Trojský kůň, který nelze odstranit Vyřešeno

[memphisto]

Ach jo, to AVG dělá sakra problémy Dej start - spustit - services.msc - najdi a ukonči/zakaž všechny služby patřící AVG a poté smaž vše,co najdeš k AVG v program files a C/Documenst and settings/jméno profilu/data aplikací/AVG

[Reklama]

[tomik19]

Tak rozšířené služby se mi vůbec neotevřou -
jeden nebo několik ovládacích prvků Activex nelze zobrazit.
...
důsledkem toho stránka nebude pravděpodobně zobrazena správně

a v základních nic o AVG neni...:(

[Orcus]

AVG takto neodebereš... vím to páč dělám na jeho supportu:)

koukni sem a stáhni si patřičnej remover(x86/x64):

http://www.avg.cz/stahnout-nastroje

pak smaž vše co najdeš v

C:\ProgramFiles/avg
C:\Documenst and settings/All Users/data aplikací/AVG
C:\Documenst and settings/All users/data aplikací/MFAData
C:\WINDOWS\system32\drivers\AVG

[jaro3]

Zkus:
Please open the AVG Control Center program -> double-click on the "AVG Resident Shield" component (looks like this: ) -> deselect the "Turn on AVG Resident Shield" checkmark and save the setting.
When you need to enable the AVG Resident Shield, just open the AVG Control Center program -> double-click on the "AVG Resident Shield" component -> select the "Turn on AVG Resident Shield" checkmark and save the setting.


Pak zkus odinstalovat , ty složky dle Orcuse nemaž.

Pokud to nepůjde , postupuj v Combofixu i přes varování..

[Orcus]

jaro3: Víš co to je IDP?:) Tahle komponenta kontroluje bežící procesy... tudíž je jí potřeba taky vypnout:)

Každopádně, pokud by to AVG měl odinstalovávat tak ty složky může klidně smazat, sou tam jen logy a konfigy, ktery se pri kazdy instalaci stejne tvorej novy. To samy se tyce slozky drivers ve Win:)

Tady vypnuti kompoent česky a na všechny komponenty:


- Rezidentni stit (poklikejte na Rezidentni stit a odskrtnete polozku "Rezidentni stit je aktivni").
- Webovy stit (poklikejte na Webovy stit a odskrtnete polozku "Zapnout Webovy stit").
- Link Scanner (poklikejte na Link Scanner a odskrtnete vsechny volby).
- Firewall (poklikejte na Firewall a zvolte "Firewall je zastaven").
- Identity Protection (poklikejte na Identity Protection a odtrhnete "Identity Protection je aktivni")
- V hornim menu kliknete na Nastroje -> "Pokrocile nastaveni" -> "Server vyrovnaci pameti" -> odtrhnete moznost "Povolit vyrovnavaci pamet".)



Nícměne podle procesu vidím že se jedná o placenou verzi, tudíž bych tu 9.0 stejně odebral removerem a rovnou instaloval 2011.

[jaro3]

Právě , stačí jen ten odkaz od Tebe , ostatní se dá odstranit prostřednictvím logu a nenamáhat zadavatele hledáním složek , (může taky dojít k omylu , a smaže , co nemá..). Složky Combofixu nevadí..

[tomik19]

Povedlo se, posílám log z combofixu...

ComboFix 10-11-25.06 - Median 26.11.2010 17:54:37.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.420.1029.18.953.580 [GMT 1:00]
Spuštěný z: c:\documents and settings\Median\Plocha\ComboFix.exe
AV: AVG Anti-Virus Business Edition *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\6164.exe
C:\data
c:\documents and settings\All Users\Data aplikací\BarQuery
c:\documents and settings\All Users\Data aplikací\BarQuery\barquery135.exe
c:\documents and settings\All Users\Dokumenty\Server\admin.txt
c:\documents and settings\LocalService\Data aplikací\Microsoft\memoottohoo.exe
c:\documents and settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd
c:\documents and settings\Median\secupdat.dat
c:\program files\BarQuery
c:\program files\BarQuery\barquery.exe
c:\program files\BarQuery\uninstall.exe
c:\windows\system32\cycohuvooh.exe
c:\windows\system32\dbbk.lio
c:\windows\system32\drivers\npf.sys
c:\windows\system32\joojoo.exe
c:\windows\system32\Packet.dll
c:\windows\system32\sshnas21.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll
c:\windows\system32\wuaucldt.exe
c:\windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job

c:\windows\system32\winlogon.exe . . . je infikován!!

c:\windows\explorer.exe . . . je infikován!!

c:\windows\system32\drivers\cdrom.sys . . . je infikován!!

.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_BARQUERY_SERVICE
-------\Legacy_NPF
-------\Legacy_SSHNAS
-------\Service_BarQuery Service
-------\Service_NPF
-------\Service_SSHNAS
-------\Legacy_eyuevnyuoy82y
-------\Service_eyuevnyuoy82y


((((((((((((((((((((((((( Soubory vytvořené od 2010-10-26 do 2010-11-26 )))))))))))))))))))))))))))))))
.

2010-11-25 17:16 . 2010-11-25 17:16 199680 ----a-w- c:\windows\Vhezia.exe
2010-11-24 22:33 . 2010-11-24 22:33 -------- d-----w- c:\documents and settings\Median\Data aplikací\Malwarebytes
2010-11-24 22:32 . 2010-04-29 14:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-24 22:32 . 2010-11-24 22:32 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Malwarebytes
2010-11-24 22:32 . 2010-11-24 22:32 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-11-24 22:32 . 2010-04-29 14:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-11-24 21:10 . 2010-11-24 21:10 -------- d-----w- c:\documents and settings\Median\DoctorWeb
2010-11-24 19:43 . 2010-11-26 16:53 98240 ----a-w- c:\windows\system32\drivers\cdrom.sys
2010-11-24 18:25 . 2010-11-24 18:25 -------- d-----w- c:\windows\system32\LogFiles
2010-11-24 15:05 . 2010-11-24 15:05 323584 --sh--r- c:\windows\system32\wmsrvc.exe
2010-11-23 13:47 . 2010-11-23 13:47 -------- d-----w- c:\program files\Desktop Hijack Fix
2010-11-23 13:46 . 2010-11-23 13:46 249856 ------w- c:\windows\Setup1.exe
2010-11-23 13:46 . 2010-11-23 13:46 73216 ----a-w- c:\windows\ST6UNST.EXE
2010-11-23 13:32 . 2010-11-23 13:32 -------- d-----w- C:\rsit
2010-11-23 13:32 . 2010-11-23 13:32 -------- d-----w- c:\program files\trend micro
2010-11-23 09:44 . 2010-11-24 17:27 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-11-23 09:44 . 2010-11-23 10:06 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Spybot - Search & Destroy
2010-11-23 09:42 . 2010-11-23 10:55 -------- d---a-w- c:\documents and settings\All Users\Data aplikací\TEMP
2010-11-23 09:36 . 2006-06-19 11:01 69632 ----a-w- c:\windows\system32\ztvcabinet.dll
2010-11-23 09:36 . 2006-05-25 13:52 162304 ----a-w- c:\windows\system32\ztvunrar36.dll
2010-11-23 09:36 . 2005-08-25 23:50 77312 ----a-w- c:\windows\system32\ztvunace26.dll
2010-11-23 09:36 . 2003-02-02 18:06 153088 ----a-w- c:\windows\system32\UNRAR3.dll
2010-11-23 09:36 . 2002-03-05 23:00 75264 ----a-w- c:\windows\system32\unacev2.dll
2010-11-23 09:36 . 2010-11-23 09:38 -------- d-----w- c:\program files\Trojan Remover
2010-11-23 09:36 . 2010-11-23 09:36 -------- d-----w- c:\documents and settings\Median\Data aplikací\Simply Super Software
2010-11-23 09:36 . 2010-11-23 09:36 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Simply Super Software
2010-11-22 20:39 . 2010-11-23 09:37 -------- d-----w- c:\program files\TrojanHunter 4.2
2010-11-22 20:00 . 2010-11-22 20:01 -------- dc-h--w- c:\windows\ie8
2010-11-20 15:02 . 2010-11-21 18:09 214 ----a-w- C:\wifi32.exe
2010-11-18 23:57 . 2010-11-19 21:13 93 ----a-w- C:\win22.exe
2010-11-16 23:09 . 2010-11-16 23:09 1460 ----a-w- C:\wlksk.exe
2010-11-16 22:19 . 2010-11-16 22:19 49640 ----a-w- C:\itt.exe
2010-11-16 22:12 . 2010-11-16 22:34 10220 ----a-w- C:\it.exe
2010-11-16 22:10 . 2010-11-16 22:11 81760 ----a-w- C:\zi.exe
2010-11-14 22:45 . 2010-11-14 22:45 0 ----a-w- C:\winnt7.exe
2010-11-14 18:39 . 2010-11-14 22:37 183 ----a-w- C:\t6.exe
2010-11-12 20:25 . 2010-11-16 18:42 193024 --sh--r- c:\documents and settings\Median\Data aplikací\juzjf.exe
2010-11-11 22:50 . 2010-11-12 00:13 128 ----a-w- C:\winscxs.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-22 07:30 . 2010-04-25 21:07 77312 ----a-w- c:\windows\system32\InternetMeter.exe
2010-10-15 21:53 . 2010-10-15 21:53 73728 ----a-w- c:\windows\system32\javacpl.cpl
2010-10-15 21:53 . 2010-10-15 21:53 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-09-18 10:23 . 2008-04-14 12:00 974848 ----a-w- c:\windows\system32\mfc42u.dll
2010-09-18 06:53 . 2008-04-14 12:00 974848 ----a-w- c:\windows\system32\mfc42.dll
2010-09-18 06:53 . 2008-04-14 12:00 954368 ----a-w- c:\windows\system32\mfc40.dll
2010-09-18 06:53 . 2008-04-14 12:00 953856 ----a-w- c:\windows\system32\mfc40u.dll
2010-09-10 05:52 . 2008-04-14 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-09-10 05:52 . 2008-04-14 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2010-09-10 05:52 . 2008-04-14 12:00 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2010-09-01 11:52 . 2008-04-14 12:00 285824 ----a-w- c:\windows\system32\atmfd.dll
2010-09-01 07:57 . 2008-04-14 12:00 1852800 ----a-w- c:\windows\system32\win32k.sys
.

------- Sigcheck -------

[-] 2008-04-14 . 19E944914E6FA883622C35A6CBA57643 . 507904 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe

[-] 2008-04-14 . 2AECE776DD6722ACB41C487EEA6C0EFD . 1034240 . . [6.00.2900.5512] . . c:\windows\explorer.exe
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-04-01 486856]
"DetectTray"="c:\program files\Genius\TVGo DVB-T02PRO\DetectTray.exe" [2007-09-21 131072]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"ICQ"="c:\program files\ICQ7.1\ICQ.exe" [2010-10-27 133432]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-02-19 141336]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-02-19 173592]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-02-19 141848]
"TrueImageMonitor.exe"="c:\program files\Acronis\TrueImageHome\TrueImageMonitor.exe" [2007-11-05 2615624]
"AcronisTimounterMonitor"="c:\program files\Acronis\TrueImageHome\TimounterMonitor.exe" [2007-11-05 906648]
"Acronis Scheduler2 Service"="c:\program files\Common Files\Acronis\Schedule2\schedhlp.exe" [2007-11-05 140568]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"THGuard"="c:\program files\TrojanHunter 4.2\THGuard.exe" [2005-02-19 1089024]
"TrojanScanner"="c:\program files\Trojan Remover\Trjscan.exe" [2010-11-23 1167808]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\ICQ7.1\\ICQ.exe"=
"c:\\Program Files\\ICQ7.1\\aolload.exe"=
"c:\\Program Files\\EA GAMES\\Need for Speed Underground 2\\speed2.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\javaw.exe"=
"c:\\WINDOWS\\system32\\wmsrvc.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5900:TCP"= 5900:TCP:VNC

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [26.3.2010 21:29 691696]
R2 InternetMeter;InternetMeter;c:\windows\system32\InternetMeter_Service.exe [25.4.2010 22:07 13312]
R3 L1c;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1c51x86.sys [9.3.2010 15:58 39424]
S3 EC168BDA;TVGo DVB-T02PRO;c:\windows\system32\drivers\EC168BDA.sys [2.7.2010 10:16 67968]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [24.11.2010 23:32 38224]

--- Ostatní služby/ovladače v paměti ---

*Deregistered* - mchInjDrv
.
Obsah adresáře 'Naplánované úlohy'
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://seznam.cz/
IE: {{71BFC818-0CED-42D6-9C87-5142918957EE} - c:\program files\ICQ7.1\ICQ.exe
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKCU-Run-wuaucldt - c:\documents and settings\median\wuaucldt.exe
HKLM-Run-huhuj - c:\windows\system32\joojoo.exe
Notify-avgrsstarter - avgrsstx.dll



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-11-26 18:00
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\mchInjDrv]
"ImagePath"="\??\c:\docume~1\Median\LOCALS~1\Temp\mc22.tmp"
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'explorer.exe'(836)
c:\windows\system32\webcheck.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Common Files\Acronis\Schedule2\schedul2.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\CDBurnerXP\NMSAccessU.exe
c:\program files\Common Files\Acronis\Fomatik\TrueImageTryStartService.exe
c:\program files\RealVNC\VNC4\WinVNC4.exe
c:\windows\system32\InternetMeter.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\igfxsrvc.exe
.
**************************************************************************
.
Celkový čas: 2010-11-26 18:04:18 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-11-26 17:04

Před spuštěním: Volných bajtů: 97 504 243 712
Po spuštění: Volných bajtů: 98 212 409 344

WindowsXP-KB310994-SP2-Home-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
[spybotsd]
timeout.old=30

- - End Of File - - 1D5E2AAC99E5BE3DC6106E5E19E1FEA1

[jaro3]

Sbíráš viry? Viz adresář C:\ ...

Odinstaluj:
Spybot - Search & Destroy
TrojanHunter 4.2
Trojan Remover

V možnostech složky si povol zobrazování skrytých souborů a složek+ odškrtni zatržítko skrýt chráněné soubory operačního systému

Toto otestuj na Virustotal
c:\windows\Vhezia.exe
c:\windows\system32\wmsrvc.exe
C:\wifi32.exe
C:\win22.exe
C:\wlksk.exe
C:\itt.exe
C:\it.exe
C:\zi.exe
C:\winnt7.exe
C:\t6.exe

Klikni vpravo od okénka na Vybrat a v Exploreru najdi požadovaný soubor v Tvém PC. Označ ho myší a klikni na Otevřít , poté klikni na Send File. Pokud už byl soubor testován , objeví se okno ve kterém klikni na Reanalyze. Soubor se začne postupně testovat více antivirovými programy. Až skončí test posledního antiviru , objeví se nahoře result a červeně počet nákaz , např. 0/40 , nebo 1/40. Pak zkopíruj myší odkaz na tuto stránku a vlož ji do svého příspěvku.

[tomik19]

Virustotal is a service that analyzes suspicious files and URLs and facilitates the quick detection of viruses, worms, trojans, and all kinds of malware detected by antivirus engines. More information...

0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name: Vhezia.exe
Submission date: 2010-11-26 20:48:36 (UTC)
Current status: queued queued analysing finished


Result: 23/ 43 (53.5%)
VT Community

not reviewed
Safety score: -
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.11.26.02 2010.11.26 -
AntiVir 7.10.14.125 2010.11.26 TR/Shakat.O.5
Antiy-AVL 2.0.3.7 2010.11.26 -
Avast 4.8.1351.0 2010.11.26 -
Avast5 5.0.594.0 2010.11.26 Win32:SuspBehav-E
AVG 9.0.0.851 2010.11.26 FakeAV.FXN
BitDefender 7.2 2010.11.26 Gen:Variant.Kazy.4078
CAT-QuickHeal 11.00 2010.11.26 -
ClamAV 0.96.4.0 2010.11.26 -
Command 5.2.11.5 2010.11.26 W32/FakeAlert.IV.gen!Eldorado
Comodo 6858 2010.11.26 MalCrypt.Indus!
DrWeb 5.0.2.03300 2010.11.26 -
Emsisoft 5.0.0.50 2010.11.26 -
eSafe 7.0.17.0 2010.11.24 -
eTrust-Vet 36.1.8001 2010.11.26 Win32/Renos.D!generic
F-Prot None 2010.11.26 -
F-Secure 9.0.16160.0 2010.11.26 Gen:Variant.Kazy.4078
Fortinet 4.2.254.0 2010.11.26 -
GData 21 2010.11.26 Gen:Variant.Kazy.4078
Ikarus T3.1.1.90.0 2010.11.26 -
Jiangmin 13.0.900 2010.11.26 -
K7AntiVirus 9.69.3095 2010.11.26 Riskware
Kaspersky 7.0.0.125 2010.11.26 Packed.Win32.Katusha.o
McAfee 5.400.0.1158 2010.11.26 -
McAfee-GW-Edition 2010.1C 2010.11.26 Heuristic.BehavesLike.Win32.Spyware.H
Microsoft 1.6402 2010.11.26 TrojanDownloader:Win32/Renos.LX
NOD32 5652 2010.11.26 a variant of Win32/Kryptik.ILX
Norman 6.06.10 2010.11.26 -
nProtect 2010-11-26.01 2010.11.26 Gen:Variant.Kazy.4078
Panda 10.0.2.7 2010.11.26 Suspicious file
PCTools 7.0.3.5 2010.11.26 Trojan.FakeAV
Prevx 3.0 2010.11.26 -
Rising 22.75.03.04 2010.11.26 -
Sophos 4.60.0 2010.11.26 Mal/FakeAV-CX
SUPERAntiSpyware 4.40.0.1006 2010.11.26 Trojan.Agent/Gen-FakeAV
Symantec 20101.2.0.161 2010.11.26 Trojan.FakeAV!gen29
TheHacker 6.7.0.1.091 2010.11.26 -
TrendMicro 9.120.0.1004 2010.11.26 Cryp_FakeAV-32
TrendMicro-HouseCall 9.120.0.1004 2010.11.26 Cryp_FakeAV-32
VBA32 3.12.14.2 2010.11.26 -
VIPRE 7419 2010.11.26 VirTool.Win32.Obfuscator.hg!b1 (v)
ViRobot 2010.11.19.4158 2010.11.26 -
VirusBuster 13.6.62.0 2010.11.26 -
Additional informationShow all
MD5 : 94bfdb30e7261eb238d3dd9ee449fc43
SHA1 : ab390e83c629ba99f9667b12e290230bd58be3c6
SHA256: 9ff865f293b66d683a2f4fa0f38d6d7d8d51a63accf29c37742681a90d390403
ssdeep: 6144:qrcCTw6Ar7Lj5jYEqNnoJsRY67p53SWH:qICkBrHj5jYFoJsR17P3t
File size : 199680 bytes
First seen: 2010-11-26 20:48:36
Last seen : 2010-11-26 20:48:36
TrID:
Windows Screen Saver (39.4%)
Win32 Executable Generic (25.6%)
Win32 Dynamic Link Library (generic) (22.8%)
Generic Win/DOS Executable (6.0%)
DOS Executable Generic (6.0%)
sigcheck:
publisher....: Opera Software
copyright....: Seven Golds
product......: Seven Gold Soft
description..: Gold Softs Version 2011
original name: Seven Golds.exe
internal name: Seven Golds.exe
file version.: 7.0.0.1057
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x1000
timedatestamp....: 0x4A8A6369 (Tue Aug 18 08:16:41 2009)
machinetype......: 0x14c (I386)

[[ 7 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
CODE, 0x1000, 0xCBE9, 0xCC00, 5.71, 749821ac59649c6ff869c80738942e43
.rdata, 0xE000, 0x146E3, 0x800, 3.57, 7ab7d90b0467a72d7ef921f381cc26cc
.data, 0x23000, 0x20BDD, 0x20C00, 7.28, 622702a075717d52b1ef333f1da44588
.bdata, 0x44000, 0xF6, 0x200, 0.00, bf619eac0cdf3f68d496ea9344137e8b
DATA, 0x45000, 0x1C40, 0x1E00, 5.32, d897900323a189b4b454e0d0dd378768
.ddata, 0x47000, 0x3EB, 0x400, 0.08, d581f39923a709dad860f0a3518c96c7
.rsrc, 0x48000, 0x344, 0x400, 2.77, 9d61620a16c18f3d9fc4ece22b17c9c9

[[ 3 import(s) ]]
user32.dll: LoadKeyboardLayoutA, PeekMessageA, ReleaseCapture, OffsetRect, ReleaseDC, ScrollWindow, SetActiveWindow, RemovePropA, SendMessageW, ScreenToClient, SendMessageA, LoadStringA, RemoveMenu, RedrawWindow, RegisterWindowMessageA, OpenClipboard, RegisterClipboardFormatA, MessageBoxA, PostQuitMessage, LoadCursorA, MessageBeep, OemToCharA, RegisterClassA, LoadBitmapA, MapVirtualKeyA, PtInRect, LoadIconA, MapWindowPoints, PeekMessageW, PostMessageA
kernel32.dll: lstrlenW, ExitProcess, ExitThread, GetProcAddress, LoadLibraryA, GetCommandLineW, LoadLibraryExA, IsBadHugeReadPtr, GetLastError, lstrlenA, VirtualAlloc, GetModuleHandleA, GetOEMCP
comdlg32.dll: GetSaveFileNameA

ExifTool:
file metadata
CharacterSet: Unicode
CodeSize: 52224
CompanyName: Opera Software
EntryPoint: 0x1000
FileDescription: Gold Softs Version 2011
FileFlagsMask: 0x003f
FileOS: Win32
FileSize: 195 kB
FileSubtype: 0
FileType: Win32 EXE
FileVersion: 7.0.0.1057
FileVersionNumber: 7.0.0.1057
ImageVersion: 0.0
InitializedDataSize: 146432
InternalName: Seven Golds.exe
LanguageCode: English (U.S.)
LegalCopyright: Seven Golds
LinkerVersion: 3.11
MIMEType: application/octet-stream
MachineType: Intel 386 or later, and compatibles
OSVersion: 4.0
ObjectFileType: Executable application
OriginalFilename: Seven Golds.exe
PEType: PE32
ProductName: Seven Gold Soft
ProductVersion: 7.0.0.1057
ProductVersionNumber: 7.0.0.1057
Subsystem: Windows GUI
SubsystemVersion: 4.0
TimeStamp: 2009:08:18 10:16:41+02:00
UninitializedDataSize: 81920



VT Community

0
This file has never been reviewed by any VT Community member. Be the first one to comment on it!
VirusTotal Team

[jaro3]

//nemusíš , vkládat celý obsah---stačí zkopírovat stránku jak odkaz...

[tomik19]

http://www.virustotal.com/file-scan/rep ... 1290804899
http://www.virustotal.com/file-scan/rep ... 1290805142
http://www.virustotal.com/file-scan/rep ... 1290805225
http://www.virustotal.com/file-scan/rep ... 1290805374
http://www.virustotal.com/file-scan/rep ... 1290805493
http://www.virustotal.com/file-scan/rep ... 1290805602
http://www.virustotal.com/file-scan/rep ... 1290805729
http://www.virustotal.com/file-scan/rep ... 1290805871

akorát winnt7.exe nelze otestovat....

[jaro3]

Odinstalováno
Spybot - Search & Destroy
TrojanHunter 4.2
Trojan Remover
???

Stáhni si zde soubory:
http://www.edisk.cz/stahni/40204/soubor ... .77KB.html
rozbal a vyjmi soubory a vlož všechny postupně do C:\

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

KillAll::
FCOPY::
c:\winlogon.exe | c:\windows\system32\dllchache\winlogon.exe
c:\winlogon.exe | c:\windows\system32\winlogon.exe
c:\explorer.exe | c:\windows\system32\dllcache\explorer.exe
c:\explorer.exe | c:\windows\explorer.exe
c:\cdrom.sys | c:\windows\system32\drivers\cdrom.sys
c:\cdrom.sys | c:\windows\system32\dllcache\cdrom.sys

File::
c:\documents and settings\Median\Data aplikací\juzjf.exe
C:\winscxs.exe
c:\docume~1\Median\LOCALS~1\Temp\mc22.tmp
c:\windows\Vhezia.exe
c:\windows\system32\wmsrvc.exe
C:\win22.exe
C:\wlksk.exe
C:\itt.exe
C:\it.exe
C:\zi.exe
C:\winnt7.exe
C:\t6.exe

Folder::
c:\program files\Trojan Remover
c:\program files\TrojanHunter 4.2
c:\program files\Spybot - Search & Destroy
c:\documents and settings\All Users\Data aplikací\Spybot - Search & Destroy

Driver::
mchInjDrv

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000000
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\mchInjDrv]

Reglock::
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]


Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT


Upozornění : Může se stát, že po aplikaci skriptu a restartu počítače Windows nenaběhnou, pak znovu restartuj počítač, mačkej F8 a pak zvol poslední známou funkční konfiguraci.