winlogon.exe + isass.exe :(

[MatNi]

Hodilo mi to tenhle error a pak se mě ptal, jestli chce pokračovat, tak sem mu dal že ne....říkal jsem si, že by to nebylo kompletní a třeba by to nefungovalo...tak sem hažu screen chyby
Jo a pokud dobře rozumím posledním 2 ma řádkům, tak po něm chceš vymazat nějaké registry, ne? ..nejde to udělat i manuálně přez regedit?...

[Baron Prášil]

Kód: Vybrat vše

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2b5ddc64-cdc6-11dc-b46b-806d6172696f}]

toto neumí avenger smazat,takže růčo. a mimo to,skript je nekompletní,takže i kdyby uměl tak má smolík.

[MatNi]

Hm, tak co třeba ho zkompletovat a pomoct mi? hm...

[Baron Prášil]

to si mě špatně pochopil. HKEY_CURRENT_USER - toto avenger neumí. tuhle větev musíš dohledat ručně.
to že byl,díky špatně nastavenýmu fóro i samotnej řádek nekompletní je podružný.

[MatNi]

To, že to musim udělat ručně, to sem pochopil...jen jsem tím "skript je nekompletní" chápal to, že bude třeba pro úplné odvirování smazat ješě nějaké další soubory apod. ...což mi připadalo divné, že by jsi nenapsal jaké soubory smazat nebo něco takového ...teď už tomu ale rozumim->pustit Avangera s tim scriptem a smazat ručně tu větev, co jsi psal (tu v code)...tím by to všechno mohlo být OK? doufejme...zitra napišu log, teď už jdu spát
Omlouvám se tedy a díky

[Baron Prášil]

to je ok. nechám tě dále Paulovi

[paul27]

Pravda, ten script je špatnej, zkus to teď.

Kód: Vybrat vše

http://avenger-script.wz.cz/script_4.txt

Problém je, že Avengerovi musíš vypsat celou cestu k danému klíči, jak jsem tam nechal jen ...\~\..., tak to prostě nejde - bohužel na to neustále zapomínám.

Pokud myslíš Barone ještě něco jiného, tak to napiš ať to zbytečně neprodlužujem.

[MatNi]

/ / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / /

A v e n g e r P r e - P r o c e s s o r l o g

/ / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / /



P l a t f o r m : W i n d o w s X P ( b u i l d 2 6 0 0 , S e r v i c e P a c k 2 )

W e d A p r 0 9 2 2 : 0 9 : 0 7 2 0 0 8



2 2 : 0 9 : 0 1 : E r r o r : I n v a l i d r e g i s t r y s y n t a x i n c o m m a n d :

" H K E Y _ C U R R E N T _ U S E R \ s o f t w a r e \ m i c r o s o f t \ w i n d o w s \ c u r r e n t v e r s i o n \ e x p l o r e r \ m o u n t p o i n t s 2 \ { 2 b 5 d d c 6 4 - c d c 6 - 1 1 d c - b 4 6 b - 8 0 6 d "

O n l y r e g i s t r y k e y s u n d e r t h e H K E Y _ L O C A L _ M A C H I N E h i v e a r e a c c e s s i b l e t o t h i s p r o g r a m .

S k i p p i n g l i n e . ( R e g i s t r y k e y d e l e t i o n m o d e )

2 2 : 0 9 : 0 7 : E r r o r : E x e c u t i o n a b o r t e d b y u s e r !





/ / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / /





L o g f i l e o f T h e A v e n g e r V e r s i o n 2 . 0 , ( c ) b y S w a n d o g 4 6

h t t p : / / s w a n d o g 4 6 . g e e k s t o g o . c o m



P l a t f o r m : W i n d o w s X P



* * * * * * * * * * * * * * * * * * *



S c r i p t f i l e o p e n e d s u c c e s s f u l l y .

S c r i p t f i l e r e a d s u c c e s s f u l l y .



B a c k u p s d i r e c t o r y o p e n e d s u c c e s s f u l l y a t C : \ A v e n g e r



* * * * * * * * * * * * * * * * * * *



B e g i n n i n g t o p r o c e s s s c r i p t f i l e :



R o o t k i t s c a n a c t i v e .

N o r o o t k i t s f o u n d !



D r i v e r " o r e a n s 3 2 " d e l e t e d s u c c e s s f u l l y .

F i l e " C : \ g l g l g " d e l e t e d s u c c e s s f u l l y .



E r r o r : f i l e " C : \ W I N D O W S \ s y s t e m 3 2 \ p m n n n M e f . d l l " n o t f o u n d !

D e l e t i o n o f f i l e " C : \ W I N D O W S \ s y s t e m 3 2 \ p m n n n M e f . d l l " f a i l e d !

S t a t u s : 0 x c 0 0 0 0 0 3 4 ( S T A T U S _ O B J E C T _ N A M E _ N O T _ F O U N D )

- - > t h e o b j e c t d o e s n o t e x i s t



F i l e " C : \ W I N D O W S \ s y s t e m 3 2 \ d r i v e r s \ o r e a n s 3 2 . s y s " d e l e t e d s u c c e s s f u l l y .

R e g i s t r y k e y " H K E Y _ L O C A L _ M A C H I N E \ S O F T W A R E \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n \ E x p l o r e r \ B r o w s e r H e l p e r O b j e c t s \ { 8 E E A F C 2 0 - 7 E 6 2 - 4 B 1 7 - 9 8 E F - 6 9 F 7 B F 6 2 6 2 2 A } " d e l e t e d s u c c e s s f u l l y .



C o m p l e t e d s c r i p t p r o c e s s i n g .



* * * * * * * * * * * * * * * * * * *



F i n i s h e d ! T e r m i n a t e .

Nejdřív jsem si myslel, že se se ten soubor pmnnnMef.dll po startu přesouvá do nám známého místa, ale on tam doopravdy není..ani nwim kdy byl smazán...asi ComboFixem..je pravda, že NOD už nějakou dobu nic nehlásí..
teď du ručně smazat tu větev...tak..co po mně budete chtít teďka? HijackThis log? na doladění/prozkoumání, jestli už je opravdu čisto?

Edit: větev smazána, záloha vytvořena

[paul27]

Ok, celkem se zadařilo. Akorát soubor pmnnnMef.dll to nenašlo.

Ještě pro kontrolu jeden CF a rovnou přilož i HJT.