Registrace  •  FAQ  •  Pravidla fóra  •  Uživatelské blogy  •  PCTuning.cz  •  Hledat  • Přihlášení
 • Funkce report, slouží pro upozornění na porušení pravidel, ne vzkazy moderátorům.

Právě je so 6. březen 2021, 10:26

Zobrazit příspěvky bez odpovědiZobrazit aktivní témata



Čas je uváděn v UTC + 1 hodina


Odpovědět na téma  [ 60 příspěvků ]  Přejít na stránku předchozí  1, 2, 3  další
Autor Zpráva
 Předmět: Re: Avast hlásí - Příliš mnoho stejných e-mailů ...
PříspěvekZaslal v: ne 10. leden 2010, 13:28 
Nováček
Nováček

Založen: 09. leden 2010
Nahoru
Omlouvám se za časovou prodlevu, ale dříve to nešlo. Zde je log z Avengeru:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File move operation "c:\qmgr.dll|c:\windows\system32\qmgr.dll" completed successfully.

Completed script processing.

*******************

Finished! Terminate.

Jinak by mě zajímalo, jak jsi přišel na to, že qmgr.dll je stále zavirovaný. V minulém logu Z ComboFixu je pouze napsáno, že byl nalezen, ale vyléčen. Jinak zatím dík za pomoc. PC se od včerejška zdá být v pořádku. SPAMy se neodesílají (alespoň za tu krátkou chvíli) a můžu si zpět změnit i vzhled plochy (což bylo předtím nedostupné - vyšeděné).
A ještě ke srovnání Avast vs. Nod32, co jsme debatovali na začátku tohoto příspěvku. Z mé zkušenosti můžu říct, že zatímco dříve, kdy jsem měl nainstalován Nod32, tak při zavirování PC toho nikdy moc nenašel, tak s Avastem jsem až do teď byl spokojený, protože mně většinou viry nejen našel ale i odstranil. A navíc jako jediný hlásil problém např. se souborem tpppoylv.sys, který se nakonec ukázal nakažený (i když jej nedokázal odstranit).


 Profil  
 Předmět: Re: Avast hlásí - Příliš mnoho stejných e-mailů ...
PříspěvekZaslal v: ne 10. leden 2010, 13:48 
Středně pokročilý
Středně pokročilý

Založen: 25. prosinec 2009
Bydliště: Chrudim
Nahoru
No ono Avast ti něco nacházel protože má falešnou detekci :-D A pokud se už řáděně zaviruje PC, stejně ti nepomůže žádnej antivir a musíš na to odborně :-) Ano, v logu z ComboFixu je sice, že byl soubor vyléčen, ale nebyl, protože to už jednou bylo a nedokáže si s tím poradit. Vlož ještě aktuální log z ComboFixu, bez jakéhokoliv skriptu.

_________________
Zde na foru již nejsem aktivní, vyskytuji se na Google+ (http://gplus.to/JanSvoboda), kde aktivně píšu nejen o IT.


 Profil  
 Předmět: Re: Avast hlásí - Příliš mnoho stejných e-mailů ...
PříspěvekZaslal v: ne 10. leden 2010, 14:10 
Nováček
Nováček

Založen: 09. leden 2010
Nahoru
Tak jsem se radoval předčasně, je tam pořád ten qmgr.dll:

ComboFix 10-01-04.01 - Kunz 10.01.2010 14:00:17.5.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.0.1250.420.1029.18.223.2 [GMT 1:00]
Spuštěný z: c:\documents and settings\Kunz\Plocha\ComboFix.exe
.
/wow section - STAGE 4


((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

Nakažená kopie c:\windows\system32\qmgr.dll byla nalezena a vyléčena.
Obnovena kopie z - c:\system volume information\_restore{68CC70FD-7E0D-4150-A6B4-177C550FAA8A}\RP7\A0004724.dll

.
((((((((((((((((((((((((( Soubory vytvořené od 2009-12-10 do 2010-01-10 )))))))))))))))))))))))))))))))
.

2010-01-09 15:55 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-09 15:55 . 2010-01-07 15:07 18520 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-09 15:55 . 2010-01-09 15:55 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-01-09 10:19 . 2006-09-05 16:03 3968 ----a-w- c:\windows\system32\drivers\AvgAsCln.sys
2010-01-04 21:39 . 2001-10-25 12:00 41600 -c--a-w- c:\windows\system32\dllcache\weitekp9.dll
2010-01-04 21:39 . 2001-10-25 12:00 31360 -c--a-w- c:\windows\system32\dllcache\weitekp9.sys
2010-01-04 21:37 . 2001-10-25 12:00 70656 -c--a-w- c:\windows\system32\dllcache\korwbrkr.dll
2010-01-04 21:36 . 2001-10-25 12:00 9216 -c--a-w- c:\windows\system32\dllcache\authfilt.dll
2010-01-04 21:33 . 2001-10-25 12:00 73728 -c--a-w- c:\windows\system32\dllcache\icwtutor.exe
2010-01-04 21:33 . 2001-10-25 12:00 65536 -c--a-w- c:\windows\system32\dllcache\icwres.dll
2010-01-04 21:33 . 2001-10-25 12:00 57344 -c--a-w- c:\windows\system32\dllcache\icwconn.dll
2010-01-04 21:33 . 2001-10-25 12:00 45056 -c--a-w- c:\windows\system32\dllcache\icwutil.dll
2010-01-04 21:33 . 2001-10-25 12:00 40960 -c--a-w- c:\windows\system32\dllcache\trialoc.dll
2010-01-04 21:33 . 2001-10-25 12:00 24576 -c--a-w- c:\windows\system32\dllcache\icwrmind.exe
2010-01-04 21:33 . 2001-10-25 12:00 155648 -c--a-w- c:\windows\system32\dllcache\icwhelp.dll
2010-01-04 21:27 . 2001-10-25 12:00 13312 -c--a-w- c:\windows\system32\dllcache\irclass.dll
2010-01-04 21:27 . 2001-10-25 12:00 13312 ----a-w- c:\windows\system32\irclass.dll
2010-01-04 21:27 . 2001-10-25 12:00 24661 -c--a-w- c:\windows\system32\dllcache\spxcoins.dll
2010-01-04 21:27 . 2001-10-25 12:00 24661 ----a-w- c:\windows\system32\spxcoins.dll
2010-01-04 15:46 . 2001-10-25 12:00 83968 -c--a-w- c:\windows\system32\dllcache\mtxoci.dll
2010-01-04 15:45 . 2001-08-17 21:00 5632 ----a-w- c:\windows\system32\drivers\splitter.sys
2010-01-04 15:45 . 2001-08-17 20:59 50048 ----a-w- c:\windows\system32\drivers\DMusic.sys
2010-01-04 15:44 . 2001-10-24 10:58 56576 ----a-w- c:\windows\system32\drivers\redbook.sys
2010-01-04 15:43 . 2001-10-24 11:22 4096 ----a-w- c:\windows\system32\ksuser.dll
2010-01-04 15:42 . 2001-08-18 05:38 37896 ----a-w- c:\windows\system32\drivers\termdd.sys
2010-01-04 15:42 . 2001-08-17 20:50 181632 ----a-w- c:\windows\system32\drivers\rdpdr.sys
2010-01-04 15:40 . 2001-10-25 12:00 696320 -c--a-w- c:\windows\system32\dllcache\sapi.dll
2010-01-04 15:40 . 2001-10-25 12:00 132096 ----a-w- c:\windows\system\WINSPOOL.DRV
2010-01-04 15:40 . 2001-10-25 12:00 10496 -c--a-w- c:\windows\system32\dllcache\irenum.sys
2010-01-04 15:40 . 2001-10-25 12:00 10496 ----a-w- c:\windows\system32\drivers\irenum.sys
2010-01-04 15:40 . 2001-10-24 11:25 71168 ----a-w- c:\windows\system32\storprop.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-09 17:32 . 2010-01-09 17:32 -------- d-----w- c:\program files\Alwil Software
2010-01-04 22:06 . 2001-10-25 12:00 46196 ----a-w- c:\windows\system32\perfc005.dat
2010-01-04 22:06 . 2001-10-25 12:00 309990 ----a-w- c:\windows\system32\perfh005.dat
2010-01-04 21:34 . 2010-01-04 21:34 8738 ----a-w- c:\windows\PCHEALTH\HELPCTR\Config\Cntstore.bin
2010-01-04 21:34 . 2007-07-28 15:33 2698 ----a-w- c:\windows\PCHEALTH\HELPCTR\PackageStore\SkuStore.bin
2010-01-04 21:34 . 2010-01-04 21:34 80345 ----a-w- c:\windows\PCHEALTH\HELPCTR\OfflineCache\index.dat
2010-01-04 21:32 . 2007-07-28 15:31 22972 ----a-w- c:\windows\system32\emptyregdb.dat
2009-05-02 16:51 . 2009-05-02 16:51 1341 ----a-w- c:\program files\regtools.vbs
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2002-07-12 106496]
"SoundMan"="SOUNDMAN.EXE" [2004-07-27 68096]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]
Utility Tray.lnk - c:\windows\system32\sistray.exe [2009-9-30 331776]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0sprestrt\0sprestrt

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AVG Anti-Spyware Guard]
@="Service"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"servises"=c:\windows\System32\servises.exe
"CTFMON.EXE"=c:\windows\System32\ctfmon.exe
"updateMgr"=c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"servises"=c:\windows\System32\servises.exe
"SiSUSBRG"=c:\windows\SiSUSBrg.exe
"SoundMan"=SOUNDMAN.EXE


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
DcomLaunch REG_MULTI_SZ DcomLaunch
.
.
------- Doplňkový sken -------
.
uLocal Page =
uStart Page = hxxp://www.seznam.cz/
Trusted Zone: mapy.cz \www
Trusted Zone: seznam.cz\www
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-10 14:06
Windows 5.1.2600 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(516)
c:\windows\system32\ODBC32.dll
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll

- - - - - - - > 'lsass.exe'(572)
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll
c:\windows\System32\dssenh.dll

- - - - - - - > 'explorer.exe'(212)
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\SOUNDMAN.EXE
.
**************************************************************************
.
Celkový čas: 2010-01-10 14:08:30 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-01-10 13:08

Před spuštěním: Volných bajtů: 76 627 845 120
Po spuštění: Volných bajtů: 76 622 962 688

- - End Of File - - 751B63852AC68E868A9782F535D97A68


 Profil  
 Předmět: Re: Avast hlásí - Příliš mnoho stejných e-mailů ...
PříspěvekZaslal v: ne 10. leden 2010, 14:30 
Středně pokročilý
Středně pokročilý

Založen: 25. prosinec 2009
Bydliště: Chrudim
Nahoru
OK, máš instalační CD Windowsů? Uděláme to trošku drastičtěji, protože ten soubor nemůžeme nechat nakažený.
Postupuj pečlivě podle tohoto návodu. Předem zazálohuj nejůdležitější data, nemohu zaručit, že se nevyskytne nějaký problém. Pokud ale budeš postupovat dle návodu, nemělo by se nic stát.

Citace:
1) Tento krok proveď na PC s vypalovačkou, do které vlož prázdné CD vhodné k zápisu:

Stáhni si MSDaRT pro svůj příslušný operační systém:

Windows XP -> http://www.mediafire.com/?ddsfd2xdndw
Windows Vista -> http://www.mediafire.com/?knvmygelfxy
Windows 7 -> http://www.mediafire.com/?5qmmdkzjeg3

Nainstaluj program dle pokynů staženého instalátoru.
Po dokončení instalace spusť tento soubor: C:\Program Files\Microsoft Diagnostics and Recovery Toolset\ERDC.exe
Klikej postupně na tlačítko Next, nech vytvořit .iso soubor a pomocí průvodce ho vypal na CD.

2) Restartuj počítač, na kterém máš problémy a vlož do jeho mechaniky vypálené CD. Předtím, než se Windows načtou, mačkej libovolnou klávesu a počítač začne bootovat z CD.
Po nabootování jdi přes menu Start - System Tools - System Files Repair.
Spustí se průvodce, který vyhledá virem narušené / poškozené systémové soubory. Všechny soubory, které najde, nech opravit.

Jdi přes menu Start - Log Off - Restart - OK a tvůj počítač se restartuje.

3) Po restartu počítače jdi v OS přes menu Start - Nastavení - Ovládací panely - Přidat nebo odebrat programy - vyber: Microsoft Diagnostics and Recovery Toolset - klikni na Odebrat. Tohle MSDaRT zase odinstaluje.

Napiš výsledky. Po provedení těchto kroků vlož nový log z ComboFixu.

_________________
Zde na foru již nejsem aktivní, vyskytuji se na Google+ (http://gplus.to/JanSvoboda), kde aktivně píšu nejen o IT.


 Profil  
 Předmět: Re: Avast hlásí - Příliš mnoho stejných e-mailů ...
PříspěvekZaslal v: ne 10. leden 2010, 15:06 
Nováček
Nováček

Založen: 09. leden 2010
Nahoru
Instalační CD mám, ale vypalovačku jen v práci. To bych musel nechat na zítřek. Přeinstalace Windows by nepomohla?


 Profil  
 Předmět: Re: Avast hlásí - Příliš mnoho stejných e-mailů ...
PříspěvekZaslal v: ne 10. leden 2010, 15:41 
Středně pokročilý
Středně pokročilý

Založen: 25. prosinec 2009
Bydliště: Chrudim
Nahoru
Samozřejmě že pomohla, ale přijdeš o všechny data a nastavení. A je složitější než toto :-D Ale samozřejmě jak chceš. Ale zvládneme to i bez ní.

_________________
Zde na foru již nejsem aktivní, vyskytuji se na Google+ (http://gplus.to/JanSvoboda), kde aktivně píšu nejen o IT.


 Profil  
 Předmět: Re: Avast hlásí - Příliš mnoho stejných e-mailů ...
PříspěvekZaslal v: ne 10. leden 2010, 17:03 
Nováček
Nováček

Založen: 09. leden 2010
Nahoru
Nainstaloval jsem Microsoft Diagnostics and Recovery Toolset, ale po spuštění ERDC.exe se objeví chybové hlášení "The online OS is not supported."


 Profil  
 Předmět: Re: Avast hlásí - Příliš mnoho stejných e-mailů ...
PříspěvekZaslal v: ne 10. leden 2010, 17:06 
Středně pokročilý
Středně pokročilý

Založen: 25. prosinec 2009
Bydliště: Chrudim
Nahoru
A nainstaloval jsi typ pro svůj operační systém?

_________________
Zde na foru již nejsem aktivní, vyskytuji se na Google+ (http://gplus.to/JanSvoboda), kde aktivně píšu nejen o IT.


 Profil  
 Předmět: Re: Avast hlásí - Příliš mnoho stejných e-mailů ...
PříspěvekZaslal v: ne 10. leden 2010, 17:14 
Nováček
Nováček

Založen: 09. leden 2010
Nahoru
Je možné, že jsem se uklikl v odkaze. Ale teď jsem si uvědomil, že toto (tj. vytvoření souboru .iso a jeho vypálení) bych měl udělat na PC v práci, kde mám vypalovačku, a ne teď !
Tak když se teď dívám, tak jsem nainstaloval správný typ - pro XP.


 Profil  
 Předmět: Re: Avast hlásí - Příliš mnoho stejných e-mailů ...
PříspěvekZaslal v: ne 10. leden 2010, 17:24 
Středně pokročilý
Středně pokročilý

Založen: 25. prosinec 2009
Bydliště: Chrudim
Nahoru
Tak to zkus tam, v návodě je to jasně popsaný.

_________________
Zde na foru již nejsem aktivní, vyskytuji se na Google+ (http://gplus.to/JanSvoboda), kde aktivně píšu nejen o IT.


 Profil  
 Předmět: Re: Avast hlásí - Příliš mnoho stejných e-mailů ...
PříspěvekZaslal v: ne 10. leden 2010, 17:35 
Nováček
Nováček

Založen: 09. leden 2010
Nahoru
Tak jo. Zkusím to zítra dle návodu a dám vědět. Jinak jsem někdy v týdnu zkusil i tu přeinstalaci windows. Dal jsem volbu "opravit poškozené soubory" - nebo tak nějak, trvalo to 1/2 hod., o žádné nastavení ani programy jsem nepřišel, ale taky to vůbec nepomohlo. Zřejmě bych musel udělat úplnou přeinstalaci. Rozhodně zatím dík. Ozvu se doufám zítra s dobrou zprávou.


 Profil  
 Předmět: Re: Avast hlásí - Příliš mnoho stejných e-mailů ...
PříspěvekZaslal v: ne 10. leden 2010, 17:50 
Středně pokročilý
Středně pokročilý

Založen: 25. prosinec 2009
Bydliště: Chrudim
Nahoru
OK. Tak oprava od Windows XP CD nemá většinou účinek. Toto je optimalizováno přímo pro opravu virem poškozených souborů.

_________________
Zde na foru již nejsem aktivní, vyskytuji se na Google+ (http://gplus.to/JanSvoboda), kde aktivně píšu nejen o IT.


 Profil  
 Předmět: Re: Avast hlásí - Příliš mnoho stejných e-mailů ...
PříspěvekZaslal v: ne 10. leden 2010, 18:34 
Nováček
Nováček

Založen: 09. leden 2010
Nahoru
Čtu si v návodu MSDaRT a jestli jsem to dobře pochopil, tento program po vytvoření souboru .ISO bude chtít rovnou vypalovat? To by mohl být problém, protože vypalovačka není v práci přímo na mém PC, ale na PC kolegy. Nerad bych mu tam MSDaRT instaloval. Raději bych to udělal u sebe, vytvořil soubor .ISO, ten pak uložil u nás na síti a u kolegy si jej jen vypálil. Ale nevím jestli je takovýto způsob možný.
Popřípadě nemáš v rukávu i jednodušší variantu B? :)


 Profil  
 Předmět: Re: Avast hlásí - Příliš mnoho stejných e-mailů ...
PříspěvekZaslal v: ne 10. leden 2010, 19:13 
Středně pokročilý
Středně pokročilý

Založen: 25. prosinec 2009
Bydliště: Chrudim
Nahoru
Vždycky je i další varianta :-D Jenže jsem chtěl vyzkoušet v praxi tento program :-D
OK, na toto momentálně kašli a postupuj podle tohoto návodu:


Měj stále na C:/ soubor qmgr.dll. Stáhni GMER - návod http://www.viry.cz/forum/viewtopic.php?f=29&t=62878

Spust GMER, v zalozke "Processes" klikni na "KillAll", potvrd okno (pozor, zmizne plocha :!: ) a prejdi na zalozku "cmd". Tam zadaj tieto prikazy:

Kód:
gmer -del file "c:\windows\system32\qmgr.dll"
gmer -copy c:\qmgr.dll c:\windows\system32\
gmer -reboot

Klikni na "Run". PC by sa malo restartovat a potom sprav novy log z ComboFixu :)

Pokud stále se bude jevit jako nakažený soubor, zkusíme jej přepsat v Konzoli pro zotavení, je to asi tak nejsilnější způsob, vlastně bez běhu Windowsů. Pokud stále se bude přepisovat na nakažený, bude tam ještě nějaký šmejd. Poté bychom provedly důkladné skeny systému především na rootkity (takže si GMER nech staženej, zřejmě ho budeme potřebovat). Je to poměrně podstatný problém a nemohu v logu jentak přehlédnout nakažený systémový soubor ;-) Ale my si s tím poradíme :-)

_________________
Zde na foru již nejsem aktivní, vyskytuji se na Google+ (http://gplus.to/JanSvoboda), kde aktivně píšu nejen o IT.


 Profil  
 Předmět: Re: Avast hlásí - Příliš mnoho stejných e-mailů ...
PříspěvekZaslal v: ne 10. leden 2010, 21:09 
Nováček
Nováček

Založen: 09. leden 2010
Nahoru
Nějak ten postup nefungoval. Gmer provedl akorát příkaz -del, ale další, tj. -copy ani -reboot nevzal v úvahu. Prvně jsem myslel, že jsem si je špatně opsal, tak jsem to udělal i podruhé, ale to se zase ozval, že soubor v windows/system32 nemůže najít (jak by mohl, když byl smazaný). Tak jsem ho tam nakopíroval ručně. Ale restart nefungoval, i když jsem zadal jen příkaz gmer -reboot. Jen napsal "command was sucessfully executed" a nic. Tak jsem dal OK. Napsalo to varovné hlášení, které když jsem odklikl, stejně se nic nestalo, jen se to vrátilo na prázdnou plochu. Tak jsem to restartoval natvrdo a pak pustil ComboFix, který našel zase jen zavirovaný qmgr.dll, viz níže. Není v těch příkazech chyba (např. uvozovky, ...)? Gmer má trochu nevýhodu, že si nepamatuje věci zkopírované do schránky (asi proto, že je vše kilnuté), takže jsem si ty příkazy musel opsat na papír. Jednotlivé příkazy jsem oddělil Entrem, aby byly pod sebou jak uvádíš ty. Rád bych tvůj postup provedl správně, ale nevím kde byla chyba.

ComboFix 10-01-04.01 - Kunz 10.01.2010 20:52:04.7.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.0.1250.420.1029.18.223.101 [GMT 1:00]
Spuštěný z: c:\documents and settings\Kunz\Plocha\ComboFix.exe
.
/wow section - STAGE 4


((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

Nakažená kopie c:\windows\system32\qmgr.dll byla nalezena a vyléčena.
Obnovena kopie z - c:\system volume information\_restore{68CC70FD-7E0D-4150-A6B4-177C550FAA8A}\RP8\A0005965.dll

.
((((((((((((((((((((((((( Soubory vytvořené od 2009-12-10 do 2010-01-10 )))))))))))))))))))))))))))))))
.

2010-01-10 19:50 . 2001-10-25 12:00 179200 ----a-w- c:\windows\system32\qmgr.dll
2010-01-10 19:01 . 2002-08-29 05:41 221696 ----a-w- C:\qmgr.dll
2010-01-10 14:39 . 2010-01-10 14:40 -------- d-----w- c:\program files\Microsoft Diagnostics and Recovery Toolset
2010-01-09 19:36 . 2010-01-09 19:36 -------- d-----w- c:\windows\system32\NtmsData
2010-01-09 17:32 . 2010-01-09 17:32 -------- d-----w- c:\program files\Alwil Software
2010-01-09 15:55 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-09 15:55 . 2010-01-07 15:07 18520 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-09 15:55 . 2010-01-09 15:55 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-01-09 10:19 . 2006-09-05 16:03 3968 ----a-w- c:\windows\system32\drivers\AvgAsCln.sys
2010-01-04 21:39 . 2001-10-25 12:00 41600 -c--a-w- c:\windows\system32\dllcache\weitekp9.dll
2010-01-04 21:39 . 2001-10-25 12:00 31360 -c--a-w- c:\windows\system32\dllcache\weitekp9.sys
2010-01-04 21:37 . 2001-10-25 12:00 70656 -c--a-w- c:\windows\system32\dllcache\korwbrkr.dll
2010-01-04 21:36 . 2001-10-25 12:00 9216 -c--a-w- c:\windows\system32\dllcache\authfilt.dll
2010-01-04 21:33 . 2001-10-25 12:00 73728 -c--a-w- c:\windows\system32\dllcache\icwtutor.exe
2010-01-04 21:33 . 2001-10-25 12:00 65536 -c--a-w- c:\windows\system32\dllcache\icwres.dll
2010-01-04 21:33 . 2001-10-25 12:00 57344 -c--a-w- c:\windows\system32\dllcache\icwconn.dll
2010-01-04 21:33 . 2001-10-25 12:00 45056 -c--a-w- c:\windows\system32\dllcache\icwutil.dll
2010-01-04 21:33 . 2001-10-25 12:00 40960 -c--a-w- c:\windows\system32\dllcache\trialoc.dll
2010-01-04 21:33 . 2001-10-25 12:00 24576 -c--a-w- c:\windows\system32\dllcache\icwrmind.exe
2010-01-04 21:33 . 2001-10-25 12:00 155648 -c--a-w- c:\windows\system32\dllcache\icwhelp.dll
2010-01-04 21:27 . 2001-10-25 12:00 13312 -c--a-w- c:\windows\system32\dllcache\irclass.dll
2010-01-04 21:27 . 2001-10-25 12:00 13312 ----a-w- c:\windows\system32\irclass.dll
2010-01-04 21:27 . 2001-10-25 12:00 24661 -c--a-w- c:\windows\system32\dllcache\spxcoins.dll
2010-01-04 21:27 . 2001-10-25 12:00 24661 ----a-w- c:\windows\system32\spxcoins.dll
2010-01-04 15:46 . 2001-10-25 12:00 83968 -c--a-w- c:\windows\system32\dllcache\mtxoci.dll
2010-01-04 15:45 . 2001-08-17 21:00 5632 ----a-w- c:\windows\system32\drivers\splitter.sys
2010-01-04 15:45 . 2001-08-17 20:59 50048 ----a-w- c:\windows\system32\drivers\DMusic.sys
2010-01-04 15:44 . 2001-10-24 10:58 56576 ----a-w- c:\windows\system32\drivers\redbook.sys
2010-01-04 15:43 . 2001-10-24 11:22 4096 ----a-w- c:\windows\system32\ksuser.dll
2010-01-04 15:42 . 2001-08-18 05:38 37896 ----a-w- c:\windows\system32\drivers\termdd.sys
2010-01-04 15:42 . 2001-08-17 20:50 181632 ----a-w- c:\windows\system32\drivers\rdpdr.sys
2010-01-04 15:40 . 2001-10-25 12:00 696320 -c--a-w- c:\windows\system32\dllcache\sapi.dll
2010-01-04 15:40 . 2001-10-25 12:00 132096 ----a-w- c:\windows\system\WINSPOOL.DRV
2010-01-04 15:40 . 2001-10-25 12:00 10496 -c--a-w- c:\windows\system32\dllcache\irenum.sys
2010-01-04 15:40 . 2001-10-25 12:00 10496 ----a-w- c:\windows\system32\drivers\irenum.sys
2010-01-04 15:40 . 2001-10-24 11:25 71168 ----a-w- c:\windows\system32\storprop.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-04 22:06 . 2001-10-25 12:00 46196 ----a-w- c:\windows\system32\perfc005.dat
2010-01-04 22:06 . 2001-10-25 12:00 309990 ----a-w- c:\windows\system32\perfh005.dat
2010-01-04 21:34 . 2010-01-04 21:34 8738 ----a-w- c:\windows\PCHEALTH\HELPCTR\Config\Cntstore.bin
2010-01-04 21:34 . 2007-07-28 15:33 2698 ----a-w- c:\windows\PCHEALTH\HELPCTR\PackageStore\SkuStore.bin
2010-01-04 21:34 . 2010-01-04 21:34 80345 ----a-w- c:\windows\PCHEALTH\HELPCTR\OfflineCache\index.dat
2010-01-04 21:32 . 2007-07-28 15:31 22972 ----a-w- c:\windows\system32\emptyregdb.dat
2009-05-02 16:51 . 2009-05-02 16:51 1341 ----a-w- c:\program files\regtools.vbs
.

((((((((((((((((((((((((((((( SnapShot@2010-01-10_13.05.40 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-01-09 17:04 . 2010-01-10 19:27 262144 c:\windows\system32\config\systemprofile\NtUser.dat
- 2010-01-09 17:04 . 2010-01-10 12:59 262144 c:\windows\system32\config\systemprofile\NtUser.dat
+ 2010-01-10 14:40 . 2010-01-10 14:40 702464 c:\windows\Installer\57bd7f.msi
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2002-07-12 106496]
"SoundMan"="SOUNDMAN.EXE" [2004-07-27 68096]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]
Utility Tray.lnk - c:\windows\system32\sistray.exe [2009-9-30 331776]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0sprestrt\0sprestrt

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AVG Anti-Spyware Guard]
@="Service"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"servises"=c:\windows\System32\servises.exe
"CTFMON.EXE"=c:\windows\System32\ctfmon.exe
"updateMgr"=c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"servises"=c:\windows\System32\servises.exe
"SiSUSBRG"=c:\windows\SiSUSBrg.exe
"SoundMan"=SOUNDMAN.EXE


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
DcomLaunch REG_MULTI_SZ DcomLaunch
.
.
------- Doplňkový sken -------
.
uLocal Page =
uStart Page = hxxp://www.seznam.cz/
Trusted Zone: mapy.cz \www
Trusted Zone: seznam.cz\www
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-10 20:58
Windows 5.1.2600 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(512)
c:\windows\system32\ODBC32.dll
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll

- - - - - - - > 'lsass.exe'(568)
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll
c:\windows\System32\dssenh.dll

- - - - - - - > 'explorer.exe'(748)
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\SOUNDMAN.EXE
.
**************************************************************************
.
Celkový čas: 2010-01-10 21:00:16 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-01-10 20:00
ComboFix2.txt 2010-01-10 19:36

Před spuštěním: Volných bajtů: 76 357 586 944
Po spuštění: Volných bajtů: 76 354 891 776

- - End Of File - - 8016E7875BDEC057C56BABFE0C475BC0


 Profil  
 Předmět: Re: Avast hlásí - Příliš mnoho stejných e-mailů ...
PříspěvekZaslal v: ne 10. leden 2010, 21:29 
Středně pokročilý
Středně pokročilý

Založen: 25. prosinec 2009
Bydliště: Chrudim
Nahoru
Příkazy by měly být v pořádku. OK. Dle návodu http://www.viry.cz/forum/viewtopic.php?f=29&t=62878 sem vlož oba logy z GMERu. Plus sem vlož log z IceSword http://www.viry.cz/forum/viewtopic.php?f=29&t=11394

Dále ještě jednou použij T-cleaner, vše odsouhlas: stiahnes T-Cleaner a spustis>>predtym vypnut rezident AV-nakolko bude kricat>>spustis,stlacis A-[enter]
http://sweb.cz/Marinus/T-Cleaner.exe

Dále:

:arrow: Stahni MBR http://www2.gmer.net/mbr/mbr.exe primo na C:\ tak aby nebyl v zadne slozce
- spust
- v miste spusteni programu se vytvori log s nazvem mbr.txt
- otevri log, jeho obsah vloz do sveho prispevku


:arrow: Klik na Start - Spustit, zde zadej cmd , zmackni enter, otevre se doss okno, v nem napis:

Citace:
cd \, odentruj
mbr.exe -t , odentruj


znovu otevri mbr.txt, jeho log by mel byt jiny, rad ho uvidim.

:arrow: Proskenuj PC pomoci MWAV navod: http://www.viry.cz/forum/viewtopic.php?f=29&t=4097 , vloz obsah logu (jak je v navode psano) tj. z druheho okynka (pokud dojde k restartu pc, pripadne uzavreni programu, log je ztracen)

_________________
Zde na foru již nejsem aktivní, vyskytuji se na Google+ (http://gplus.to/JanSvoboda), kde aktivně píšu nejen o IT.


 Profil  
 Předmět: Re: Avast hlásí - Příliš mnoho stejných e-mailů ...
PříspěvekZaslal v: ne 10. leden 2010, 21:45 
Nováček
Nováček

Založen: 09. leden 2010
Nahoru
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-01-10 21:44:35
Windows 5.1.2600
Running: gmer.exe; Driver: C:\DOCUME~1\Kunz\LOCALS~1\Temp\pxtdqpow.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider)

---- EOF - GMER 1.0.15 ----



GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-10 21:44:10
Windows 5.1.2600
Running: gmer.exe; Driver: C:\DOCUME~1\Kunz\LOCALS~1\Temp\pxtdqpow.sys


---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!KeInitializeInterrupt + B79 804D4F8E 1 Byte [06]
init C:\WINDOWS\system32\drivers\ALCXSENS.SYS entry point in "init" section [0xF9C08900]
? C:\ComboFix\catchme.sys Systém nemůže nalézt uvedenou cestu. !
? C:\WINDOWS\System32\Drivers\PROCEXP113.SYS Systém nemůže nalézt uvedený soubor. !

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider)

---- EOF - GMER 1.0.15 ----


 Profil  
 Předmět: Re: Avast hlásí - Příliš mnoho stejných e-mailů ...
PříspěvekZaslal v: ne 10. leden 2010, 21:51 
Nováček
Nováček

Založen: 09. leden 2010
Nahoru
Process:

System Idle Process
System
D:\Instal\Antiviry\IceSword122en\IceSword122en\IceSword.exe
C:\WINDOWS\system32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\sistray.exe


 Profil  
 Předmět: Re: Avast hlásí - Příliš mnoho stejných e-mailů ...
PříspěvekZaslal v: ne 10. leden 2010, 21:54 
Nováček
Nováček

Založen: 09. leden 2010
Nahoru
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


 Profil  
 Předmět: Re: Avast hlásí - Příliš mnoho stejných e-mailů ...
PříspěvekZaslal v: ne 10. leden 2010, 21:56 
Nováček
Nováček

Založen: 09. leden 2010
Nahoru
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


 Profil  
Zobrazit příspěvky za poslední:  Řadit podle  
Odpovědět na téma  [ 60 příspěvků ]  Přejít na stránku předchozí  1, 2, 3  další


Čas je uváděn v UTC + 1 hodina


Přejít do sekce:
  

Kdo je přihlášený

Uživatelé procházející si tuto sekci: Žádní registrovaní uživatelé a 1 anonymní


Nemůžete zakládat nová témata v této sekci
Nemůžete odpovídat na příspěvky v této sekci
Nemůžete upravovat své příspěvky v této sekci
Nemůžete mazat své příspěvky v této sekci
Nemůžete připojit přílohy v této sekci

 
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Český překlad - PCT fórum, Zásady ochrany osobních údajů.