FB virus

[An7yk]

koukam ze uz neni zakliknute to alternativni spusteni ...

[stell]

Zafajknute by bolo po restrte, lebo do bootloader uz trojan zapisal, a cakal na restart.
skus este tento prikaz
BCDEDIT /deletevalue safebootalternateshell

[An7yk]

C:\Users\An7yk>bcdedit /deletevalue safebootalternateshell
Operace byla dokončena úspěšně.


co dál?

[stell]

ok, sprav znova rychly sken malwarebytes, najdene infekcie odstran, mozes povolit restart log vloz sem

[An7yk]

nic to nenašlo...
takže mam dat restart PC tedy?

bojim bojim

[stell]

neboj sa nic,
napis prikaz bcdedit.exe a daj log, tak ako na zaciatku

[An7yk]

C:\Users\An7yk>bcdedit.exe

Správce spouštění systému Windows
--------------------
identifikátor {bootmgr}
device partition=C:
description Windows Boot Manager
locale cs-CZ
inherit {globalsettings}
default {current}
resumeobject {5399cbf4-7c98-11df-bf29-b892364aac00}
displayorder {current}
toolsdisplayorder {memdiag}
timeout 30

Zaváděcí program pro spouštění systému Windows
-------------------
identifikátor {current}
device partition=C:
path \Windows\system32\winload.exe
description Windows 7
locale cs-CZ
inherit {bootloadersettings}
recoverysequence {5399cbf6-7c98-11df-bf29-b892364aac00}
recoveryenabled Yes
osdevice partition=C:
systemroot \Windows
resumeobject {5399cbf4-7c98-11df-bf29-b892364aac00}
nx OptIn

[stell]

v poriadku, spust combofix
PROSIM CITAJTE POZORNE NAVOD!!!,

Použij ComboFix podle tohoto návodu: http://www.bleepingcomputer.com/combofi ... t-combofix
Log znej vloz sem.

[An7yk]

ComboFix 11-07-23.04 - An7yk 24.07.2011 0:59.1.8 - x86
Microsoft Windows 7 Ultimate 6.1.7600.0.1250.420.1029.18.3579.2612 [GMT 2:00]
Spuštěný z: c:\users\An7yk\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Vytvořen nový Bod Obnovení
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\install.exe
c:\windows\proc_list1.log
c:\windows\winlog-dirs.txt
c:\windows\winlog-ids.txt
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2011-06-23 do 2011-07-23 )))))))))))))))))))))))))))))))
.
.
2011-07-23 21:52 . 2011-07-23 21:52 54016 ----a-w- c:\windows\system32\drivers\pobvvlwa.sys
2011-07-23 20:44 . 2011-07-23 20:44 -------- d-----w- c:\users\An7yk\AppData\Roaming\Malwarebytes
2011-07-23 20:34 . 2011-07-08 05:55 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-07-23 20:34 . 2011-07-23 20:34 -------- d-----w- c:\programdata\Malwarebytes
2011-07-23 20:34 . 2011-07-23 20:34 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-07-23 20:34 . 2011-07-08 05:55 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-04 06:10 . 2010-06-20 18:13 66616 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2011-07-04 06:10 . 2010-06-20 18:13 138192 ----a-w- c:\windows\system32\drivers\avipbb.sys
2011-06-18 07:31 . 2011-06-04 18:36 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2010-04-01 357696]
"NokiaOviSuite2"="c:\program files\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe" [2011-01-31 703360]
"SpyDefense"="c:\program files\Everest Labs\Spydefense\sdc.exe" [2005-11-02 3416064]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NokiaMServer"="c:\program files\Common Files\Nokia\MPlatform\NokiaMServer" [X]
"BCU"="c:\program files\DeviceVM\Browser Configuration Utility\BCU.exe" [2009-08-04 346320]
"NUSB3MON"="c:\program files\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe" [2009-10-21 106496]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-03 281768]
"Tarantula"="c:\program files\Razer\Tarantula\razerhid.exe" [2007-05-07 159744]
"DeathAdder"="c:\program files\Razer\DeathAdder\razerhid.exe" [2010-05-05 251392]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"nmctxth"="c:\program files\Common Files\Pure Networks Shared\Platform\nmctxth.exe" [2008-12-12 642856]
"Acrobat Assistant 7.0"="c:\program files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-08 449584]
"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2011-07-08 1047656]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-08 449584]
.
c:\users\An7yk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Xchat.cz QIP Infium chat.lnk - d:\program files\QIP Infium RiźrdssonPack\xchat\gate.exe [2010-10-9 1337856]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Acrobat Speed Launcher.lnk - c:\windows\Installer\{AC76BA86-1033-0000-7760-000000000002}\SC_Acrobat.exe [2010-11-30 25214]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer1"=wdmaud.drv
.
R3 GGSAFERDriver;GGSAFER Driver;c:\program files\Garena\safedrv.sys [x]
R3 ivusb;Initio Driver for USB Default Controller;c:\windows\system32\DRIVERS\ivusb.sys [2010-07-28 25112]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-06-21 691696]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-08-18 176128]
S2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-05-04 136360]
S2 BCUService;Browser Configuration Utility Service;c:\program files\DeviceVM\Browser Configuration Utility\BCUService.exe [2009-08-04 219360]
S3 cmudaxp;Razer Barracuda AC-1 Gaming Interface;c:\windows\system32\drivers\cmudaxp.sys [2010-06-21 1503040]
S3 DAdderFltr;DeathAdder Mouse;c:\windows\system32\drivers\dadder.sys [2010-04-19 9728]
S3 nusb3hub;NEC Electronics USB 3.0 Hub Driver;c:\windows\system32\DRIVERS\nusb3hub.sys [2009-10-26 58240]
S3 nusb3xhc;NEC Electronics USB 3.0 Host Controller Driver;c:\windows\system32\DRIVERS\nusb3xhc.sys [2009-10-26 136704]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-08-20 189440]
S3 TarFltr;Razer Tarantula USB Keyboard;c:\windows\system32\Drivers\UsbFltr.sys [2007-04-11 45440]
S3 vHidDev;Razer Gaming Device;c:\windows\system32\DRIVERS\vHidDev.sys [2009-12-21 5760]
.
.
--- Ostatní služby/ovladače v paměti ---
.
*NewlyCreated* - MBAMPROTECTOR
.
Obsah adresáře 'Naplánované úlohy'
.
2011-07-23 c:\windows\Tasks\GlaryInitialize.job
- c:\program files\Glary Utilities\initialize.exe [2011-02-02 13:13]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.infantry.cz/
IE: Convert link target to Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert to existing PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: Interfaces\{0A31933A-E1EF-41F5-85CF-54D300BF1AFE}: NameServer = 10.109.255.254,10.109.133.254
FF - ProfilePath - c:\users\An7yk\AppData\Roaming\Mozilla\Firefox\Profiles\kk0reftw.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
FF - Ext: ReloadEvery: {888d99e7-e8b5-46a3-851e-1ec45da1e644} - %profile%\extensions\{888d99e7-e8b5-46a3-851e-1ec45da1e644}
FF - Ext: PC Sync 2 Synchronisation Extension: bkmrksync@nokia.com - d:\program files\Nokia\Nokia PC Suite 7\bkmrksync
FF - Ext: Firefox Synchronisation Extension: {A27F3FEF-1113-4cfb-A032-8E12D7D8EE70} - c:\program files\Nokia\Nokia Ovi Suite\Connectors\Bookmarks Connector\FirefoxExtension
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
HKLM-Run-Cmaudio8788 - cmicnfgp.cpl
.
.
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_USERS\S-1-5-21-4101919810-1799706158-2238301040-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:86,3c,e5,63,18,e0,6d,37,84,ce,73,5a,3b,2f,da,2b,8f,02,d1,96,3e,57,1a,
47,78,6a,cd,47,c8,39,25,9e,37,9b,13,a5,48,9b,45,8d,c2,3a,ea,cc,72,23,43,66,\
"??"=hex:3b,11,3f,18,14,79,72,7e,20,d5,13,b5,70,4a,c9,95
.
[HKEY_USERS\S-1-5-21-4101919810-1799706158-2238301040-1000\Software\SecuROM\License information*]
"datasecu"=hex:71,ce,51,3f,83,70,32,a6,33,fa,9d,e4,10,ea,53,5f,0e,0c,19,af,89,
38,fb,fd,e2,74,e1,8f,f1,d4,9c,de,f3,af,50,28,b2,db,38,d4,30,9c,47,d3,5d,ef,\
"rkeysecu"=hex:5a,b9,82,a7,2d,6c,25,cc,d8,5d,c0,f2,b9,00,45,5b
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Celkový čas: 2011-07-24 01:05:28
ComboFix-quarantined-files.txt 2011-07-23 23:05
.
Před spuštěním: 8 955 277 312
Po spuštění: Volných bajtů: 11 895 209 984
.
- - End Of File - - A884C505678CBDE636523BC05D52FF4E


jdu restartovat PC poprve po nainstalovaní viru, drzte mi palce

[stell]

Pri tejto akcii je nutné mať ComboFix na ploche.

Vypni>FIREWALL>Antivir>Antispyware>vsetko rezidentne.

Otvor Notepad (Poznámkový blok) a zkopíruj do neho celý zeleny tex:

Kód: Vybrat vše

KILLALL::
File::
c:\windows\system32\drivers\pobvvlwa.sys

Potom klik na Subor -> Uložiť ako.. .. -> Ako je Názov souboru tak do toho riadku napiš:CFScript.txt
Typ súboru tak tam vyberies *všetky súbory
A ulož ho na plochu.> Pozor CFScript.txt>Neotvarat a nemoze byt ani>CFScript.txt.txt A Urobis Toto :


Po skonceni skenu vlož log čo ComboFix vytvorí

[Shwollo]

dá sa tento vir na 100% odstrániť podľa tých návodov? Či radšej mám formátnuť celý HDD? Nemám tu nič dôležité takže by bolo asi jednoduhšie to formátnuť...

[stell]

dá sa tento vir na 100% odstrániť podľa tých návodov? Či radšej mám formátnuť celý HDD? Nemám tu nič dôležité takže by bolo asi jednoduhšie to formátnuť...

Takto, ak sa vyznas , tak sa da, ak len myslis ze sa vyznas, tak nie.
Potom potrebujes radcu.
Ak podla pravidiel fora otvoris vlastnu novu temu, tak na 100% ze nasi radcovia ti to odstrania,bez formatu.
Ale ak chces mozes aj stale formatovat ,ked nieco chytis do pc

[Shwollo]

treba robiť nejaké "špeciálne" opatrenia na tom PC? zmena hesiel a pod. veci? môže sa ten vir dostať cez wifi aj na iné PC? (doma mám 3 notebooky pripojené na tú wifi)

[stell]

No, tento smejd je uplne novy. takze este netusim ze co vsetko dokaze,a pravdepodobne bude sa vyvijat. ale pre srandu urcite by nebol taky masivny utok, to je uz vlastne epidemia, ako vidis je tam kopec Trojan.Agen, Backdoor, atd,
A presne to robia co maju v v nazve, agent vies co je, backdoor vies co je, takze urcite zautoci na vsetko, co mu pride do cesty, ak zdielate subory, potom urcite treba vsetky pocitace skontrolovat a zmenit aj hesla, a nastavit sifrovanie na facebook.

[Shwollo]

skontrolovať čím? malwarebytes free + avast free bude stačiť? prípadne NOD trial