Prosím o kotrolu... Podozrenie na virus Vyřešeno

[jaro3]

stáhni SuperAntiSpyware
aktualizuj databázi , proveď sken a následně nákazy smaž

Zkusíme najednou přepsat všechny soubory:

Stáhni si Dial-a-fix
Klikni na kladívko-další možnosti:
SFC scan - Spustí nástroj pro kontrolu systémových souborů (případná potřeba instalačního media Windows).
Klikni na službu a pak na GO.

Potom zkus Kaspersky On Line Scanner.

[Reklama]

[Kobra.svk]

Super anti spyware mi nejak nefunguje...sputil som ho a po cca 15 minutak kontroly nastala modra smrt a restart systemu..skusil som este raz a znova...tak som ho odinstaloval a nainstaloval znova...skusil a znova modra smrt...(modra obrazovka a potom restart..) tak idem skusit dalej..dial a fix a kaspersky

[jaro3]

SAS zkus v nouz. režimu.

[Kobra.svk]

SAS v nudzovom rezime isiel...co nasiel som zmazal....ale stale mi hlasi virus v C:\windows\system321\svchost.exe

[jaro3]

Hlásí Ti to pouze tento soubor?
C:\windows\system321\svchost.exe
snad to bude :
C:\windows\system32\svchost.exe


Start-spustit-napiš: notepad .do něho vlož tento celý text:

Kód: Vybrat vše

dir \svchost.exe /a h /s > File.txt

uložit na plochu s názvem: find.bat (typ souboru- všechny soubory)
Najdi ho na ploše, poklepej na něj a počkej až se okno zavře a objeví se soubor.txt
Vlož sem potom celý text z tohoto souboru.

[Kobra.svk]

jj sry...je to system32 a najcastejsie ho zachycuje nod 32

Volume in drive C has no label.
Volume Serial Number is F406-6FCD

Directory of C:\WINDOWS\$NtServicePackUninstall$

07.07.2009 16:12 12˙288 svchost.exe
1 File(s) 12˙288 bytes

Directory of C:\WINDOWS\LastGood\system32

07.07.2009 14:49 34˙304 svchost.exe
1 File(s) 34˙304 bytes

Directory of C:\WINDOWS\ServicePackFiles\i386

07.07.2009 16:27 13˙824 svchost.exe
1 File(s) 13˙824 bytes

Directory of C:\WINDOWS\SoftwareDistribution\Download\e9500597a78495f397efb821e37bf356

07.07.2009 16:32 13˙824 svchost.exe
1 File(s) 13˙824 bytes

Directory of C:\WINDOWS\system32

07.07.2009 14:49 34˙304 svchost.exe
1 File(s) 34˙304 bytes


dobre by bolo keby som dal log z nod 32...myslim protokol infiltracii alebo take nieco ale nvm co kde a ako bo doteraz spom pouzival avast

[jaro3]

Toto otestuj na Virustotal
C:\WINDOWS\$NtServicePackUninstall$\svchost.exe
C:\WINDOWS\LastGood\system32\svchost.exe
C:\WINDOWS\ServicePackFiles\i386\svchost.exe
C:\WINDOWS\SoftwareDistribution\Download\e9500597a78495f397efb821e37bf356\svchost.exe
C:\WINDOWS\system32\dllcache\svchost.exe --tento tam asi vůbec nemáš.
Vlož sem pak odkazy výsledků.

[Kobra.svk]

odkazy...hned to bude
ja som to skopiroval...uz sa na tom pracuje


tak tu je prvy : http://www.virustotal.com/cs/analisis/4 ... 1247162055
druhy uz neexistuje...asi sa nejak zmazal...
treti: http://www.virustotal.com/cs/analisis/1 ... 1247162171
stvrty: http://www.virustotal.com/cs/analisis/1 ... 1247162561
a piaty nie je

[jaro3]

Stáhni si ComboFix (by sUBs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna , vypni antivir.

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

KillAll::
FCopy::
C:\WINDOWS\ServicePackFiles\i386|c:\windows\system32\svchost.exe
C:\WINDOWS\ServicePackFiles\i386|C:\WINDOWS\system32\dllcache\svchost.exe

SysRst::

Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT

Ta velikost se mi nelíbí, možná má McAfee pravdu a jsou infikované všechny , zatím vyzkoušíme toto.

[Kobra.svk]

jdu na to....log bude zachvilu

ComboFix.rar

(22.94 KiB) Staženo 12 x

[jaro3]

CFScript:

Kód: Vybrat vše

KillAll::
File::
c:\documents and settings\DeathMaker\reader_s.exe

Otestuj na VirusTotal:
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllcache\svchost.exe
Pokud tam jsou..

Stáhni si Malwarebytes' Anti-Malware
Nainstaluj a spusť ho
- na konci instalace se ujisti že máš zvoleny/zatrhnuty obě možnosti:
Aktualizace Malwarebytes' Anti-Malware a Spustit aplikaci Malwarebytes' Anti-Malware, pokud jo tak klikni na tlačítko konec
- pokud bude nalezena aktualizace, tak se stáhne a nainstaluje
- program se po té spustí a nech vybranou možnost Provést rychlý sken a klikni na tlačítko Skenovat
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Zobrazit výsledky
- pak zvol možnost uložit log a ulož si log na plochu
- po té klikni na tlačítko Exit, objeví se ti hláška tak zvol Ano
(zatím nic nemaž!).
Vlož sem pak obsah toho logu.

[Kobra.svk]

Malwarebytes' Anti-Malware 1.38
Database version: 2403
Windows 5.1.2600 Service Pack 2

10.7.2009 19:08:31
mbam-log-2009-07-10 (19-08-26).txt

Scan type: Quick Scan
Objects scanned: 100907
Time elapsed: 7 minute(s), 0 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 2
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 1

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_CURRENT_USER\SOFTWARE\ByteLinker (Pup.BitSpirit) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect (Malware.Trace) -> No action taken.

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
c:\WINDOWS\934fdfg34fgjf23 (Worm.KoobFace) -> No action taken.