Správce zakázal úpravy registrů

Zpráva

#1 Příspěvek od **altrok** » 14 srp 2016 23:18

Hezky den,

regedit (registry editing tools) a task manager (spravce uloh) jste mel zakazane

HKU\S-1-5-21-581605987-983706232-3014419168-1001\...\Policies\system: [DisableTaskMgr] 1
HKU\S-1-5-21-581605987-983706232-3014419168-1001\...\Policies\system: [DisableRegistryTools] 1

Bez dalsiho zkoumani nevim, jaky je obsah tohoto souboru:
HKU\S-1-5-21-581605987-983706232-3014419168-1001\...\RunOnce: [nzupi] => C:\Users\icema\nzupi\start.vbs [188 2016-07-16] ()

Otestujte na virustotal.com C:\Windows\system32\inetsrv\inetinfo.exe - pokud uz byl soubor otestovany, zvolte Reanalyse. Do pristiho prispevku dejte link (odkaz) s vysledky analyzy.

#2 Příspěvek od **altrok** » 15 srp 2016 09:55

Vytvorte prosim nove logy FRST.txt a Addition.txt a jejich obsah vlozte do pristi(ch) odpovedi.

#3 Příspěvek od **altrok** » 15 srp 2016 17:23

Podle logu jste start.vbs jeste neodstrelil uplne (je jeste ve startup = po spusteni), tak jej maznem fixlistem.

services.exe vypada v poradku. Mozna je nalinkovan nejakou skodlivou knihovnou, ale samotny services.exe by mel byt ok.

FRST.txt píše:==================== Bamital & volsnap =================

(There is no automatic fix for files that do not pass verification.)

C:\windows\system32\services.exe => File is digitally signed

Do Poznamkoveho bloku (Start -> spustit -> notepad) zkopirujte obsah bileho pole
ulozte na plochu jako fixlist (Typ souboru: Textovy dokument)
znovu spustte FRST a kliknete na Fix

po restartu bude na plose ulozen fixlog, jehoz obsah vlozte do pristi odpovedi

Kód: Vybrat vše

Start
CreateRestorePoint:
CloseProcesses:
File: C:\windows\system32\services.exe
File: C:\Program Files\Intel\SUR\WILLAMETTE\ESRV\esrv_svc.exe
File: C:\Windows\system32\inetsrv\inetinfo.exe
Folder: C:\Windows\system32\inetsrv
File: C:\Program Files (x86)\Genius\DeathTaker\mousehid.exe
HKU\S-1-5-21-581605987-983706232-3014419168-1001\...\MountPoints2: {3fbb783b-cde9-11e5-ab2d-a4db30785aac} - "I:\Lenovo_Suite.exe" 
HKU\S-1-5-21-581605987-983706232-3014419168-1001\...\MountPoints2: {9df0f069-13da-11e6-ab75-201a0634c2c4} - "F:\Lenovo_Suite.exe" 
HKU\S-1-5-21-581605987-983706232-3014419168-1001\...\MountPoints2: {9df0f07a-13da-11e6-ab75-201a0634c2c4} - "F:\Lenovo_Suite.exe" 
HKU\S-1-5-21-581605987-983706232-3014419168-1001\...\MountPoints2: {fe5c40e0-0a04-11e6-ab6b-201a0634c2c4} - "F:\setup.exe" 
Startup: C:\Users\icema\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\start.lnk [2016-07-22]
ShortcutTarget: start.lnk -> C:\Users\icema\nzupi\start.vbs ()
S3 athur; \SystemRoot\System32\drivers\athuwbx.sys [X]
S3 pccsmcfd; \SystemRoot\system32\DRIVERS\pccsmcfdx64.sys [X]
S3 vmci; \SystemRoot\System32\drivers\vmci.sys [X]
S3 VMnetAdapter; \SystemRoot\system32\DRIVERS\vmnetadapter.sys [X]
File: C:\windows\unins000.exe
Folder: C:\Users\icema\nzupi
Folder: C:\Users\icema\AppData\Roaming\dclogs
Folder: C:\Users\icema\AppData\Local\CrashDumps
Task: C:\windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: {CC7BD891-192D-4738-98FD-86D47FD0ACDA} - \Red Giant Link -> No File <==== ATTENTION
File: C:\Windows\syswow64\dplaysvr.exe
File: C:\users\icema\appdata\local\intel\xdk\bin\node.exe
CMD: sc queryex usbser
Hosts:
EmptyTemp:
End

#4 Příspěvek od **altrok** » 16 srp 2016 02:50

icefireCZ1 píše:Problém je, že složka C:\Users\icema\nzupi stále existuje. V C:\Users\icema\ složka NZUPI není, je neviditelná.

Spravne, slozka je skryta - ma nastaveny nasledujici atributy:

FRST.txt píše:==================== One Month Created files and folders ========

(If an entry is included in the fixlist, the file/folder will be moved.)

2016-07-16 00:57 - 2016-07-22 00:51 - 00000000 ____D C:\Users\icema\AppData\Roaming\dclogs
2016-07-16 00:56 - 2016-07-22 20:14 - 00000000 _RSHD C:\Users\icema\nzupi

Navic slozka dclogs a nzupi byly vytvoreny ve stejny cas, proto jsem si obsah techto slozek nechal ze zvedavosti vypsat. Jeste nez zacneme mazat, pustte tam sken MBAMu (viz nize).

Kód: Vybrat vše

R - Readonly
S - System
H - Hidden
D - Directory

Nainstalujte MBAM a udelejte vlastni sken vsech disku - http://forum.viry.cz/viewtopic.php?f=29&t=144868

Upozorneni: tento sken zabere od 30 minut po nekolik hodin

#5 Příspěvek od **altrok** » 16 srp 2016 12:57

Dejte prosim nove logy Addition.txt a FRST.txt.

#6 Příspěvek od **altrok** » 16 srp 2016 14:06

icefireCZ1 píše:Bože můj, při skenu mi neustále Windows Defender vyskakoval, že našel nějakou hrozbu.

Spis si myslim, ze se MBAM a Windows Defender hadali o karantenu.

Kód: Vybrat vše

Soubory: 18
CheatTool.CETTrainer, C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{F29B304F-9DB6-4872-917F-EC84324B4741}-B5AD8BE0-2FD5-C8DE-77BE-20C70539A583_1d1e746e51a760a, Do karantény, [3a8b0b40a6f4b284a991e1e7e120f40c],
CheatTool.CETTrainer, C:\ProgramData\Microsoft\Windows Defender\Scans\FilesStash\47FFF52B-9E4D-E031-71FE-64590E32D139_1d1f79fc75b93a8, Do karantény, [774eda7107932e08f6446d5bd42db44c],

Odinstalujte starou a zranitelnou verzi Javy. Pokud Javu potrebujete, pak nainstalujte novou z java.com/verify - pozor na adware pri instalaci. Pote se presvedcte, ze starsi verze jsou odinstalovane. Z hlediska bezpecnosti (zranitelnosti a exploity) je lepsi ji nemit. Aktualni je 8U101. Verze Javy, ktere v PC mate nainstalovane:

Java 8 Update 92 (64-bit)

Do Poznamkoveho bloku (Start -> spustit -> notepad) zkopirujte obsah bileho pole
ulozte na plochu jako fixlist (Typ souboru: Textovy dokument)
znovu spustte FRST a kliknete na Fix

po restartu bude na plose ulozen fixlog, jehoz obsah vlozte do pristi odpovedi

Kód: Vybrat vše

Start
CreateRestorePoint:
CloseProcesses:
File: C:\Users\icema\nzupi\4072703.VBG
File: C:\Users\icema\nzupi\6970958.vbe
File: C:\Users\icema\nzupi\83719.HHW
File: C:\Users\icema\nzupi\services.com
CMD: type C:\Users\icema\nzupi\start.cmd
CMD: reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Security Center" /ve
Folder: C:\Users\icema\nzupi
C:\Users\icema\nzupi
File: C:\WINDOWS\SysWOW64\Codecs\CodecUACManager.exe
Task: {1EF16727-B99C-4449-A995-05F8550C39D6} - System32\Tasks\{D89E54D1-0FEC-4D73-9F1B-3942D80F6EA7} => pcalua.exe -a C:\Users\icema\Downloads\Havij-1.16-Pro-Portable-[by-chleba.s.máslem].exe -d C:\Users\icema\Downloads
2016-08-16 02:03 - 2016-08-16 02:03 - 00029696 _____ C:\Users\icema\AppData\Local\MSGBOX.EXE
2016-08-16 02:03 - 2016-08-16 02:03 - 00015327 _____ C:\Users\icema\Desktop\LM.bat
EmptyTemp:
End

#7 Příspěvek od **altrok** » 16 srp 2016 18:55

Jak se PC chova? Stale se myska chova zvlastne?

#8 Příspěvek od **altrok** » 16 srp 2016 22:03

Zadne softy na mys nepouzivam (krom defaultnich driveru) a tak me jen napadlo, zda to nemuze mit souvislost napr. s
HKLM-x32\...\Run: [DeathTaker] => C:\Program Files (x86)\Genius\DeathTaker\mousehid.exe [303616 2013-04-03] ()
HKU\S-1-5-21-581605987-983706232-3014419168-1001\...\Run: [Mousotron] => C:\Program Files (x86)\Mousotron\Mousotron.exe [686248 2014-11-17] (Blacksun Software)

Nemam s temito SW zadne zkusenosti, ale jejich aktualizaci/reinstalem nic nezkazite. Dalsi malware ani nic podezreleho jiz v logu nevidim, takze jeste uklidime.

Stahnete a spustte DelFix - https://toolslib.net/downloads/viewdownload/2-delfix/
Oznacte jen moznost "Remove disinfection tools"
kliknete na Run

Vlakno necham odemcene pro pripad, ze byste prisel na zdroj techto problemu.

VIRY.CZ

Správce zakázal úpravy registrů

Re: Správce zakázal úpravy registrů

Re: Správce zakázal úpravy registrů

Re: Správce zakázal úpravy registrů

Re: Správce zakázal úpravy registrů

Re: Správce zakázal úpravy registrů

Re: Správce zakázal úpravy registrů

Re: Správce zakázal úpravy registrů

Re: Správce zakázal úpravy registrů