Flashka a vir

Obě máme antivirový program Avast

a teď máte taky dva zavirované počítače a dvě zavirované flashky

zkuste tohle:

http://research.pandasecurity.com/archive/Panda-US B-and-AutoRun-Vaccine.aspx

Pozor, na počítačích vám to zruší automatické spouštění (což je jedině dobře).

Tak jsem si stáhla ten program a na flashce se mi po jeho použití objevil soubor autorun.inf (tento název souboru mi předtím hlásil antivir že tam je). Bohužel jsem z článku pořádně nepochopila, jestli teď mám tento soubor na flashce nechat a je to ta ochrana proti automatickému spouštění nebo jestli mi to zobrazilo ten soubor s tím virem a teď ho mám smazat??

To je soubor, který tu flashku teď chrání před nákazou. Nejde smazat. Jde jenom naformátovat celá flash. Přečti si pořádně článek a diskuzi.

Díky, mě jen bylo divné, že předtím mi antivir hlásil soubor se stejným jménem jakože to je vir. Jinak v diskuzi mě nejvíc zaujal dotaz, jestli to taky pomáhá, když už tam ten vir je? Odpověď jsem nenašla.

předtím mi antivir hlásil soubor se stejným jménem jakože to je vir

to bude tím, že (stejně jako u lidí), na jménu nezáleží, ale obsah je důležitý....

není nad to, strčit zavirovanou flešku někomu do počítače......

No jo, strašná blbost, došlo mi to jen co jí ta hláška vyskočila taky! Co víc říct než "smůla";o) Teď ale vážně, myslíme si, že vir jsme dostaly stejně obě už předtím na copy centru naší školy, takže jsem blbá, ale kdybych byla chytřejší, tak už bysme si dneska stejně nepomohly:o(

Jdu zkusit ten odkaz.

Podle toho jak jsete zdatné. Řešení je určitě spousta. Já bych třeba vložil Linux (či Bart PE) bootovací cd a naformátoval to z toho. Což je jednoduché řešení, ovšem nevím zda pro vás technicky schudné (nutnost míti bootovaci cd)

Nejprve bych se pokusil zjistit, proč to hlasi, i když tam nejsou videt soubory - tedy v pruzkumniku souboru windows bych si nechal zobrazit zkryté možnosti.

Déle je tu možnost použít jiný antivirus (a to bud tak, že ho s ním necháte vyřešit problém na flashce ci tak, že pak muzete disablovat Avast a mit tak stale stejny falsny pocit bezpeci )

Tak to bychom možná zvládly, kdybychom to cd měly a ještě vedle sebe chlapa, co by nám radil:o)) Bohužel jsme v cizině, nemáme tu ani jediné CD, natož bootovací. Dokonce tady nemáme ani žádné cd s windowsama a ovladačema pro naše počítače, takže by bylo dobré tento vir překonat bez nutnosti na konci toho všeho formátovat disky:o) Jinak jsem si nechala projet počítač tím avastem a nevypadá to, že by něco našel. Tak se asi nechám ukolébat falešným pocitem bezpečí?:o)

a) CD je možné si stáhnout (v případě Linuxu, upozornuju, že nejsem žádný zastánce tohoto OS, který by ho vnucoval všem, ovšem protoze se mi jedno vali vetsinou na stole, tak nabootovani, a format z nej je otázka par minut bez vztekani se s antivirem)

Jinak píšete, že jste vir dostali na copy centru. Pokud se na PC nelogujete a nemate odpovednsot za vznikle školy, tak bych flasku naformatoval tam. (a jako slovek nesmireny s pristupem lidstva ke vzdelavani bych tam nejspis virovy obsah predtim jeste nakopiroval)

Pise to co je to za vir? Treba se sezene nejaka utilita, ktera odstrani jen ten vir.

Dale je tu moznost nabehnuti OS do nouzoveho rezimu a zkusit to tam. A take existoval nejaky soft neco jako "unlock delete", ovšem to mi bude muset nekdo doplnit, jmeno nevim.

Ty zkryte soubory jste si zobrazily?

az nebudete v zahranici tak se mozna nekdy nabidnu za toho chlapa...

:o) Díky za nabídku, ale pozor, možná to fakt využijeme!!!

Jde o asi o vir "recyklátor virus / BV: AutoRun-G [Wrm]". Když nechám zobrazit skryté soubory, tak se tam nic stejně neobjeví. Flashky už jsou asi "v pořádku", po použití té Pandy.
Myslela jsem, že už je všechno ok, počítače zkontrolovány, flashky naformátovány, znova použita Panda, antivir v klidu, já taky.. a pak přišla rána: paměťovka z foťáku zase vzburcovala antivir. Přitom ta s virem neměla kde přijít do styku až ve chvíli kdy jsme ji daly do notebooku. Z toho usuzuju, že to asi musíme mít stále někde v počítačích a nakazí to každou paměť, co si do nich strčíme. Panda na paměťovku nefunguje, takže jsme použily tohle
http://www.techpavan.com/2009/01/10/recycler-autor un-virus-removal-instructions/

což zabralo, ale stejně je mi jasné, že ho tady někde pořád máme.

Na copy centru se nijak nelogujeme, ale za to tam obsluha sama strká flashky studentů do počítače a tiskne z nich. Anglicky umí sotva říct, kolik za ten tisk chtějí, takže vysvětlovat jim, že tam mají vir, by bylo asi na dlouhé lokte:o) Navíc to naformátování nepomohlo, naopak, formátem se smazala ochrana od Pandy, ale ten vir se tam objevil znova.

Momentálně nevím, co mám ještě dělat.

šlo by zkusit vypsat co se spouští z registrů, a běžící procesy v paměti (pokud by šlo o rootkit, vidět nepůjde).
start - spustit - cmd.exe [enter]:

regedit /E %temp%\hlmrun.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"
notepad %temp%\hlmrun.txt

tasklist /svc > %temp%\tsk.txt
notepad %temp%\tsk.txt

a vlož sem ze schránky obsahy těch notepadů.

masochisti si mohou číst v logu z hijackthis.

taky jde vytáhnout disk a připojit jako druhý nebootovací do jiného pc, a tam ho proskenovat na viry, spyware, rootkity.
nejsou na disku soubory \autorun.inf?

Tohle mi vyjelo:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cur rentVersion\Run]
"LaunchApp"=""
"AzMixerSel"="C:\\Program Files\\Realtek\\InstallShield\\AzMixerSel.exe"
"PCMService"="\"C:\\Program Files\\Acer\\Acer Arcade\\PCMService.exe\""
"ntiMUI"="C:\\Program Files\\NewTech Infosystems\\NTI CD & DVD-Maker 7\\ntiMUI.exe"
"Acer ePresentation HPD"="C:\\Acer\\Empowering Technology\\ePresentation\\ePresentation.exe"
"RTHDCPL"="RTHDCPL.EXE"
"SkyTel"="SkyTel.EXE"
"Alcmtr"="ALCMTR.EXE"
"SynTPEnh"="C:\\Program Files\\Synaptics\\SynTP\\SynTPEnh.exe"
"LManager"="C:\\PROGRA~1\\LAUNCH~1\\LManager.exe"
"ATICCC"="\"C:\\Program Files\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay"
"BisonBar"="C:\\WINDOWS\\BUtilityBar\\BisonBar.exe "
"eRecoveryService"="C:\\Acer\\Empowering Technology\\eRecovery\\eRAgent.exe"
"RemoteControl"="\"C:\\Program Files\\CyberLink\\PowerDVD\\PDVDServ.exe\""
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroChec k.exe"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp. exe"
@=""
"SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.6.0_07\\bin\\jusched.exe\""
"Sony Ericsson PC Suite"="\"C:\\Program Files\\Sony Ericsson\\Mobile2\\Application Launcher\\Application Launcher.exe\" /startoptions"
"Adobe Reader Speed Launcher"="\"C:\\Program Files\\Adobe\\Reader 9.0\\Reader\\Reader_sl.exe\""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cur rentVersion\Run\OptionalComponents]
@=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cur rentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"
@=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cur rentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"
@=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cur rentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"
@=""

To s tím diskem asi u notebooku nepůjde si myslím? No rozhodně ne v našich podmínkách. Soubor autorun.inf mám v počítači několikrát, taky to hlásil avast poprvé, že je na té flashce, ale žádný jsem tam neviděla. Teď tam je od té Pandy a asi brání neustálému spouštění toho viru?

osobně na tom seznamu nic špatně nevidím.

Máš winrrar? Zkus otevřít a porivat se s nim na tu flashku.

vir tu není, rootkit se nezobrazí. dnešní notebookové disky jsou sata, to znamená že kabely pasují i do stolního pc - na neaktivním (nebootovacím) disku by mohl jít rootkit najít.

v msconfig.exe bych přesto zakázal neužitečný odpad (zrušil zatržení):
- extrémně podezřelé: "BisonBar"="C:\\WINDOWS\\BUtilityBar\\BisonBar.exe "
- stojíš o nějaký vzdálený přístup? "RemoteControl"="\"C:\\Program Files\\CyberLink\\PowerDVD\\PDVDServ.exe\""
- podezřelé, zjisti si co přesně dělá "LManager"="C:\\PROGRA~1\\LAUNCH~1\\LManager.exe"
- zbytečnost: "Adobe Reader Speed Launcher"="\"C:\\Program Files\\Adobe\\Reader 9.0\\Reader\\Reader_sl.exe\""
- zbytečnost: "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroChec k.exe"
- asi na nic: "SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.6.0_07\\bin\\jusched.exe\""

jinak bývám zhnusen ze systému zapranému utilitami výrobce, nechce se mi hledat k čemu může sloužit zrůdnost "Acer ePresentation HPD"="C:\\Acer\\Empowering Technology\\ePresentation\\ePresentation.exe" kromě vynášení dat ven.

- že by obnova systému v četně smazání uživatelských dat které na disku nebyly v době prodeje? "eRecoveryService"="C:\\Acer\\Empowering Technology\\eRecovery\\eRAgent.exe"

ještě ti mělo vyběhnout druhé notepadové okno s výpisem procesů v paměti, ale rootkit by tam opět nebyl vidět.

tasklist /svc > %temp%\tsk.txt
notepad %temp%\tsk.txt

do autorun.inf se podívej, jestli je čitelný, nebo ho porovnej s tím imunizačním na flashce. na disku kromě té pandí atrapy nemá co dělat. a v registrech zkontroluj že máš nastaveno:

REGEDIT4

; Vypnuti Autorun pro vsechny media
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

Po pár dnech, kdy jsem už to vypadalo, že se nebude nic dít, nám s kamarádkou oběma ve stejnou chvíli avast z ničeho nic začal stále dokola hlásit vir, nepomohla truhla, smazat, opravit no prostě nic. Taky nám vyskákalo asi 100 nějakých chybových hlášek (myslím, že to hlásilo spadnutí nějakého programu)
Pročetla jsem tedy znova pár fór, na základě čehož jsem spustila v nouzovém režimu program combofix. Sice mi hlásil, že mám zapnutý avast (a vyžadoval jeho vypnutí) ale nenašla jsem ho spuštěný a už vůbec ne možnost ho vypnout, takže jsem combofix i přesto znova spustila.

Od té doby už mi počítač nic nehlásí, combofix mi vyjel tento log.txt, ale já vůbec nevím co to znamená a jestli teda nějaký vir (rootkit?) našel. Kdyby se na to chtěl někdo podívat a říci mi jenom, že už můžu být v klidu, tak budu ráda:o)

ComboFix 09-04-04.01 - hanka 2009-04-10 12:21:58.1 - [color=red]FAT32[/color]x86 MINIMAL
Microsoft Windows XP Home Edition 5.1.2600.3.1250.1.1029.18.1982.1729 [GMT 2:00]
Spuštěný z: c:\documents and settings\hanka\Plocha\ComboFix.exe
AV: avast! antivirus 4.8.1335 [VPS 090409-0] *On-access scanning enabled* (Updated)

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\IE4 Error Log.txt
c:\windows\system32\autorun\Drivers\LAN\WIN2000\_d esktop.ini
c:\windows\system32\autorun\Drivers\LAN\WIN98SE\_d esktop.ini
c:\windows\system32\autorun\Drivers\LAN\WINME\_des ktop.ini
c:\windows\system32\autorun\Drivers\LAN\WINXP\_des ktop.ini

.
((((((((((((((((((((((((( Soubory vytvořené od 2009-03-10 do 2009-04-10 )))))))))))))))))))))))))))))))
.

2009-04-10 07:19 . 2009-04-10 07:19 413,749 --a------ c:\documents and settings\hanka\sdsf.exe
2009-04-10 00:49 . 2009-04-10 02:18 413,749 --a------ c:\documents and settings\hanka\sds.exe
2009-04-09 23:54 . 2009-04-09 23:54 290,868 --a------ c:\documents and settings\hanka\fjfjj.exe
2009-04-09 23:25 . 2009-04-09 23:25 693 --a------ c:\documents and settings\hanka\sd.exe
2009-03-20 18:58 . 2009-03-20 18:58 <DIR> d-------- c:\program files\uTorrent
2009-03-20 18:58 . 2009-03-20 18:58 <DIR> d-------- c:\documents and settings\hanka\Data aplikací\uTorrent

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2009-03-03 09:08 --------- d-----w c:\program files\rajce
2009-02-19 10:51 --------- d-----w c:\program files\Network Stumbler
2009-02-09 13:07 1,846,784 ----a-w c:\windows\system32\win32k.sys
2009-02-09 13:07 1,846,784 ------w c:\windows\system32\dllcache\win32k.sys
2009-01-16 19:30 3,594,752 ------w c:\windows\system32\dllcache\mshtml.dll
2008-04-14 03:22 413,749 --sh--r c:\windows\system32\msconfig.exe
2008-04-14 03:22 14,336 --sh--r c:\windows\system32\svchost.exe
2008-09-27 08:27 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\History\History.IE5\MSHist012008092720080 928\index.dat
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{95289393-33EA-4F8D-B952-483415B9C955}"= "c:\documents and settings\hanka\Data aplikací\Microsoft\Internet Explorer\qipsearchbar.dll" [2009-02-10 119808]

[HKEY_CLASSES_ROOT\clsid\{95289393-33ea-4f8d-b952- 483415b9c955}]
[HKEY_CLASSES_ROOT\qipbar.QIPBHO.1]
[HKEY_CLASSES_ROOT\TypeLib\{45FF696B-5284-4781-B2C A-ECF3A742A17B}]
[HKEY_CLASSES_ROOT\qipbar.QIPBHO]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{95289393-33EA-4F8D-B952-483415B9C955}]
2009-02-10 16:56 119808 --a------ c:\documents and settings\hanka\Data aplikací\Microsoft\Internet Explorer\qipsearchbar.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNo tifier.exe" [2007-06-23 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur rentVersion\Run]
"AzMixerSel"="c:\program files\Realtek\InstallShield\AzMixerSel.exe" [2006-04-14 53248]
"PCMService"="c:\program files\Acer\Acer Arcade\PCMService.exe" [2006-04-27 151552]
"ntiMUI"="c:\program files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2005-05-11 45056]
"Acer ePresentation HPD"="c:\acer\Empowering Technology\ePresentation\ePresentation.exe" [2006-03-31 204800]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-03-03 761946]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2006-06-23 602112]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\eRAgent.exe" [2006-06-01 413696]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2005-01-12 32768]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.e xe" [2006-01-12 155648]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"MSConfig"="c:\windows\pchealth\helpctr\Binaries\M SCONFIG.EXE" [2008-04-14 171008]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-27 c:\windows\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cu rrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.mkdmp3enc"= c:\progra~1\Acer\ACERAR~1\Kernel\Burner\MKDMP3Enc. ACM

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BisonBar]
--a------ 2006-09-08 11:49 245760 c:\windows\BUtilityBar\BisonBar.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
-ra------ 2007-03-28 01:07 593920 c:\program files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-06-10 04:27 144784 c:\program files\Java\jre1.6.0_07\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
--a------ 2006-05-16 03:04 2879488 c:\windows\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallp olicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Acer\\Acer Arcade\\PCMService.exe"=
"c:\\Games\\Worms Armageddon\\Worms Armageddon\\[PC GAME] Worms Armageddon + All weapons unblocked + cracked + xp patch by Lupen[FUMAI]\\wormsarm\\WA.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\QIP\\qip.exe"=
"c:\\Games\\cs\\hl.exe"=
"d:\\Instal\\Dc++\\StrongDC.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\WINDOWS\\System32\\msconfig.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallp olicy\standardprofile\GloballyOpenPorts\List]
"14070:TCP"= 14070:TCP:BitComet 14070 TCP
"14070:UDP"= 14070:UDP:BitComet 14070 UDP

S1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-04-01 114768]
S2 Apache2.2;Apache2.2;c:\xampp\apache\bin\apache.exe [2007-09-20 17408]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswF sBlk.sys [2008-04-01 20560]
S2 eLock2BurnerLockDriver;eLock2BurnerLockDriver;\??\ c:\windows\system32\eLock2BurnerLockDriver.sys --> c:\windows\system32\eLock2BurnerLockDriver.sys [?]
S2 eLock2FSCTLDriver;eLock2FSCTLDriver;\??\c:\windows \system32\eLock2FSCTLDriver.sys --> c:\windows\system32\eLock2FSCTLDriver.sys [?]
S2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;c:\program files\Firebird\Firebird_1_5\bin\fbguard.exe -s --> c:\program files\Firebird\Firebird_1_5\bin\fbguard.exe -s [?]
S3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;c:\program files\Firebird\Firebird_1_5\bin\fbserver.exe -s --> c:\program files\Firebird\Firebird_1_5\bin\fbserver.exe -s [?]
S3 PSched;Plánovač paketů technologie QoS;c:\windows\system32\drivers\psched.sys [2004-08-18 69120]

--- Ostatní služby/ovladače v paměti ---

*NewlyCreated* - MDMXSDK
*NewlyCreated* - SERIAL
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

MSConfigStartUp-DLD - c:\program files\Download Direct\DLD.exe

.

------- Doplňkový sken -------
.
uStart Page = start.qip.ru
uSearchMigratedDefaultURL = hxxp://search{searchTerms}&sourceid=ie7&rls=com.microsoft:en-US &ie=utf8&oe=utf8
uDefault_Search_URL = hxxp://search.qip.ru
uInternet Connection Wizard,ShellNext = hxxp://cs.intl.acer.yahoo.com/
uSearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
IE: &ICQ Toolbar Search - c:\program files\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: {50E43D86-A74D-11D0-98CE-004005249458} - hxxps://MVSGif.cab
FF - ProfilePath - c:\documents and settings\hanka\Data aplikací\Mozilla\Firefox\Profiles\agz9r314.default \
FF - prefs.js: browser.startup.homepage - hxxp://seznam.cz/

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.

************************************************** ************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, www.gmer.net
Rootkit scan 2009-04-10 12:24:20
Windows 5.1.2600 Service Pack 3 FAT NTAPI

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

142 --- E O F --- 2009-03-26 04:32:27

************************************************** ************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(216)
c:\windows\system32\Ati2evxx.dll
.
Celkový čas: 2009-04-10 12:26:48
ComboFix-quarantined-files.txt 2009-04-10 10:26:48

Před spuštěním: Volných bajtů: 13 460 209 664
Po spuštění: Volných bajtů: 14,440,955,904

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BisonBar]
--a------ 2006-09-08 11:49 245760 c:\windows\BUtilityBar\BisonBar.exe
wtf?

S2 eLock2BurnerLockDriver;eLock2BurnerLockDriver;\??\ c:\windows\system32\eLock2BurnerLockDriver.sys --> c:\windows\system32\eLock2BurnerLockDriver.sys [?]
S2 eLock2FSCTLDriver;eLock2FSCTLDriver;\??\c:\windows \system32\eLock2FSCTLDriver.sys --> c:\windows\system32\eLock2FSCTLDriver.sys [?]
wtf 2?

Bison Bar je webkamera, pokud vím.

Tak to je ono, nemohla jsem si vzpomenout, ale měla jsem tušení, že bych měla vědět co to je a že to nebude ten zakopaný pes.

zajdi na www.viry.cz . jsou tam profi odvirovávači s 98% úspěšností.

Normálně se tam zaregistruješ, dáš nové téma, popíšeš problém. Hodíš log z combofixu

Díky zkusím:o)

Ten log se mi moc nelíbi. Možná bych zkusil nějaké anti-spyware ne zluncnice a nějaký další antivirus jestli to uklátí. Třeba Panda

strčila jsi flashku do zavirovaného pc nějakého trotla. a protože máš u sebe stále povolený autorun, sama sis zavirovala i svůj počítač. na co jsem ti psal jak se to vypíná?

toto je co?
2009-04-10 07:19 . 2009-04-10 07:19 413,749 --a------ c:\documents and settings\hanka\sdsf.exe
2009-04-10 00:49 . 2009-04-10 02:18 413,749 --a------ c:\documents and settings\hanka\sds.exe
2009-04-09 23:54 . 2009-04-09 23:54 290,868 --a------ c:\documents and settings\hanka\fjfjj.exe
2009-04-09 23:25 . 2009-04-09 23:25 693 --a------ c:\documents and settings\hanka\sd.exe

kde se tam vzal tento adresář s divným obsahem? c:\windows\system32\autorun\...

Promiň ale nerozumím dotazu "co jsem ti psal jak se to vypíná" Flashku jsem samozřejmě strčila do zavirovaného pc a přenesla si to na svůj, to tady řešíme už týden.. ale jak se to vypíná jsi mi psal až po té:o) Jinak doufám, že ten autorun už vypnutý mám, udělala jsem snad všechno, co jste mi tady psali.

Kde se vzaly ty adresáře a tamto co je nevím. Mám to smazat nebo co?

LB se ptá jestli je to Tvoje, protože to pochopitelně vypadá na ten vir. Pokud to neni Tvoje, pak klidne smazat. Ovšem dokud se nezbavíš "semena" po startu, tak to nemá moc smysl. V tom logu je i nějaký podezřelý registr po strartu, to by se mělo smazat také - ovšem nejsem naivní a nemyslim si, že by to bylo dostatečný na vykopání té breberky z pc.

nějakým process explorerem - lze i správcem úloh - si projdi co máš v paměti (sdsf.exe, fjfjj.exe aj.), tyto 95% součásti viru nejdřív zabij = ukončit proces.
potom je smaž z disku.
"c:\windows\system32\autorun\..." v normálních windows neexistuje - tobě do něj vedou odkazy (někde ten vir na disku být musí) - tak ho taky smaž.
po restartu znovu ten combofix, jestli už máš všechno opravené.

řečnickou otázku jsem dodal proto, že jsem vyrozumněl že ti antivir začal hlásit nakaženou flashku až mnohem později než jsi tu položila dotaz a dostala nějaké odpovědi.
proč řečnickou otázku - opravdu mě nezajímá, proč když tu dostaneš nějaké rady, nic neuděláš a ještě si navíc zaviruješ flashku - ty jsi správce (teda teď má stejná nebo vyšší práva ten vir), je to tvůj systém a tvoje data, mi je celkem jedno jestli si zaviruješ všechny domácí počítače a všechny flashky co máte doma.
čili ještě jednou a pomalu:

REGEDIT4

; Vypnuti Autorun pro vsechny media
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur rentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

přes flashky a modifikovaný autorun.inf se začínají šířit rootkity, doufej že to není tvůj případ.

a bonus na čtení.