Rootkit - je tam ještě? Vyřešeno

[jaojao]

OTL logfile created on: 7.6.2010 23:18:39 - Run 1
OTL by OldTimer - Version 3.2.5.3 Folder = C:\Documents and Settings\XXXX\Plocha


< End of report >

[Reklama]

[jaojao]

OTL Extras logfile created on: 7.6.2010 23:18:39 - Run 1
OTL by OldTimer - Version 3.2.5.3 Folder = C:\Documents and Settings\XXXX\Plocha


< End of report >

[Damned]

Červený soubor zkontroluj na Virustotalu a vlož sem odkaz na výsledek.
Pokud ho nenajdeš, dej si zobrazit skryté a systémové soubory. Pokud ti nabídne, že soubor už kontroloval,
nech ho zkontrolovat znovu, a počkej až se objeví "Dokončeno" a výsledek.Potom sem zkopíruj adresní řádek.

C:\WINDOWS\system32\epmntdrv.sys
C:\WINDOWS\system32\EuGdiDrv.sys

[jaojao]

http://www.virustotal.com/cs/analisis/b ... 1275949265
http://www.virustotal.com/cs/analisis/6 ... 1275949829
čisté oba..

[Damned]

Poklepej na ikonu OTL na ploše.Ujisti se , že máš všechny ostatní aplikace a prohlížeče zavřeny.
Pod Vlastní skenování/Opravy do okénka vlož následující text, zobrazený zeleně:

Kód: Vybrat vše

:OTL
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://eu.ask.com?o=14672&l=dis
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O20 - Winlogon\Notify\EFS: DllName - Reg Error: Value error. - Reg Error: Value error. File not found

:Files
C:\WINDOWS\*.tmp
C:\WINDOWS\System32\*.tmp
C:\WINDOWS\system32\*.tmp.dll
C:\WINDOWS\system32\SET*.tmp
C:\Recycler
C:\$RECYCLE.BIN
C:\WINDOWS\tasks\SA.DAT
C:\WINDOWS\System32\drivers\etc\hosts.20100604-145445.backup

:Reg

:Commands
[purity]
[emptytemp]
[emptyflash]
[start explorer]
[Reboot]


Poté klikni nahoře na Opravit. Nech program nerušeně běžet, na konci se provede restart PC.
Po restartu se objeví log , prosím zkopíruj sem celý jeho obsah.

[jaojao]

All processes killed
========== OTL ==========
Process explorer.exe killed successfully!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
Prefs.js: "Ask.com" removed from browser.search.defaultengine
Prefs.js: "Ask.com" removed from browser.search.defaultenginename
Prefs.js: "Ask.com" removed from browser.search.order.1
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\EFS\ deleted successfully.
========== FILES ==========
File\Folder C:\WINDOWS\*.tmp not found.
File\Folder C:\WINDOWS\System32\*.tmp not found.
File\Folder C:\WINDOWS\system32\*.tmp.dll not found.
File\Folder C:\WINDOWS\system32\SET*.tmp not found.
C:\RECYCLER\S-1-5-21-1202660629-1788223648-839522115-1003 folder moved successfully.
C:\RECYCLER folder moved successfully.
File\Folder C:\$RECYCLE.BIN not found.
C:\WINDOWS\tasks\SA.DAT moved successfully.
C:\WINDOWS\System32\drivers\etc\hosts.20100604-145445.backup moved successfully.
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 134 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: XXXX
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67892 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 39977068 bytes
->Flash cache emptied: 825 bytes

User: LocalService
->Temp folder emptied: 65748 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 38,00 mb


[EMPTYFLASH]

User: Administrator

User: All Users

User: Default User

User: XXXX
->Flash cache emptied: 0 bytes

User: LocalService

User: NetworkService

Total Flash Files Cleaned = 0,00 mb


OTL by OldTimer - Version 3.2.5.3 log created on 06082010_004434

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Co to bylo za klíče registrů, které jsme smazali?
A spustil jsem IE a objevilo se viz obr. mám to povolit a instalovat?

[Damned]

Pozůstatek nějakého doplňku prohlížeče (+přidružený klíč) a na winlogonu nějaký prázdný klíč ESF (což mi nic neříká).
Jinak bordel po Asku a pak něčí záloha hosts souboru(???)
Tempy a podobný brak, celkem 38 MB.

Smaž složku C:\_OTL a vysypej Koš.

Stáhni si ToolsCleaner2 (by de A.Rothstein & Dj Quiou) na Plochu a spusť ho.

Klikni na Pt. Restauration (obnova) a poté na OK.
Klikni na Corbeille (koš) a poté na OK.
Klikni na Fichiers temp (temp složky) a poté na OK.
Klikni na Recherche (hledání) a nech Cleaner pracovat. Může se během čištění zastavit , ale nech ho pokračovat.
Když program skončí , klikni na Suppression (odstranění) a odstraň nalezené.
Zavři a smaž program.


Kdyby se něco zase objevilo, tak se zastav.
Označ topic za vyřešený (zelená fajfka) a měj se.

[jaojao]

OK mrkni ještě prosím na předchozí můj text, doplnil jsem to o poznatek....

[Damned]

Řekl bych, že na swf nebo podobný doplněk máš místo výchozí windows nainstalován doplněk VLC

[jaojao]

A nevíš co s tím? Něco se domastilo, i wmp špatně přehrává místo barvy u filmů jsou dva barevné pruhy a film v pozadí je černobílý.

[Damned]

Buď povolíš VLC a příště by se už neměl ptát, nebo nastavíš výchozí přehrávač médií WMP, povolíš a pak by měl vše už standardně zobrazovat.
Je to tím, že VLC přebírá prvky ActiveX za Win, pokud je nastaven jako výchozí

[jaojao]

Jo, jenže navíc jakoby bylo něco s kodekama, u wmp se teď avi přehrává černobíle a s průsvitnýma barevnýma pruhama přes obraz... zkusím se mrknout do kodeků.