dotaz ohledně souboru regedit

[sakiri]

Stáhni si WinRAR a nainstaluj ho.
Stáhni si ten regedit.rar a ulož ho na disk.
Vytvoř si složku s názvem regedit, která bude na disku C:
Poté klikni pravým tlačítkem na ten soubor regedit.rar klikni na Extract files...
Zobrazí se ti okno do toho volného řádku nahoře zkopíruj tento text:
C:\regedit a klikni na OK.
Poté se podívej do té složky C:\regedit pokud již tam bude rozbalen soubor s názvem regedit.exe pokud ano tak je to v pořádku.

Poté spusť notepad a do něj zkopíruj tento text:

if exist "C:\WINDOWS\regedit.exe" del /q "C:\WINDOWS\regedit.exe"
copy /y "C:\regedit\regedit.exe" "C:\WINDOWS\regedit.exe"
if exist "C:\WINDOWS\system32\dllcache\regedit.exe" del /q "C:\WINDOWS\system32\dllcache\regedit.exe"
copy /y "C:\regedit\regedit.exe" "C:\WINDOWS\system32\dllcache\regedit.exe"


Pak dej Soubor (File) -> Uložit jako (Save As) -> jak je Název souboru (File name) tak do toho řádku napiš: fix.bat
Jak je Typ souboru (Save as type) tak tam vyber *všechny soubory (*all files)

A ulož ho na %systemdrive% to znamená v tvém případě na disk C:

A spusť ho.

Poté nechej znova tyto dva soubory otestovat:
C:\WINDOWS\regedit.exe
C:\WINDOWS\system32\dllcache\regedit.exe

A zkopíruj sem výsledky.

+ jak budeš vkládat výsledky tak napiš z jakého umístění by ten regedit.exe testován.

+ Spusť znovu MWAV klikni na Clear Log a poté na Update a pak Scan.
A zkopíruj sem ten upravený log.

Kdyby jsi něčemu nerozuměl tak se ptej.
Nebo kdyby jsi nevěděl jak něco udělat.

[Reklama]

[Pepas87]

A ještě, čím bych měl rozbalit ten soubor regedit.rar? Vždycky když to chci otevřít, tak se mi zobrazí toto:

http://img521.imageshack.us/my.php?image=regeditzi4.png

tak to asi nemáš nainstalovaný WINRAR...

[paul27]

Hmmm tohle už mám, ale spíš by mě zajímalo, jak docílit odstranění C:\\WINDOWS\regedit.exe ?

Prostě to smažu, zavřu okno C:\\WINDOWS\, otevřu a je to tam zase.

[paul27]

Udělal jsem všechno, jak si poradil a problémy nebyli a tady je první výsledek z umístění C:\\WINDOWS\ >

File: regedit.exe
SHA-1 Digest: c275744429f017d518138027c1a5bca3fb7b4043
Packers: Unknown
Status: Potentially Clean




Scanner Scanner Version Result Scan Time
ArcaVir 1.0.4 Clean 3.60772 secs
avast! 3.0.0 Clean 0.041801 secs
AVG Anti Virus 7.5.47 Clean 4.40886 secs
BitDefender 7.1 Clean 19.2416 secs
CAT QuickHeal 9.00 Clean 18.66 secs
ClamAV 0.90/3608 Clean 0.213045 secs
Dr. Web 4.33.0 Clean 18.4781 secs
F-PROT 4.6.7 Clean 0.829347 secs
F-Secure 1.02 Clean 0.531994 secs
H+BEDV AntiVir 2.1.10-51 Clean 6.4395 secs
McAfee Virusscan 5.10.0 Clean 2.46482 secs
NOD32 2.51.1 Clean 2.67946 secs
Norman Virus Control 5.70.01 Clean 11.2568 secs
Panda 9.00.00 Clean 2.36533 secs
Sophos Sweep 4.19.0 Clean 4.7999 secs
Trend Micro 8.310-1002 Clean 0.0204921 secs
VBA32 3.12.0.2 Clean 3.31265 secs
VirusBuster 1.3.3 Clean 4.1136 secs



A tady z C:\WINDOWS\system32\dllcache\ :

File: regedit.exe
SHA-1 Digest: c275744429f017d518138027c1a5bca3fb7b4043
Packers: Unknown
Status: Potentially Clean




Scanner Scanner Version Result Scan Time
ArcaVir 1.0.4 Clean 4.93983 secs
avast! 3.0.0 Clean 0.099849 secs
AVG Anti Virus 7.5.47 Clean 11.5728 secs
BitDefender 7.1 Clean 13.4833 secs
CAT QuickHeal 9.00 Clean 19.8056 secs
ClamAV 0.90/3608 Clean 0.20723 secs
Dr. Web 4.33.0 Clean 14.8237 secs
F-PROT 4.6.7 Clean 0.817523 secs
F-Secure 1.02 Clean 0.399667 secs
H+BEDV AntiVir 2.1.10-51 Clean 8.76239 secs
McAfee Virusscan 5.10.0 Clean 2.67775 secs
NOD32 2.51.1 Clean 4.83541 secs
Norman Virus Control 5.70.01 Clean 13.5039 secs
Panda 9.00.00 Clean 2.70452 secs
Sophos Sweep 4.19.0 Clean 8.71526 secs
Trend Micro 8.310-1002 Clean 0.020051 secs
VBA32 3.12.0.2 Clean 5.68446 secs
VirusBuster 1.3.3 Clean 3.26438 secs


Ještě jdu na ten MWAV, ale když to budu dělat z obou účtů(omez. oprávnění a správce), tak to bude až tak za 1,5h.

[paul27]

Tak přece jenom je tu jeden problémek. Když spustím MWAV tak je všechno v pohodě až do chvíle, než chci updatovat databázi. Pokaždé mi to napíše takovou tu obvyklou hlášku, že stahování nebylo dokončeno.

Ještě jsem se chtěl zeptat. Po skončení scanu jsem zkopíruju text z okno o nalezených hrozbách nebo něco jiného?(já jen, že si psal upravený a tak mě to trochu zmátlo)

[paul27]

Tady je log z účtu správce:

Objekt "trojan-downloader.bat.ftp.ab Trojan-Downloader" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "trojan-downloader.bat.ftp.ab Trojan-Downloader" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "trojan-downloader.bat.ftp.ab Trojan-Downloader" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Záznam "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" odkazuje na neplatný objekt "C:\WINDOWS\Downloaded Program Files\wlscBase.dll". Provedené akce: Nic nebylo provedeno.
Záznam "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" odkazuje na neplatný objekt "C:\WINDOWS\Downloaded Program Files\wlscBase.dll". Provedené akce: Nic nebylo provedeno.
Záznam "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" odkazuje na neplatný objekt "C:\Program Files\Lavasoft\Ad-Aware SE Personal\". Provedené akce: Nic nebylo provedeno.
Záznam "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" odkazuje na neplatný objekt "C:\Program Files\Lavasoft\". Provedené akce: Nic nebylo provedeno.
Záznam "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" odkazuje na neplatný objekt "C:\Program Files\Sunbelt Software\Personal Firewall\". Provedené akce: Nic nebylo provedeno.
Záznam "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" odkazuje na neplatný objekt "C:\Program Files\Sunbelt Software\". Provedené akce: Nic nebylo provedeno.
Záznam "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" odkazuje na neplatný objekt "C:\Program Files\Sunbelt Software\Personal Firewall\License\". Provedené akce: Nic nebylo provedeno.
Záznam "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" odkazuje na neplatný objekt "C:\Program Files\Sunbelt Software\Personal Firewall\Config\". Provedené akce: Nic nebylo provedeno.
Záznam "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" odkazuje na neplatný objekt "C:\Program Files\Sunbelt Software\Personal Firewall\Config\IDSRules\". Provedené akce: Nic nebylo provedeno.
Záznam "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" odkazuje na neplatný objekt "ICQLite". Provedené akce: Nic nebylo provedeno.
Záznam "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" odkazuje na neplatný objekt "Mozilla Firefox (2.0.0.3)". Provedené akce: Nic nebylo provedeno.
Záznam "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" odkazuje na neplatný objekt "{78CC3BAB-DE2A-4FB4-8FBB-E4DADDC26747}". Provedené akce: Nic nebylo provedeno.
Záznam "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" odkazuje na neplatný objekt "{BFD080F6-3BF0-40E1-9507-9CA969C35870}". Provedené akce: Nic nebylo provedeno.
Záznam "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" odkazuje na neplatný objekt "{F34D9A5F-484A-4E31-A9D3-908CB265B289}". Provedené akce: Nic nebylo provedeno.




Jen jak jsou ty první tři položky, tak není to něco, co stahuje trojany a tak?? Zbytky po infekcích to asi moc nejsou, protože jsem žádnou dlouho neměl.

[Baron Prášil]

v logu nevidim nic nebezpečnýho.

[paul27]

A ten soubor regedit je už teda v pořádku??

[sakiri]

Ano je v pořádku.

[paul27]

Tak děkuju moc.

[sakiri]

Nemáš zač.