Display Name:Automatická konfigurace bezdrátových zařízení


ProcessŁş

System Idle Process
System
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\System32\csrss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\System32\services.exe
C:\WINDOWS\System32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Sunbelt Software\CounterSpy\Consumer\SunServer.exe
C:\Documents and Settings\Vitas\Local Settings\Temp\Rar$EX10.219\is_en\IceSword.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Sunbelt Software\CounterSpy\Consumer\sunThreatEngine.exe
C:\Program Files\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe
C:\Program Files\WinRAR\WinRAR.exe


Kernel Module:

\WINDOWS\system32\ntoskrnl.exe
\WINDOWS\system32\hal.dll
\WINDOWS\system32\KDCOM.DLL
\WINDOWS\system32\BOOTVID.dll
ACPI.sys
\WINDOWS\system32\DRIVERS\WMILIB.SYS
pci.sys
isapnp.sys
intelide.sys
\WINDOWS\system32\DRIVERS\PCIIDEX.SYS
MountMgr.sys
ftdisk.sys
dmload.sys
dmio.sys
PartMgr.sys
VolSnap.sys
atapi.sys
disk.sys
\WINDOWS\system32\DRIVERS\CLASSPNP.SYS
fltMgr.sys
Fastfat.sys
KSecDD.sys
NDIS.sys
Mup.sys
agp440.sys
\SystemRoot\system32\DRIVERS\p3.sys
\SystemRoot\system32\DRIVERS\nv4_mini.sys
\SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
\SystemRoot\system32\DRIVERS\ltmdmnt.sys
\SystemRoot\System32\Drivers\Modem.SYS
\SystemRoot\system32\DRIVERS\cdrom.sys
\SystemRoot\system32\DRIVERS\redbook.sys
\SystemRoot\system32\DRIVERS\ks.sys
\SystemRoot\system32\DRIVERS\usbuhci.sys
\SystemRoot\system32\DRIVERS\USBPORT.SYS
\SystemRoot\system32\drivers\ALCXWDM.SYS
\SystemRoot\system32\drivers\portcls.sys
\SystemRoot\system32\drivers\drmk.sys
\SystemRoot\system32\DRIVERS\fdc.sys
\SystemRoot\system32\DRIVERS\serial.sys
\SystemRoot\system32\DRIVERS\serenum.sys
\SystemRoot\system32\DRIVERS\parport.sys
\SystemRoot\system32\DRIVERS\i8042prt.sys
\SystemRoot\system32\DRIVERS\mouclass.sys
\SystemRoot\system32\DRIVERS\kbdclass.sys
\SystemRoot\system32\DRIVERS\gameenum.sys
\SystemRoot\system32\drivers\msmpu401.sys
\SystemRoot\system32\DRIVERS\audstub.sys
\SystemRoot\system32\DRIVERS\rasl2tp.sys
\SystemRoot\system32\DRIVERS\ndistapi.sys
\SystemRoot\system32\DRIVERS\ndiswan.sys
\SystemRoot\system32\DRIVERS\raspppoe.sys
\SystemRoot\system32\DRIVERS\raspptp.sys
\SystemRoot\system32\DRIVERS\TDI.SYS
\SystemRoot\system32\DRIVERS\ptilink.sys
\SystemRoot\system32\DRIVERS\raspti.sys
\SystemRoot\system32\DRIVERS\rdpdr.sys
\SystemRoot\system32\DRIVERS\termdd.sys
\SystemRoot\system32\DRIVERS\swenum.sys
\SystemRoot\system32\DRIVERS\update.sys
\SystemRoot\system32\DRIVERS\mssmbios.sys
\SystemRoot\System32\Drivers\NDProxy.SYS
\SystemRoot\system32\drivers\MODEMCSA.sys
\SystemRoot\system32\DRIVERS\usbhub.sys
\SystemRoot\system32\DRIVERS\USBD.SYS
\SystemRoot\system32\DRIVERS\flpydisk.sys
\SystemRoot\System32\Drivers\Fs_Rec.SYS
\SystemRoot\System32\Drivers\Null.SYS
\SystemRoot\System32\Drivers\Beep.SYS
\SystemRoot\System32\drivers\vga.sys
\SystemRoot\System32\Drivers\mnmdd.SYS
\SystemRoot\System32\DRIVERS\RDPCDD.sys
\SystemRoot\system32\drivers\fwdrv.sys
\SystemRoot\System32\Drivers\Msfs.SYS
\SystemRoot\System32\Drivers\Npfs.SYS
\SystemRoot\system32\DRIVERS\rasacd.sys
\SystemRoot\system32\DRIVERS\ipsec.sys
\SystemRoot\system32\DRIVERS\msgpc.sys
\SystemRoot\system32\DRIVERS\tcpip.sys
\SystemRoot\System32\Drivers\aswTdi.SYS
\SystemRoot\system32\DRIVERS\netbt.sys
\SystemRoot\system32\DRIVERS\wanarp.sys
\SystemRoot\System32\drivers\ws2ifsl.sys
\SystemRoot\System32\drivers\afd.sys
\SystemRoot\system32\DRIVERS\netbios.sys
\SystemRoot\system32\DRIVERS\rdbss.sys
\SystemRoot\system32\DRIVERS\mrxsmb.sys
\SystemRoot\system32\drivers\khips.sys
\SystemRoot\System32\Drivers\Fips.SYS
\??\C:\WINDOWS\system32\avpi64.sys
\SystemRoot\system32\DRIVERS\adiusbaw.sys
\SystemRoot\System32\Drivers\Aavmker4.SYS
\SystemRoot\System32\Drivers\Cdfs.SYS
\SystemRoot\System32\Drivers\dump_atapi.sys
\SystemRoot\System32\Drivers\dump_WMILIB.SYS
\SystemRoot\System32\win32k.sys
\SystemRoot\System32\drivers\Dxapi.sys
\SystemRoot\System32\watchdog.sys
\SystemRoot\System32\drivers\dxg.sys
\SystemRoot\System32\drivers\dxgthk.sys
\SystemRoot\System32\nv4_disp.dll
\SystemRoot\system32\DRIVERS\ndisuio.sys
\SystemRoot\system32\DRIVERS\mrxdav.sys
\SystemRoot\System32\Drivers\ParVdm.SYS
\??\C:\WINDOWS\system32\drivers\amon.sys
\SystemRoot\system32\drivers\wdmaud.sys
\SystemRoot\system32\drivers\sysaudio.sys
\SystemRoot\System32\Drivers\aswMon2.SYS
\SystemRoot\system32\DRIVERS\srv.sys
\SystemRoot\system32\DRIVERS\secdrv.sys
\SystemRoot\System32\Drivers\HTTP.sys
\SystemRoot\System32\Drivers\aswRdr.SYS
\SystemRoot\System32\Drivers\IsPubDrv.sys
\WINDOWS\System32\ntdll.dll

Červeně byl proces explorer exe a winlogon exe. taky je tu ta avpi64.sys v

[mijaja]

Když se koukneš sem (záložka Advanced), tak ten dacan by tam měl mít 4 soubory v systémové složce Windows a ten řádek v registrech. On se stále obnovuje z těchto souborů.
Zkus v HJT zastavit ten řádek 020,(dej HJT na lištu a nevypínej ho) a hned otevři v registru ten řádek a zkus to vymazat a hned na to se podívat v systému po všech 4 položkách a smazat. Jestli umíš trochu anglicky, koukni na záložku Recovery na instructions for removing Trojans. Třeba ti to něco řekne.

[frenkie]

mijajo ten odkaz je na stranky microsovtu bez zjakékoliv záložky. Nezapomeň že nemjde IE. Byl v tom ice logu označen červeně zrovna jako řádek s winlogon