Registrace  •  FAQ  •  Pravidla fóra  •  Uživatelské blogy  •  PCTuning.cz  •  Hledat  • Přihlášení
 • Funkce report, slouží pro upozornění na porušení pravidel, ne vzkazy moderátorům.

Právě je pá 26. únor 2021, 23:32

Zobrazit příspěvky bez odpovědiZobrazit aktivní témata



Čas je uváděn v UTC + 1 hodina


Odpovědět na téma  [ 32 příspěvků ]  Přejít na stránku předchozí  1, 2
Autor Zpráva
 Předmět: Re: Kryptik.Bwa
PříspěvekZaslal v: út 23. únor 2010, 19:16 
Středně pokročilý
Středně pokročilý

Založen: 25. prosinec 2009
Bydliště: Chrudim
Nahoru
Nene, dobrý, víc sem už dávat nemusíš.
OK, pokusíme se udělat, co se dá. při snaze a spolupráci uživatele se i přes net dá vyčistit kompletně zas*aný počítač, jinak při osobní účasti se čistí ještě lépe.

A jak se momentálně chová PC? On se pořád seká? (Jinak pak kekonci taky to chce pročistit registry, defragmentovat, ... k tomu se dostanem, prvně tam nesmí být žádný šmejd).

V RSIT logu nic špatného nevidím... Dej sem tedy ještě log z MBAMu.
http://www.viry.cz/forum/viewtopic.php?f=29&t=67229 - Stáhni, nainstaluj, proveď aktualizaci, úplný sken, nic nemaž a výsledek z logu pošly sem. Jinak log z ComboFixu vypadá již dobře.

_________________
Zde na foru již nejsem aktivní, vyskytuji se na Google+ (http://gplus.to/JanSvoboda), kde aktivně píšu nejen o IT.


 Profil  
 Předmět: Re: Kryptik.Bwa
PříspěvekZaslal v: st 24. únor 2010, 13:14 
Začátečník
Začátečník
Obrázek uživatele

Založen: 21. srpen 2009
Bydliště: Morava
Nahoru
Když jsem dělal sken s MWAVem, tak tam našel ve dvou programech, které jsem tam měl v podstatě od začátku (3-4 měsíce) - nějakého generic trojan, a trojan proxy.agent.
jo a teďka mi vyhodil "grokster spyware/adware nalezen v souborovém systému"

když jsem se po scanu vracel do hlavní nabídky, tak ve všech buttonech bylo napsáno default..


MBam teďka nic nenašel, ale předevčírem hlásil "HKLM\software\Microsoft\Windows\Current Version\ext" jako nějakého trojana nebo něco takového.


 Profil  
 Předmět: Re: Kryptik.Bwa
PříspěvekZaslal v: st 24. únor 2010, 16:32 
Středně pokročilý
Středně pokročilý

Založen: 25. prosinec 2009
Bydliště: Chrudim
Nahoru
To je hezké, ale pokud by sis přečetl návod u MWAVu, potřebuji vypsanou cestu infikovaného souboru. Takhle toho bez logů moc nevím.

Citace:
A jak se momentálně chová PC? On se pořád seká? (Jinak pak ke konci taky to chce pročistit registry, defragmentovat, ... k tomu se dostanem, prvně tam nesmí být žádný šmejd).

_________________
Zde na foru již nejsem aktivní, vyskytuji se na Google+ (http://gplus.to/JanSvoboda), kde aktivně píšu nejen o IT.


 Profil  
 Předmět: Re: Kryptik.Bwa
PříspěvekZaslal v: st 24. únor 2010, 17:16 
Začátečník
Začátečník
Obrázek uživatele

Založen: 21. srpen 2009
Bydliště: Morava
Nahoru
Ty první dva se mi zatím nepodařilo vyhledat. Ten třetí mi jenom napsal informaci o infikování souborového systému.

Jo, a občas se celý PC sekne, kontrolka HDD svítí jakože je plně vytížen a při vypnutí vydává větráček takový pomalý protáhlý tón. (pomalu snižuje otáčky)


Naposledy upravil kulitam dne st 24. únor 2010, 17:25, celkem upraveno 1x.

 Profil  
 Předmět: Re: Kryptik.Bwa
PříspěvekZaslal v: st 24. únor 2010, 17:23 
Středně pokročilý
Středně pokročilý

Založen: 25. prosinec 2009
Bydliště: Chrudim
Nahoru
K otáčkám větráčku... to bude způsobovat PWM regulace otáček, podle vytížení. Ale ty zaseknutí systému dobrý nejsou. Zkus tyto dva prográmky, jestli půjdou na x64.

:arrow: Stahnete http://www.gmer.net/gmer.zip , rozbalte a spustte
probehne sken, po jehoz ukonceni na vas vyskoci vysledky
pote kliknete na Save a ulozite tak log, jehoz obsah sem vlozte
pote dle http://www.viry.cz/forum/viewtopic.php?f=29&t=62878 absolvujte druhy sken a opet obsah logu sem.

:arrow: Stáhni a spust IceSword - http://www.viry.cz/forum/viewtopic.php?f=29&t=11394 a dle návodu sem vlož logy z: Process, Kernel Module, Win32 services, SPI, SSDT

_________________
Zde na foru již nejsem aktivní, vyskytuji se na Google+ (http://gplus.to/JanSvoboda), kde aktivně píšu nejen o IT.


 Profil  
 Předmět: Re: Kryptik.Bwa
PříspěvekZaslal v: st 24. únor 2010, 17:39 
Začátečník
Začátečník
Obrázek uživatele

Založen: 21. srpen 2009
Bydliště: Morava
Nahoru
Gmer mi při startu scanu vyhodil error "C:\Windows\system32\config\system" proces cannot access the file because is used by another process.

Pak scanoval a nakonec vyhodil, že v systému nebyly provedeny žádné změny.

IceSword sem nerozjel. [Initialize failed (1)].


 Profil  
 Předmět: Re: Kryptik.Bwa
PříspěvekZaslal v: st 24. únor 2010, 17:57 
Středně pokročilý
Středně pokročilý

Založen: 25. prosinec 2009
Bydliště: Chrudim
Nahoru
Sakra... To jsem nečekal, že na x64 nerozjedeš tolik věcí...

Postupujte podla tychto krokov, ktore pomerne spolahlivo pomozu odhalit v systeme "neviditelne" skodlive aplikacie:

:arrow: CCleaner
Nainstalujte si CCleaner a procistete s nim PC od docasnych a zbytecnych souboru -> navod a odkaz zde.
Behem instalace CCleaneru odskrtnete Yahoo toolbar instalaci (jako ze ji nechcete, defaultne je totiz zaskrtnuta), to nepotrebujete.
V aplikaci CCleaner provedte dulezite 3 ukony -> procisteni Windows, Applications a Issues:

1. Kliknete na Analyze a pak na Run Cleaner
2. Kliknete na Applications a pak na Analyze a pak na Run Cleaner
3. Kliknete na Issues vlevo a pak na Scan for Issues a pak na Fix selected Issues (potvrdte YES ze chcete Backup a ulozte nabidnuty soubor), pak kliknete na "Fix all selected issues"

:arrow: Rootkit Revealer
Stahnete aplikaci Rootkit Revealer ->
http://download.sysinternals.com/Files/ ... vealer.zip
Rozbalte ZIP archiv a spustte aplikaci. Kliknete na tlacitko Scan a po dokonceni scanu Kliknete na File -> Save... a ulozeny log zaslete radcum na forum.

:arrow: BlackLight
Stahnete, ulozte na plochu a spustte aplikaci BlackLight -> https://europe.f-secure.com/exclude/blacklight/fsbl.exe
Odsouhlaste licencni podminky zvolenim moznosti I accept the agreement a kliknete na tlacitka Next a Scan. Program proscanuje pocitac a zobrazi vysledky. Kliknete na tlacitka Next a Exit. Na plose bude vytvoren log s vysledky, tento log zaslete radcum na forum.

:arrow: AVPTool
http://www.viry.cz/forum/viewtopic.php?p=452660 - dle návodu proveď kompletní sken a vlož sme log

_________________
Zde na foru již nejsem aktivní, vyskytuji se na Google+ (http://gplus.to/JanSvoboda), kde aktivně píšu nejen o IT.


 Profil  
 Předmět: Re: Kryptik.Bwa
PříspěvekZaslal v: st 24. únor 2010, 18:02 
Začátečník
Začátečník
Obrázek uživatele

Založen: 21. srpen 2009
Bydliště: Morava
Nahoru
Rootkt Revealer mi hlásí chybný odkaz, ale AVPTool stahuju :)


 Profil  
 Předmět: Re: Kryptik.Bwa
PříspěvekZaslal v: st 24. únor 2010, 18:07 
Středně pokročilý
Středně pokročilý

Založen: 25. prosinec 2009
Bydliště: Chrudim
Nahoru
OK. Plus tedy projeď Ccleanerem BlackLight.

_________________
Zde na foru již nejsem aktivní, vyskytuji se na Google+ (http://gplus.to/JanSvoboda), kde aktivně píšu nejen o IT.


 Profil  
 Předmět: Re: Kryptik.Bwa
PříspěvekZaslal v: st 24. únor 2010, 18:19 
Začátečník
Začátečník
Obrázek uživatele

Založen: 21. srpen 2009
Bydliště: Morava
Nahoru
OK. BlackGuard taky nejede, ten Kaspersky mi hlásí na začátku instalace při kopírování nějakého souboru, že nelze nainstalovat (access denied). Zkoušel jsem to na víc oddílů, ale ani na jeden to nejde.

Podruhé (restart) odmítl spustit instalaci.

Zkusil jsem nouzový režim a tam se mi to povedlo. Už jede, konečně....


 Profil  
 Předmět: Re: Kryptik.Bwa
PříspěvekZaslal v: st 24. únor 2010, 19:04 
Středně pokročilý
Středně pokročilý

Založen: 25. prosinec 2009
Bydliště: Chrudim
Nahoru
OK, aspon z něho by nám ten log pomohl. Případně zkus třeba SAS - http://www.viry.cz/forum/viewtopic.php?f=29&t=51359

_________________
Zde na foru již nejsem aktivní, vyskytuji se na Google+ (http://gplus.to/JanSvoboda), kde aktivně píšu nejen o IT.


 Profil  
 Předmět: Re: Kryptik.Bwa
PříspěvekZaslal v: st 24. únor 2010, 20:51 
Začátečník
Začátečník
Obrázek uživatele

Založen: 21. srpen 2009
Bydliště: Morava
Nahoru
J chceš ho celý, nebo jenom část? log jako soubor nejde poslat, tak sem hodím aspoň část.

Suspicious objects znepokojují mě tady

Main script of analysis
Windows version: Windows 7 Ultimate, Build=7600, SP=""
System Restore: enabled
System booted in Safe Mode
>> Services: potentially dangerous service allowed: TermService (@%SystemRoot%\System32\termsrv.dll,-268)
>> Services: potentially dangerous service allowed: SSDPSRV (@%systemroot%\system32\ssdpsrv.dll,-100)

>> Services: potentially dangerous service allowed: Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled

>> Security: sending Remote Assistant queries is enabled
>> Disable HDD autorun
>> Disable autorun from network drives
>> Disable CD/DVD autorun
>> Disable removable media autorun
System Analysis in progress
System Analysis - complete


Protocols and handlers
File name, Type Description, Manufacturer
mscoree.dll/ Protocol /Microsoft .NET Runtime Execution Engine () ©/ Microsoft Corporation. All rights reserved. /{1E66F26B-79EE-11D2-8710-00C04F79ED0D}
dale to same ale {1E66F26B-79EE-11D2-8710-00C04F79ED0D} a {1E66F26B-79EE-11D2-8710-00C04F79ED0D}

PRINTING SYSTEM EXTENSIONS (MONITOR....)
cl31cl6.dll/ Monitor/ CL31C Langmon
localspl.dll/ Monitor/ Local Port
FXSMON.DLL / Monitor /Microsoft Shared Fax Monitor
tcpmon.dll / Monitor /Standard TCP/IP Port

Windows Explorer extension modules
blue.shell {79BC0345-1015-11D2-A299-006008312725}
WinRAR shell extension {B41DB860-64E4-11D2-9906-E49FADC173CA}
WinRAR shell extension {B41DB860-8EE4-11D2-9906-E49FADC173CA}
OpenOffice.org Column Handler {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}
OpenOffice.org Infotip Handler {087B3AE3-E237-4467-B8DB-5A38AB959AC9}
OpenOffice.org Property Sheet Handler {63542C48-9552-494A-84F7-73AA6A7C99C1}
OpenOffice.org Thumbnail Viewer {3B092F0C-7696-40E3-A80F-68D74DA84210}
PSPad {8903F6C9-25E3-40AC-A98F-E6D35CD0469C}
ColumnHandler {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}
ColumnHandler {F9DB5320-233E-11D1-9F84-707F02C10627}

csrss.exe/csrss.exe/lsass.exe/lsm.exe/services.exe/smss.exe/winlogon.exe/VŠECHNY error getting file info

Windows Explorer extension modules/Microsoft Internet Explorer extension modules (BHOs, Toolbars ...)
A JEŠTĚ NĚKOLIK VELKÝCH SEZNAMŮ (SERVICES, RAUTORUNS....)


 Profil  
Zobrazit příspěvky za poslední:  Řadit podle  
Odpovědět na téma  [ 32 příspěvků ]  Přejít na stránku předchozí  1, 2


Čas je uváděn v UTC + 1 hodina


Přejít do sekce:
  

Kdo je přihlášený

Uživatelé procházející si tuto sekci: Žádní registrovaní uživatelé a 2 anonymních


Nemůžete zakládat nová témata v této sekci
Nemůžete odpovídat na příspěvky v této sekci
Nemůžete upravovat své příspěvky v této sekci
Nemůžete mazat své příspěvky v této sekci
Nemůžete připojit přílohy v této sekci

 
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Český překlad - PCT fórum, Zásady ochrany osobních údajů.