dotaz ohledně souboru regedit

paul27 · Příspěvekod **paul27** » 07 črc 2007 16:45

Zhruba před týdnem jsem měl tento problém: http://www.viry.cz/forum/viewtopic.php?t=40178

Je sice "vyřešený", ale u mě je problém v tom, že nemám, kde získat náhradu tohoto souboru z "čistého" pc. Není nějaká jiná možnost, jak to dovyřešit?

P.S.: Celý týden jsem byl pryč, proto píšu až teď. Díky moc.

Reklama

Příspěvekod **Pic** » 07 črc 2007 17:00

Určitě je na instalačním CD Windows, tak jej zkus z něho stáhnout. Jinak je tento soubor ve Windows 3x. Pokud máš nakažen jen jeden, lze jej nahradit. Mrkni zda jej máš ještě zde:
C:\WINDOWS\ServicePackFiles\i386\regedit.exe
a nahraď, po jeho odstranění v C:\Windows\ tím dobrým.

sakiri · Příspěvekod **sakiri** » 07 črc 2007 17:03

Tady jsi to taky řešil - http://www.pc-help.cz/viewtopic.php?p=8 ... ght=#82811

a platí to co jsem napsal problém je taky v tom, že je infikovaná také záloha regedit.exe v dllcache

Udělej teda toto:
Smaž tyto soubory:
C:\WINDOWS\regedit.exe
C:\WINDOWS\system32\dllcache\regedit.exe

Pokud nepůjdou tak udělej toto:
Použij ten Avenger jak je tam napsánno a vlož do něj tento script:
Files to delete:
C:\WINDOWS\regedit.exe
C:\WINDOWS\system32\dllcache\regedit.exe

A zkopíruj sem po restartu ten log.

Teprve poté co ty soubory smažeš tak tady si stáhni ten čistý regedit.exe co tam dal Baron Prášil zkopíruj ho do těchto umístění:
C:\WINDOWS\
C:\WINDOWS\system32\dllcache\

Poté již by to mělo být čistý.
Když tak pak znovu udělej ten scan MWAVem a řekni jestli pořád máš infikovaný regedit.exe

paul27 · Příspěvekod **paul27** » 07 črc 2007 17:22

No vidiš, řešil jsem to už i tady na fúru, ale teď jsem tu tejden nebyl a tak se k problému vracím až teď.

Udělám to a dám vědět, když nebudu vědět nebo po zdárném vyřašení celého problému. Díky moc.

paul27 · Příspěvekod **paul27** » 07 črc 2007 17:34

Tak tady je první log z Avengeru:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\grwmskuq

*******************

Script file located at: \??\C:\WINDOWS\system32\rdundgji.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\REGEDIT.COM deleted successfully.

File C:\WINDOWS\R.COM not found!
Deletion of file C:\WINDOWS\R.COM failed!

Could not process line:
C:\WINDOWS\R.COM
Status: 0xc0000034

Completed script processing.

*******************

Finished! Terminate.

sakiri · Příspěvekod **sakiri** » 07 črc 2007 17:57

Pro jistotu ještě dodám. Ten .rar archív rozbal a ten rozbalený soubor zkopíruj do těch umístěních jak jsem napsal výše.

paul27 · Příspěvekod **paul27** » 07 črc 2007 17:58

Když chci zkontrolovat ty soubory na Virustotalu, tak se mi zobrazí tohle:

http://img179.imageshack.us/my.php?image=statau6.png

http://img512.imageshack.us/my.php?image=statusyb3.png

Je to dobře?

sakiri · Příspěvekod **sakiri** » 07 črc 2007 18:08

To co ti napsal Virustotal tak to znamená že čekáš ve frontě a přijde na tebe řada až za 267 a 382 minut
a u toho druhého souboru za 299 a 428 minut.

Což je dost dlouho takže to přeruš.

A ty soubory nechej zkontrolovat na http://scanner.virus.org/

A zkopíruj sem výsledky.

paul27 · Příspěvekod **paul27** » 07 črc 2007 18:12

Taky jsem si řikal, že je to dlouho.

Tady je log z ComboFixu:

"Mama" - 2007-07-07 18:02:11 - ComboFix 07-07-07.3 - Service Pack 2 FAT32

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\WINDOWS\system32\taskmgr.com

((((((((((((((((((((((((( Files Created from 2007-06-07 to 2007-07-07 )))))))))))))))))))))))))))))))

2007-06-23 12:58 23,416 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-06-23 12:57 95,872 --a------ C:\WINDOWS\system32\AvastSS.scr
2007-06-23 12:57 94,552 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-06-23 12:57 85,952 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-06-23 12:57 745,600 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-06-23 12:57 43,176 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-06-23 12:57 26,888 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-06-23 12:57 <DIR> d-------- C:\Program Files\Alwil Software
2007-06-16 19:05 <DIR> d-------- C:\Program Files\Miranda IM
2007-06-16 12:03 <DIR> d-------- C:\DOCUME~1\Kyta\DATAAP~1\Miranda IM
2007-06-12 15:19 <DIR> dr------- C:\DOCUME~1\NETWOR~1\Oblˇben‚ polo§ky
2007-06-08 18:24 51,200 --a------ C:\WINDOWS\nircmd.exe

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-05-31 19:46:24 -------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
2007-05-16 15:18:40 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-05-09 13:41:46 -------- d-----w C:\Program Files\Microsoft CAPICOM 2.1.0.2
2007-05-08 11:44:28 -------- d-----w C:\DOCUME~1\Mama\DATAAP~1\OpenOffice.org2
2007-04-26 12:54:18 46,016 ----a-w C:\WINDOWS\system32\perfc005.dat
2007-04-26 12:54:18 309,716 ----a-w C:\WINDOWS\system32\perfh005.dat
2007-04-25 14:22:50 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-18 16:15:26 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-04-16 20:44:20 271,224 ----a-w C:\WINDOWS\system32\mucltui.dll
2007-04-16 20:43:40 208,248 ----a-w C:\WINDOWS\system32\muweb.dll

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
2003-05-12 00:47 50376 --a------ C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
2005-05-31 01:04 853672 --a------ C:\PROGRA~1\SPYBOT~1\SDHelper.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 10:24 C:\WINDOWS\system32\Ati2mdxx.exe]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-02-24 21:10]
"AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 09:06 C:\WINDOWS\AGRSMMSG.exe]
"UnlockerAssistant"="C:\Program Files\Unlocker\UnlockerAssistant.exe" [2006-09-07 19:19]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-04-30 17:42]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-18 14:00]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04]

Contents of the 'Scheduled Tasks' folder
2005-03-27 12:19:02 C:\WINDOWS\tasks\CAMEDIA Master.job

**************************************************************************

catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-07 18:03:51
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-07 18:04:24
C:\ComboFix-quarantined-files.txt ... 2007-07-07 18:04

--- E O F ---

A tady z FindAWF:

Find AWF report by noahdfear ©2006

bak folders found
~~~~~~~~~~~

Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

end of report

paul27 · Příspěvekod **paul27** » 07 črc 2007 18:19

Tak tady jsou ještě ty výsledky z http://scanner.virus.org/ a já jdu na ty nové regedit.exe soubory

http://img503.imageshack.us/my.php?image=stataz4.png

http://img504.imageshack.us/my.php?image=statusbp4.png

A ještě, čím bych měl rozbalit ten soubor regedit.rar? Vždycky když to chci otevřít, tak se mi zobrazí toto:

http://img521.imageshack.us/my.php?image=regeditzi4.png

sakiri · Příspěvekod **sakiri** » 07 črc 2007 18:34

Bohužel tam nikde nevidím ty testovaný regedity ale to je jedno.
Smaž ty regedity v těch umístěních:
C:\WINDOWS\regedit.exe
C:\WINDOWS\system32\dllcache\regedit.exe

Poté až je smažeš tak si stáhni ten regedit.rar rozbal ho a zkopíruj do těchto umístění:
C:\WINDOWS\
C:\WINDOWS\system32\dllcache\

Jak již jsem psal výše.

paul27 · Příspěvekod **paul27** » 07 črc 2007 18:41

Ještě malý dotaz.

Udělal jsem toto v Avengeru: Files to delete:
C:\WINDOWS\regedit.exe
C:\WINDOWS\system32\dllcache\regedit.exe

a teď když jsem dal hledat, tak mi pc tady C:\WINDOWS\ ten soubor regedit.exe našel.

Smazal jsem regedit.exe znova a zase se mi objevil ve výsledcích hledání. Co s tím?

dotaz ohledně souboru regedit

dotaz ohledně souboru regedit

Kdo je online