Kontrola logu HJ Vyřešeno

[PECHY15]

Bohužel... stále modrá smrt

[Reklama]

[zlobyl]

Tak zkus zaškrtnout v Avengeru pole Automatically disable any rootkits found.

[Diallix]

Chcem vypis tej modrej smrti.

Urobte prosim tento navod : http://viry.cz/forum/viewtopic.php?f=15&t=40395

Stiahnite si program, v nudzovom rezime ho spustite a suhlaste s podmienkami podla toho navodu na nudzovy rezim. Log z neho potom sem.

[PECHY15]

Chcem vypis tej modrej smrti.

Urobte prosim tento navod : http://viry.cz/forum/viewtopic.php?f=15&t=40395

Stiahnite si program, v nudzovom rezime ho spustite a suhlaste s podmienkami podla toho navodu na nudzovy rezim. Log z neho potom sem.

Nevím k čemu by ti byl ten výpis z modrý smrti a navíc kdyby jsi si přečetl celé téma, tak zjistíš že do nouzáku nemůžu a tím pádem nemůžu ani použít SDFix

[Diallix]

No, a preco by mi ten vypis bol na nic? Len ho tu pekne daj.

Ako, mas pravdu, to som si bohuzuzial nevsimol, ale sdfix je profik na urcite viry, ktore si ty tam mal. Zaroven sa ospravedlnujem.

Pouzi combofix :
Aplikujte Combofix:

Stiahnite si na plochu ComboFix

Nasledne ho spustite (ucet Administratora).
Po spusteni naskocia licencne podmienky s ktorymi suhlaste a pokracujte ANO/YES/OK.
Zacne sken pocas ktoreho neklikajte pomimo okna. Cely sken trva cca. 10 minut.
Po skene ComboFix vygeneruje log, ktory ulozi do cielovej jednotky, napr. c:\ s nazvom ComboFix.log. Obsah celeho logu skopirujte sem.

Ten by mal nudzak opravit.

[PECHY15]

Tak zkus zaškrtnout v Avengeru pole Automatically disable any rootkits found.

Takže... udělal jsem jak si řekl... do nouzáku jsem se hned potom dostal bez problému... aplikoval jsem SDFix tady je z něj log:

SDFix: Version 1.231
Run by Radek on źt 16. 10. 2008 at 20:28

Microsoft Windows XP [Verze 5.1.2600]
Running From: C:\SDFix

Checking Services :

Rootkit Found :
C:\WINDOWS\system32\drivers\TDSSserv.sys - Rootkit.Win32.Agent.cku

Name :
tdssserv

Path :
\systemroot\system32\drivers\TDSSserv.sys

tdssserv - Deleted



Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\SYSTEM32\WINDOW~1.EXE - Deleted
C:\Program Files\Setup.exe - Deleted
C:\WINDOWS\rundll16.exe - Deleted
C:\WINDOWS\system32\casino1.ico - Deleted
C:\WINDOWS\system32\casino2.ico - Deleted
C:\WINDOWS\system32\casino3.ico - Deleted
C:\WINDOWS\system32\windows_update.exe - Deleted
C:\WINDOWS\system32\drivers\tdssserv.sys - Deleted
C:\WINDOWS\system32\tdssadw.dll - Deleted
C:\WINDOWS\system32\TDSSerrors.log - Deleted
C:\WINDOWS\system32\tdssinit.dll - Deleted
C:\WINDOWS\system32\tdssl.dll - Deleted
C:\WINDOWS\system32\tdsslog.dll - Deleted
C:\WINDOWS\system32\tdssmain.dll - Deleted
C:\WINDOWS\system32\tdsspopup.dll - Deleted
C:\WINDOWS\system32\tdsspopup1.url - Deleted
C:\WINDOWS\system32\tdsspopup2.url - Deleted
C:\WINDOWS\system32\tdsspopup3.url - Deleted
C:\WINDOWS\system32\tdssserf.dll - Deleted
C:\WINDOWS\system32\tdssserf1.dll - Deleted
C:\WINDOWS\system32\tdssservers.dat - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-16 20:35:51
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cursors\Schemes]
"\f\1e?r?n?é? ?u?k?a?z?a?t?e?l?e? ?"="C:\WINDOWS\cursors\arrow_r.cur,C:\WINDOWS\cursors\help_r.cur,C:\WINDOWS\cursors\wait_r.cur,C:\WINDOWS\cursors\busy_r.cur,C:\WINDOWS\cursors\cross_r.cur,C:\WINDOWS\cursors\beam_r.cur,C:\WINDOWS\cursors\pen_r.cur,C:\WINDOWS\cursors\no_r.cur,C:\WINDOWS\cursors\size4_r.cur,C:\WINDOWS\cursors\size3_r.cur,C:\WINDOWS\cursors\size2_r.cur,C:\WINDOWS\cursors\size1_r.cur,C:\WINDOWS\cursors\move_r.cur,C:\WINDOWS\cursors\up_r.cur"
"\f\1e?r?n?é? ?u?k?a?z?a?t?e?l?e? ?(?v?e?l?k?é?)?"="C:\WINDOWS\cursors\arrow_rm.cur,C:\WINDOWS\cursors\help_rm.cur,C:\WINDOWS\cursors\wait_rm.cur,C:\WINDOWS\cursors\busy_rm.cur,C:\WINDOWS\cursors\cross_rm.cur,C:\WINDOWS\cursors\beam_rm.cur,C:\WINDOWS\cursors\pen_rm.cur,C:\WINDOWS\cursors\no_rm.cur,C:\WINDOWS\cursors\size4_rm.cur,C:\WINDOWS\cursors\size3_rm.cur,C:\WINDOWS\cursors\size2_rm.cur,C:\WINDOWS\cursors\size1_rm.cur,C:\WINDOWS\cursors\move_rm.cur,C:\WINDOWS\cursors\up_rm.cur"
"\f\1e?r?n?é? ?u?k?a?z?a?t?e?l?e? ?(?n?e?j?v?\e\1t?a\1í?)?"="C:\WINDOWS\cursors\arrow_rl.cur,C:\WINDOWS\cursors\help_rl.cur,C:\WINDOWS\cursors\wait_rl.cur,C:\WINDOWS\cursors\busy_rl.cur,C:\WINDOWS\cursors\cross_rl.cur,C:\WINDOWS\cursors\beam_rl.cur,C:\WINDOWS\cursors\pen_rl.cur,C:\WINDOWS\cursors\no_rl.cur,C:\WINDOWS\cursors\size4_rl.cur,C:\WINDOWS\cursors\size3_rl.cur,C:\WINDOWS\cursors\size2_rl.cur,C:\WINDOWS\cursors\size1_rl.cur,C:\WINDOWS\cursors\move_rl.cur,C:\WINDOWS\cursors\up_rl.cur"

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Hry\\Empire Earth\\Empire Earth.exe"="C:\\Hry\\Empire Earth\\Empire Earth.exe:*:Enabled:Empire Earth"
"C:\\Hry\\-Aoe2conquer\\age2_x1.exe"="C:\\Hry\\-Aoe2conquer\\age2_x1.exe:*:Enabled:Age of Empires II Expansion"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Program Files\\GameSpy Arcade\\Aphex.exe"="C:\\Program Files\\GameSpy Arcade\\Aphex.exe:*:Enabled:GameSpy Arcade"
"C:\\Program Files\\EA GAMES\\MOHAA\\MOHAA.exe"="C:\\Program Files\\EA GAMES\\MOHAA\\MOHAA.exe:*:Enabled:Medal of Honor Allied Assault(tm)"
"C:\\Program Files\\uTorrent\\utorrent.exe"="C:\\Program Files\\uTorrent\\utorrent.exe:*:Enabled:uTorrent"
"C:\\Program Files\\QIP\\qip.exe"="C:\\Program Files\\QIP\\qip.exe:*:Enabled:Quiet Internet Pager"
"C:\\Program Files\\ICQLite\\ICQLite.exe"="C:\\Program Files\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\\Program Files\\GameSpy Arcade\\Services\\_common\\RWVoice.exe"="C:\\Program Files\\GameSpy Arcade\\Services\\_common\\RWVoice.exe:*:Enabled:RogerWilco Lite for GameSpy Arcade"
"C:\\Program Files\\Counter-Strike\\hl.exe"="C:\\Program Files\\Counter-Strike\\hl.exe:*:Enabled:Half-Life Launcher"
"C:\\Program Files\\Hamachi\\hamachi.exe"="C:\\Program Files\\Hamachi\\hamachi.exe:*:Enabled:Hamachi Client"
"C:\\Program Files\\MumboJumbo\\Luxor\\luxor.exe"="C:\\Program Files\\MumboJumbo\\Luxor\\luxor.exe:*:Disabled:Luxor"
"C:\\Program Files\\Strong DC++\\StrongDC.exe"="C:\\Program Files\\Strong DC++\\StrongDC.exe:*:Enabled:StrongDC++"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Program Files\\ICQ6\\ICQ.exe"="C:\\Program Files\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Wed 27 Jul 2005 56 A.SHR --- "C:\WINDOWS\system32\E5753A6A96.sys"
Wed 2 Nov 2005 10,856 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Wed 17 Oct 2007 118,137 A.SH. --- "C:\WINDOWS\system32\stvwa.tmp"
Sat 11 Aug 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

Finished!

Zatim pocituju silný zlepšení ale stejnak mam ještě pocit že tu asi něco zustalo... ale myslim že už to nebude nic važnyho...

[Diallix]

Pekne rootkity .

Este potrebujem, aby ste aplikoval tento navod, log z neho sem.
Aplikujte Combofix:

Stiahnite si na plochu ComboFix

Nasledne ho spustite (ucet Administratora).
Po spusteni naskocia licencne podmienky s ktorymi suhlaste a pokracujte ANO/YES/OK.
Zacne sken pocas ktoreho neklikajte pomimo okna. Cely sken trva cca. 10 minut.
Po skene ComboFix vygeneruje log, ktory ulozi do cielovej jednotky, napr. c:\ s nazvom ComboFix.log. Obsah celeho logu skopirujte sem.

[zlobyl]

Už to vypadá o hodně lépe.

SDFix odvedl dobrou práci, takže teď už by tam nemělo být nic závažného.


Přikláním se ještě k aplikování ComboFixu, abychom odhalili případné zbytky, které by tam eventuelně mohli dělat neplechu.
Vlož také log z HJT.

[PECHY15]

Tak bezva... dik moc zlobyle... jsem rad že tady vždy někdo pomuže

[zlobyl]

Nemáš vůbec zač.
To já bych se měl omluvit za dlouhé prostoje kvůli nedostatku času.


Každopádně pokud je problém vyřešen, tak jsem jedině rád.