Odvirování PC, zrychlení počítače, vzdálená pomoc prostřednictvím služby neslape.cz

dotaz k ransomware

Patříte mezi Vzorné návštěvníky? Pak je tato sekce pro vás.

Moderátor: Moderátoři

Pravidla fóra
Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.
Zamčeno
Zpráva
Autor
dinospages
Vzorný návštěvník
Vzorný návštěvník
Příspěvky: 240
Registrován: 20 črc 2006 11:33

dotaz k ransomware

#1 Příspěvek od dinospages »

Ahoj rádci, v práci kolega otevřel přílohu .doc až pak si všiml že je z nějaké pofidérní adresy. Dokument byl prázdný. Ihned se odpojil ze sítě (LAN).

Nyní je PC offline a dělám hloubkový test pomocí AVG, zatím se nic nejeví, že by byl nějaký problém.

Sem píši jelikož v minulosti když jsem tu ještě nebyl tak otevřením přílohy ransomware zašifroval spoustu firemních dat a jen díky záloze to nebylo tak vážné.

Jak byste mi nyní doporučili postupovat.

Moc díky za brzkou odpověď Dino
_________________________________________________________________
RSIT | MWAV | CCleaner

Uživatelský avatar
JaRon
Moderátor
Moderátor
Příspěvky: 15191
Registrován: 29 bře 2005 13:39
Bydliště: BB-SK

Re: dotaz k ransomware

#2 Příspěvek od JaRon »

ahoj
jednorazovy AV scanner https://forum.viry.cz/viewtopic.php?f=29&t=152926 pouzi jeden zo stvorice
FRST |ADWCleaner |MBAM |CCleaner |AVPTool

V prípade spokojnosti je možné podporiť fórum
https://platba.viry.cz/payment/

dinospages
Vzorný návštěvník
Vzorný návštěvník
Příspěvky: 240
Registrován: 20 črc 2006 11:33

Re: dotaz k ransomware

#3 Příspěvek od dinospages »

placeny AVG nemate v doporuceni ani v jednom z bodu myslite ze to bude dostacujici FW windows + AVG placeny?

pri hloubkovem testu nic nezjistil
_________________________________________________________________
RSIT | MWAV | CCleaner

Uživatelský avatar
JaRon
Moderátor
Moderátor
Příspěvky: 15191
Registrován: 29 bře 2005 13:39
Bydliště: BB-SK

Re: dotaz k ransomware

#4 Příspěvek od JaRon »

prescanuj jednym z:
Cure IT!
Micro World eScan MWAV
Norton Power Eraser
AVP Tool

k AVG sa neviem zodpovedne vyjadrit, pred mnohými rokmi vedenie v byvalom zamestnani kupilo AVG
""vdaka"dobrej cene a bolo to obdobie hrozy :twisted:
FRST |ADWCleaner |MBAM |CCleaner |AVPTool

V prípade spokojnosti je možné podporiť fórum
https://platba.viry.cz/payment/

altrok
Moderátor
Moderátor
Příspěvky: 7257
Registrován: 15 lis 2012 22:26
Bydliště: Znojmo

Re: dotaz k ransomware

#5 Příspěvek od altrok »

Ahoj,

já bych zanalyzoval přílohu, což by díky určitým nástrojům mohl zvládnout i pokročilý uživatel. Takže se z webového rozhraní lognout na mail, stáhnout (ale nespouštět!) přílohu a podrobit ji buď vlastnímu testu v izolovaném prostředí nebo je velice šikovná služba https://any.run/ . Jedná se o interaktivní sandbox s předinstalovaným operačním systémem, který provede dynamickou analýzu (spustí uploadnutý soubor), takže pak můžeš vyčíst, jaké příkazy se provedly, co odkud stáhnul apod. Ve free verzi minutový test s předchystanými Win7 32 bit.

Případně přílohu uploadni třeba na leteckaposta.cz a link mi hoď do mailu.

Většinou onen word dokument stáhne droppera havěti, který je následně spuštěn. Pokud byl PC rychle odpojen ze sítě (LAN i WAN)/vypnut, nemusel by malware ještě zcela "propuknout" - takže po jaké době byl vypnut?

Používám podobný postup jako součást zvyšování bezpečnostního povědomí v pár menších firmách (analýza přílohy mailu, který opravdu některému zaměstnanci přišel, jak vypadá, když soubor spustí a vysvětluju, jak se zachovat apod.).

Určitě by nám pomohly i logy z FRST z nouzáku/flashky https://forum.viry.cz/viewtopic.php?f=24&t=130783
Pokud je cokoliv nejasného, ihned se ptej.
V případě spokojenosti prosím podpořte forum.
Pro dotazy, které se nehodí na forum, je možné využít altrokzavináčforum.viry.cz
Máš-li chuť pomáhat návštěvníkům tohoto fora, přihlas se do naší školičky.

dinospages
Vzorný návštěvník
Vzorný návštěvník
Příspěvky: 240
Registrován: 20 črc 2006 11:33

Re: dotaz k ransomware

#6 Příspěvek od dinospages »

Díky za návody:

1. PC odpojeno od sítě ihned po otevření wordu a zjištění že je prázdný.

2. zasílám log z FRST

3. vyzkouším jak programy co radil kolega, tak uploadnu soubor a zaslu Vám ho do mailu, dívám se i na to any.run.

Před tím než začnu cokoli se souborem dělat, stáhnutí nevadí? spuštění je až problém?


LOG
Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version: 02-02-2020 02
Ran by Pavel Hanč (administrator) on HANC (LENOVO 20C600HUMC) (12-02-2020 07:38:50)
Running from F:\
Loaded Profiles: Pavel Hanč (Available Profiles: Pavel Hanč)
Platform: Windows 8.1 (Update) (X64) Language: Čeština (Česká republika)
Default browser: FF
Boot Mode: Safe Mode (minimal)
Tutorial for Farbar Recovery Scan Tool: http://www.geekstogo.com/forum/topic/33 ... scan-tool/

==================== Processes (Whitelisted) =================

(If an entry is included in the fixlist, the process will be closed. The file will not be moved.)

(Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\cmd.exe

==================== Registry (Whitelisted) ===================

(If an entry is included in the fixlist, the registry item will be restored to default or removed. The file will not be moved.)

HKLM\...\Run: [AVGUI.exe] => C:\Program Files\AVG\Antivirus\AvLaunch.exe [316336 2019-10-03] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
HKLM-x32\...\Run: [seznam-listicka-distribuce] => C:\Program Files (x86)\Seznam.cz\distribution\szninstall.exe [1069296 2018-03-27] (Seznam.cz, a.s. -> )
HKU\S-1-5-21-64860685-2869775881-799778158-1001\...\Run: [CCleaner Smart Cleaning] => C:\Program Files\CCleaner\CCleaner64.exe [18630056 2018-09-11] (Piriform Ltd -> Piriform Ltd)
HKU\S-1-5-21-64860685-2869775881-799778158-1001\...\Run: [cz.seznam.software.autoupdate] => C:\Users\Pavel Hanč\AppData\Roaming\Seznam.cz\szninstall.exe [1069296 2018-03-27] (Seznam.cz, a.s. -> )
HKU\S-1-5-21-64860685-2869775881-799778158-1001\...\Run: [cz.seznam.software.szndesktop] => C:\Users\Pavel Hanč\AppData\Roaming\Seznam.cz\bin\wszndesktop.exe [109808 2018-03-27] (Seznam.cz, a.s. -> )
HKU\S-1-5-21-64860685-2869775881-799778158-1001\...\MountPoints2: {45f74f2d-5cec-11e9-828c-9bfa0f603d3d} - "F:\HiSuiteDownLoader.exe"
HKLM\Software\Microsoft\Active Setup\Installed Components: [{8A69D345-D564-463c-AFF1-A69D9E530F96}] -> "C:\Program Files (x86)\Google\Chrome\Application\63.0.3239.132\Installer\chrmstp.exe" --configure-user-settings --verbose-logging --system-level
HKLM\Software\Wow6432Node\Microsoft\Active Setup\Installed Components: [{8A69D345-D564-463c-AFF1-A69D9E530F96}] -> "C:\Program Files (x86)\Google\Chrome\Application\57.0.2987.133\Installer\chrmstp.exe" --configure-user-settings --verbose-logging --system-level
HKLM\Software\Wow6432Node\Microsoft\Active Setup\Installed Components: [{A6EADE66-0000-0000-484E-7E8A45000000}] -> C:\Program Files (x86)\Adobe\Acrobat Reader DC\Esl\AiodLite.dll [2019-05-03] (Adobe Inc. -> Adobe Systems, Inc.)
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION

==================== Scheduled Tasks (Whitelisted) ============

(If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)

Task: {09BA02F9-551C-41E9-BC02-A0AFFA8A1096} - System32\Tasks\AVG\Overseer => C:\Program Files\Common Files\AVG\Overseer\overseer.exe [1905072 2019-09-19] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
Task: {60837E04-A74F-4106-8531-B6E6A0D797A6} - System32\Tasks\Antivirus Emergency Update => C:\Program Files\AVG\Antivirus\AvEmUpdate.exe [3990448 2019-10-03] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
Task: {C4EFF80F-9F4B-4D85-867E-1C1FE5674E4F} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [1240656 2019-09-10] (Adobe Inc. -> Adobe Systems)
Task: {CE7306A2-844E-480E-BA66-7CF6BB73365B} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [13797712 2018-09-11] (Piriform Ltd -> Piriform Ltd)
Task: {DF4BB8D6-D28E-4D24-BF6F-ECE960BEEF50} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe [619416 2019-02-05] (Piriform Software Ltd -> Piriform Software Ltd)

(If an entry is included in the fixlist, the task (.job) file will be moved. The file which is running by the task will not be moved.)


==================== Internet (Whitelisted) ====================

(If an item is included in the fixlist, if it is a registry item it will be removed or restored to default.)

Tcpip\..\Interfaces\{A0015ECF-E39D-4A52-84E4-754A9871A794}: [NameServer] 192.168.0.254,8.8.8.8
HKLM\System\...\Parameters\PersistentRoutes: [0.0.0.0,0.0.0.0,192.168.0.254,-1]

Internet Explorer:
==================

FireFox:
========
FF DefaultProfile: rpd6yk04.default
FF ProfilePath: C:\Users\Pavel Hanč\AppData\Roaming\Mozilla\Firefox\Profiles\rpd6yk04.default [2020-02-12]
FF NewTabOverride: Mozilla\Firefox\Profiles\rpd6yk04.default -> Enabled: {ea614400-e918-4741-9a97-7a972ff7c30b}
FF Extension: (Seznam doplněk - Esko) - C:\Users\Pavel Hanč\AppData\Roaming\Mozilla\Firefox\Profiles\rpd6yk04.default\Extensions\sko-extension@firma.seznam.cz.xpi [2020-01-29]
FF Extension: (Seznam doplněk - Email) - C:\Users\Pavel Hanč\AppData\Roaming\Mozilla\Firefox\Profiles\rpd6yk04.default\Extensions\{ea614400-e918-4741-9a97-7a972ff7c30b} [2019-08-02]
FF Extension: (Seznam doplněk - Email) - C:\Users\Pavel Hanč\AppData\Roaming\Mozilla\Firefox\Profiles\rpd6yk04.default\Extensions\{ea614400-e918-4741-9a97-7a972ff7c30b}.xpi [2018-11-26]
FF Plugin-x32: @videolan.org/vlc,version=2.2.4 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [2017-05-24] (VideoLAN -> VideoLAN)
FF Plugin-x32: @videolan.org/vlc,version=2.2.6 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [2017-05-24] (VideoLAN -> VideoLAN)
FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\AIR\nppdf32.dll [2019-12-02] (Adobe Inc. -> Adobe Systems Inc.)

Chrome:
=======
CHR Profile: C:\Users\Pavel Hanč\AppData\Local\Google\Chrome\User Data\Default [2018-02-06]
CHR Extension: (Prezentace) - C:\Users\Pavel Hanč\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2017-11-11]
CHR Extension: (Dokumenty) - C:\Users\Pavel Hanč\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2017-11-11]
CHR Extension: (Disk Google) - C:\Users\Pavel Hanč\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2017-04-10]
CHR Extension: (YouTube) - C:\Users\Pavel Hanč\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2017-04-10]
CHR Extension: (Adobe Acrobat) - C:\Users\Pavel Hanč\AppData\Local\Google\Chrome\User Data\Default\Extensions\efaidnbmnnnibpcajpcglclefindmkaj [2017-05-18]
CHR Extension: (Tabulky) - C:\Users\Pavel Hanč\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2017-11-11]
CHR Extension: (Dokumenty Google offline) - C:\Users\Pavel Hanč\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2017-04-11]
CHR Extension: (Platby Internetového obchodu Chrome) - C:\Users\Pavel Hanč\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2017-09-21]
CHR Extension: (Gmail) - C:\Users\Pavel Hanč\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2017-04-10]
CHR Extension: (Chrome Media Router) - C:\Users\Pavel Hanč\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2018-01-10]
CHR HKU\S-1-5-21-64860685-2869775881-799778158-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]

==================== Services (Whitelisted) ===================

(If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)

S2 AVG Antivirus; C:\Program Files\AVG\Antivirus\AVGSvc.exe [405120 2019-10-03] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
S2 AVG Firewall; C:\Program Files\AVG\Antivirus\afwServ.exe [416624 2019-10-03] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
S2 avgAdminClient; C:\Program Files\AVG\Antivirus\avgAdminClientService.exe [87728 2019-10-03] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
S3 avgbIDSAgent; C:\Program Files\AVG\Antivirus\aswidsagent.exe [6023528 2019-10-03] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
S2 igfxCUIService1.0.0.0; C:\Windows\system32\igfxCUIService.exe [355232 2015-08-09] (Intel Corporation - pGFX -> Intel Corporation)
S2 LPlatSvc; C:\Windows\system32\LPlatSvc.exe [711256 2016-11-01] (Lenovo -> Lenovo.)
S2 ss_conn_service; C:\Program Files\Samsung\USB Drivers\27_ssconn\conn\ss_conn_service.exe [752224 2017-01-16] (Samsung Electronics CO., LTD. -> DEVGURU Co., LTD.)
S3 WdNisSvc; C:\Program Files\Windows Defender\NisSrv.exe [361824 2017-01-12] (Microsoft Corporation -> Microsoft Corporation)
S3 WinDefend; C:\Program Files\Windows Defender\MsMpEng.exe [119872 2017-01-12] (Microsoft Corporation -> Microsoft Corporation)

===================== Drivers (Whitelisted) ===================

(If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)

S1 avgArPot; C:\Windows\System32\drivers\avgArPot.sys [209816 2019-10-03] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
S1 avgbdisk; C:\Windows\System32\drivers\avgbdisk.sys [174968 2019-10-03] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
S1 avgbidsdriver; C:\Windows\System32\drivers\avgbidsdriver.sys [263784 2019-10-03] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
S0 avgbidsh; C:\Windows\System32\drivers\avgbidsh.sys [206624 2019-10-03] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
S0 avgbuniv; C:\Windows\System32\drivers\avgbuniv.sys [61736 2019-10-03] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
R1 avgKbd; C:\Windows\System32\drivers\avgKbd.sys [42552 2019-10-03] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
S2 avgMonFlt; C:\Windows\System32\drivers\avgMonFlt.sys [169672 2019-10-03] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
S1 avgNetSec; C:\Windows\System32\drivers\avgNetSec.sys [553104 2019-10-03] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
S1 avgRdr; C:\Windows\System32\drivers\avgRdr2.sys [112576 2019-10-03] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
S0 avgRvrt; C:\Windows\System32\drivers\avgRvrt.sys [88200 2019-10-03] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
S1 avgSnx; C:\Windows\System32\drivers\avgSnx.sys [1031048 2019-10-03] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
S1 avgSP; C:\Windows\System32\drivers\avgSP.sys [478144 2019-10-03] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
S2 avgStm; C:\Windows\System32\drivers\avgStm.sys [236288 2019-10-03] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
S0 avgVmm; C:\Windows\System32\drivers\avgVmm.sys [387440 2019-10-03] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
S3 bcmfn2; C:\Windows\System32\drivers\bcmfn2.sys [17624 2013-08-13] (Broadcom Corporation -> Windows (R) Win 7 DDK provider)
S3 dg_ssudbus; C:\Windows\system32\DRIVERS\ssudbus.sys [136040 2019-09-26] (Samsung Electronics Co., Ltd. -> Samsung Electronics Co., Ltd.)
S3 NETwNb64; C:\Windows\system32\DRIVERS\NETwbw02.sys [3589600 2013-09-25] (Intel Corporation-Mobile Wireless Group -> Intel Corporation)
S3 NETwNe64; C:\Windows\system32\DRIVERS\NETwew02.sys [4649440 2013-06-18] (Intel Corporation-Mobile Wireless Group -> Intel Corporation)
S3 RTL8168; C:\Windows\system32\DRIVERS\Rt630x64.sys [591360 2013-06-18] (Microsoft Windows -> Realtek )
S3 ssudmdm; C:\Windows\system32\DRIVERS\ssudmdm.sys [166760 2019-09-26] (Samsung Electronics Co., Ltd. -> Samsung Electronics Co., Ltd.)
S3 WdBoot; C:\Windows\system32\drivers\WdBoot.sys [46600 2017-02-10] (Microsoft Windows Early Launch Anti-malware Publisher -> Microsoft Corporation)
S3 WdFilter; C:\Windows\system32\drivers\WdFilter.sys [274776 2017-01-12] (Microsoft Windows -> Microsoft Corporation)
S3 wdm_usb; C:\Windows\system32\DRIVERS\usb2ser.sys [159936 2016-08-16] (NGO -> MBB)
S3 WdNisDrv; C:\Windows\System32\Drivers\WdNisDrv.sys [117592 2017-01-12] (Microsoft Windows -> Microsoft Corporation)

==================== NetSvcs (Whitelisted) ===================

(If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)


==================== One month (created) ===================

(If an entry is included in the fixlist, the file/folder will be moved.)

2020-02-12 07:38 - 2020-02-12 07:39 - 000000000 ____D C:\FRST
2020-02-12 07:34 - 2020-02-12 07:39 - 000189040 _____ C:\Windows\ntbtlog.txt
2020-02-12 07:28 - 2020-02-12 07:28 - 000000000 ____D C:\Windows\pss
2020-02-03 13:49 - 2018-02-14 07:25 - 000817937 _____ C:\Users\Pavel Hanč\Documents\školení řidičů profi.odt
2020-01-30 14:21 - 2020-01-30 14:22 - 000000000 ____D C:\Users\Pavel Hanč\Desktop\Emuge dílna údržby
2020-01-29 06:31 - 2020-01-29 06:32 - 000000000 ____D C:\Users\Pavel Hanč\Desktop\Harachov vánoční motivy fotky
2020-01-23 15:27 - 2020-01-23 16:34 - 000000000 ____D C:\Users\Pavel Hanč\Desktop\Macoun Rodnice hromosvod
2020-01-23 15:06 - 2020-01-30 14:02 - 000000000 ____D C:\Program Files\Mozilla Firefox
2020-01-15 06:38 - 2020-01-03 08:39 - 001541144 _____ (Microsoft Corporation) C:\Windows\system32\user32.dll
2020-01-15 06:38 - 2020-01-03 08:39 - 000642488 _____ (Microsoft Corporation) C:\Windows\system32\twinapi.appcore.dll
2020-01-15 06:38 - 2020-01-03 07:55 - 000493944 _____ (Microsoft Corporation) C:\Windows\SysWOW64\twinapi.appcore.dll
2020-01-15 06:38 - 2020-01-03 05:02 - 000362496 _____ (Microsoft Corporation) C:\Windows\system32\conhost.exe
2020-01-15 06:38 - 2020-01-03 04:52 - 001377280 _____ (Microsoft Corporation) C:\Windows\SysWOW64\user32.dll
2020-01-15 06:38 - 2019-12-17 03:39 - 025754624 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2020-01-15 06:38 - 2019-12-17 02:04 - 000580096 _____ (Microsoft Corporation) C:\Windows\system32\vbscript.dll
2020-01-15 06:38 - 2019-12-17 01:53 - 005500928 _____ (Microsoft Corporation) C:\Windows\system32\jscript9.dll
2020-01-15 06:38 - 2019-12-17 01:52 - 020290048 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2020-01-15 06:38 - 2019-12-17 01:52 - 000797184 _____ (Microsoft Corporation) C:\Windows\system32\jscript.dll
2020-01-15 06:38 - 2019-12-17 01:37 - 000496640 _____ (Microsoft Corporation) C:\Windows\SysWOW64\vbscript.dll
2020-01-15 06:38 - 2019-12-17 01:27 - 000662528 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript.dll
2020-01-15 06:38 - 2019-12-17 01:24 - 001033216 _____ (Microsoft Corporation) C:\Windows\system32\inetcomm.dll
2020-01-15 06:38 - 2019-12-17 01:16 - 000809472 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2020-01-15 06:38 - 2019-12-17 01:14 - 015445504 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2020-01-15 06:38 - 2019-12-17 01:06 - 000880640 _____ (Microsoft Corporation) C:\Windows\SysWOW64\inetcomm.dll
2020-01-15 06:38 - 2019-12-17 01:04 - 004859392 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2020-01-15 06:38 - 2019-12-17 01:03 - 004112384 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll
2020-01-15 06:38 - 2019-12-17 01:01 - 000696320 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll
2020-01-15 06:38 - 2019-12-17 00:56 - 013838336 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2020-01-15 06:38 - 2019-12-17 00:52 - 001566720 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2020-01-15 06:38 - 2019-12-17 00:43 - 004387840 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll
2020-01-15 06:38 - 2019-12-17 00:41 - 000800768 _____ (Microsoft Corporation) C:\Windows\system32\ieapfltr.dll
2020-01-15 06:38 - 2019-12-17 00:39 - 001331712 _____ (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2020-01-15 06:38 - 2019-12-17 00:38 - 000710144 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieapfltr.dll
2020-01-15 06:38 - 2019-12-13 22:32 - 000121856 _____ (Microsoft Corporation) C:\Windows\system32\cryptcatsvc.dll
2020-01-15 06:38 - 2019-12-13 19:35 - 001317376 _____ (Microsoft Corporation) C:\Windows\system32\Windows.Media.Streaming.dll
2020-01-15 06:38 - 2019-12-13 19:28 - 000289792 _____ (Microsoft Corporation) C:\Windows\system32\PlayToDevice.dll
2020-01-15 06:38 - 2019-12-13 18:49 - 001103360 _____ (Microsoft Corporation) C:\Windows\SysWOW64\Windows.Media.Streaming.dll
2020-01-15 06:38 - 2019-12-13 18:45 - 000215552 _____ (Microsoft Corporation) C:\Windows\SysWOW64\PlayToDevice.dll
2020-01-15 06:38 - 2019-12-12 08:10 - 001756672 _____ (Microsoft Corporation) C:\Windows\system32\GdiPlus.dll
2020-01-15 06:38 - 2019-12-12 07:49 - 001492992 _____ (Microsoft Corporation) C:\Windows\SysWOW64\GdiPlus.dll
2020-01-15 06:38 - 2019-12-09 21:46 - 000376568 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\clfs.sys
2020-01-15 06:38 - 2019-12-07 19:00 - 004168704 _____ (Microsoft Corporation) C:\Windows\system32\win32k.sys
2020-01-15 06:38 - 2019-12-07 02:09 - 000427824 _____ (Microsoft Corporation) C:\Windows\system32\tsmf.dll
2020-01-15 06:38 - 2019-12-07 00:39 - 000367936 _____ (Microsoft Corporation) C:\Windows\SysWOW64\tsmf.dll
2020-01-15 06:38 - 2019-12-06 22:19 - 006218240 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mstscax.dll
2020-01-15 06:38 - 2019-12-06 22:15 - 007037440 _____ (Microsoft Corporation) C:\Windows\system32\mstscax.dll
2020-01-15 06:38 - 2019-12-05 15:55 - 000679424 _____ (Microsoft Corporation) C:\Windows\system32\wiaaut.dll
2020-01-15 06:38 - 2019-12-05 15:55 - 000671232 _____ (Microsoft Corporation) C:\Windows\system32\wiaservc.dll
2020-01-15 06:38 - 2019-12-05 15:55 - 000322560 _____ (Microsoft Corporation) C:\Windows\system32\sti.dll
2020-01-15 06:38 - 2019-12-05 15:55 - 000141312 _____ (Microsoft Corporation) C:\Windows\system32\sti_ci.dll
2020-01-15 06:38 - 2019-12-05 15:55 - 000140800 _____ (Microsoft Corporation) C:\Windows\system32\wiadss.dll
2020-01-15 06:38 - 2019-12-05 15:55 - 000068608 _____ (Microsoft Corporation) C:\Windows\system32\wiarpc.dll
2020-01-15 06:38 - 2019-12-05 15:53 - 000580096 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wiaaut.dll
2020-01-15 06:38 - 2019-12-05 15:53 - 000236032 _____ (Microsoft Corporation) C:\Windows\SysWOW64\sti.dll
2020-01-15 06:38 - 2019-12-05 15:53 - 000117248 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wiadss.dll
2020-01-15 06:38 - 2019-12-01 08:10 - 000337408 _____ (Microsoft Corporation) C:\Windows\system32\SearchProtocolHost.exe
2020-01-15 06:38 - 2019-12-01 08:08 - 000468992 _____ (Microsoft Corporation) C:\Windows\system32\mssph.dll
2020-01-15 06:38 - 2019-12-01 08:07 - 000248832 _____ (Microsoft Corporation) C:\Windows\system32\mssphtb.dll
2020-01-15 06:38 - 2019-12-01 07:59 - 000774144 _____ (Microsoft Corporation) C:\Windows\system32\mssvp.dll
2020-01-15 06:38 - 2019-12-01 07:46 - 003631616 _____ (Microsoft Corporation) C:\Windows\system32\tquery.dll
2020-01-15 06:38 - 2019-12-01 07:40 - 000391680 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mssph.dll
2020-01-15 06:38 - 2019-12-01 07:40 - 000272896 _____ (Microsoft Corporation) C:\Windows\SysWOW64\SearchProtocolHost.exe
2020-01-15 06:38 - 2019-12-01 07:37 - 002750464 _____ (Microsoft Corporation) C:\Windows\SysWOW64\tquery.dll
2020-01-15 06:38 - 2019-12-01 07:35 - 000699392 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mssvp.dll
2020-01-15 06:38 - 2019-12-01 07:32 - 000750080 _____ (Microsoft Corporation) C:\Windows\system32\StructuredQuery.dll
2020-01-15 06:38 - 2019-12-01 07:21 - 000904192 _____ (Microsoft Corporation) C:\Windows\system32\SearchIndexer.exe
2020-01-15 06:38 - 2019-12-01 07:19 - 002551808 _____ (Microsoft Corporation) C:\Windows\system32\mssrch.dll
2020-01-15 06:38 - 2019-12-01 07:15 - 000504832 _____ (Microsoft Corporation) C:\Windows\SysWOW64\StructuredQuery.dll
2020-01-15 06:38 - 2019-12-01 07:08 - 001920000 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mssrch.dll
2020-01-15 06:38 - 2019-12-01 07:08 - 000710656 _____ (Microsoft Corporation) C:\Windows\SysWOW64\SearchIndexer.exe
2020-01-13 09:00 - 2020-01-13 09:34 - 000000000 ____D C:\Users\Pavel Hanč\Desktop\Šír Benecko CK Villa

==================== One month (modified) ==================

(If an entry is included in the fixlist, the file/folder will be moved.)

2020-02-12 07:33 - 2013-08-22 15:45 - 000000006 ____H C:\Windows\Tasks\SA.DAT
2020-02-12 07:32 - 2017-04-11 06:17 - 000000000 __SHD C:\Users\Pavel Hanč\IntelGraphicsProfiles
2020-02-12 07:32 - 2013-08-22 14:36 - 000000000 ____D C:\Windows\Inf
2020-02-12 07:27 - 2014-11-21 05:53 - 001658450 _____ C:\Windows\system32\PerfStringBackup.INI
2020-02-12 07:27 - 2014-11-21 05:10 - 000705506 _____ C:\Windows\system32\perfh005.dat
2020-02-12 07:27 - 2014-11-21 05:10 - 000143830 _____ C:\Windows\system32\perfc005.dat
2020-02-12 07:26 - 2018-06-12 13:15 - 000004162 _____ C:\Windows\system32\Tasks\Antivirus Emergency Update
2020-02-12 07:20 - 2013-08-22 14:25 - 000262144 ___SH C:\Windows\system32\config\BBI
2020-02-12 06:32 - 2019-08-02 14:11 - 000000000 ____D C:\Users\Pavel Hanč\AppData\Roaming\Seznam.cz
2020-02-11 15:03 - 2019-04-17 08:11 - 000000000 ____D C:\Users\Pavel Hanč\Desktop\VDJ Ohrazenice svítidla
2020-02-11 14:36 - 2018-02-06 14:35 - 000004128 _____ C:\Windows\system32\Tasks\CCleaner Update
2020-02-11 09:12 - 2017-04-10 19:53 - 000000000 ____D C:\Users\Pavel Hanč\AppData\LocalLow\Mozilla
2020-02-10 12:15 - 2019-01-17 12:19 - 000000000 ____D C:\Users\Pavel Hanč\AppData\Local\myWAC
2020-02-10 12:15 - 2019-01-17 12:19 - 000000000 ____D C:\Program Files (x86)\myWAC
2020-02-06 12:08 - 2019-04-29 12:32 - 000000000 ____D C:\Users\Pavel Hanč\Desktop\Guičová Rokytnice
2020-02-06 07:45 - 2019-04-18 06:17 - 000000000 ____D C:\Users\Pavel Hanč\Desktop\Severočeské komunál služby
2020-02-04 06:44 - 2019-01-07 15:18 - 000000000 ____D C:\Users\Pavel Hanč\AppData\Local\CrashDumps
2020-02-03 08:29 - 2018-02-05 10:32 - 000000000 ____D C:\Users\Pavel Hanč\Desktop\Omexom
2020-01-30 14:08 - 2017-04-11 06:56 - 000001714 _____ C:\Users\Pavel Hanč\Desktop\backup+scan.lnk
2020-01-30 14:02 - 2017-04-10 19:53 - 000000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2020-01-27 15:18 - 2019-05-21 05:03 - 000000000 ____D C:\Users\Pavel Hanč\Desktop\Emuge Lomnice nad Popelkou
2020-01-24 06:40 - 2017-04-10 19:04 - 000003594 _____ C:\Windows\system32\Tasks\Optimize Start Menu Cache Files-S-1-5-21-64860685-2869775881-799778158-1001
2020-01-23 16:29 - 2019-03-14 14:34 - 000000000 ____D C:\Users\Pavel Hanč\Desktop\Lomnice np
2020-01-23 16:15 - 2018-01-30 08:34 - 000000948 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefox.lnk
2020-01-16 07:19 - 2013-08-22 16:36 - 000000000 ____D C:\Windows\rescache
2020-01-16 06:27 - 2013-08-22 15:44 - 000411496 _____ C:\Windows\system32\FNTCACHE.DAT
2020-01-15 06:50 - 2013-08-22 16:20 - 000000000 ____D C:\Windows\CbsTemp
2020-01-15 06:49 - 2017-04-20 12:38 - 000000000 ____D C:\Windows\system32\MRT
2020-01-15 06:46 - 2017-04-20 12:38 - 120202352 ____C (Microsoft Corporation) C:\Windows\system32\MRT.exe

==================== SigCheck ============================

(There is no automatic fix for files that do not pass verification.)


LastRegBack: 2020-02-06 06:40
==================== End of FRST.txt ========================
_________________________________________________________________
RSIT | MWAV | CCleaner

dinospages
Vzorný návštěvník
Vzorný návštěvník
Příspěvky: 240
Registrován: 20 črc 2006 11:33

Re: dotaz k ransomware

#7 Příspěvek od dinospages »

Additional scan result of Farbar Recovery Scan Tool (x64) Version: 02-02-2020 02
Ran by Pavel Hanč (12-02-2020 07:40:38)
Running from F:\
Windows 8.1 (Update) (X64) (2017-04-10 17:59:08)
Boot Mode: Safe Mode (minimal)
==========================================================


==================== Accounts: =============================

Administrator (S-1-5-21-64860685-2869775881-799778158-500 - Administrator - Disabled)
Guest (S-1-5-21-64860685-2869775881-799778158-501 - Limited - Disabled)
Pavel Hanč (S-1-5-21-64860685-2869775881-799778158-1001 - Administrator - Enabled) => C:\Users\Pavel Hanč

==================== Security Center ========================

(If an entry is included in the fixlist, it will be removed.)

AV: Windows Defender (Disabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AV: AVG Antivirus (Enabled - Up to date) {4FC75CA5-1654-5411-7CFB-1893D506BCF4}
AS: Windows Defender (Disabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: AVG Antivirus (Enabled - Up to date) {F4A6BD41-306E-5B9F-464B-23E1AE81F649}
FW: AVG Antivirus (Enabled) {77FCDD80-5C3B-5549-57A4-B1A62BD5FB8F}

==================== Installed Programs ======================

(Only the adware programs with "Hidden" flag could be added to the fixlist to unhide them. The adware programs should be uninstalled manually.)

Adobe Acrobat Reader DC - Czech (HKLM-x32\...\{AC76BA86-7AD7-1029-7B44-AC0F074E4100}) (Version: 19.021.20061 - Adobe Systems Incorporated)
AVG Business Security (HKLM-x32\...\AVG Antivirus) (Version: 19.7.3103 - AVG Technologies)
AVG Protection (HKLM\...\AVG) (Version: 2016.151.8013 - AVG Technologies)
CCleaner (HKLM\...\CCleaner) (Version: 5.46 - Piriform)
Intel(R) Processor Graphics (HKLM-x32\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 10.18.14.4264 - Intel Corporation)
Lenovo Power Management Driver (HKLM\...\Power Management Driver) (Version: 1.67.12.19 - Lenovo) Hidden
LibreOffice 5.3.2.2 (HKLM\...\{682C33C0-5D61-48F0-B0A2-1A504F4C5905}) (Version: 5.3.2.2 - The Document Foundation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (HKLM-x32\...\{9A25302D-30C0-39D9-BD6F-21E6EC160475}) (Version: 9.0.30729 - Microsoft Corporation)
Mozilla Firefox 72.0.2 (x64 cs) (HKLM\...\Mozilla Firefox 72.0.2 (x64 cs)) (Version: 72.0.2 - Mozilla)
Mozilla Maintenance Service (HKLM\...\MozillaMaintenanceService) (Version: 58.0 - Mozilla)
Mozilla Thunderbird 60.9.1 (x86 cs) (HKLM-x32\...\Mozilla Thunderbird 60.9.1 (x86 cs)) (Version: 60.9.1 - Mozilla)
myWAC (HKLM-x32\...\{76608CC7-EFEB-4470-BE2E-C0096CD41AC7}) (Version: 5.1.159.592 - myWAC TECHNOLOGIES s.r.o.) Hidden
myWAC (HKLM-x32\...\myWAC 5.1.159.592) (Version: 5.1.159.592 - myWAC TECHNOLOGIES s.r.o.)
PNG PSD Viewer (HKLM-x32\...\PNG PSD Viewer1.0) (Version: 1.0 - Wenovo.com)
Prohlížeč Seznam.cz (HKU\S-1-5-21-64860685-2869775881-799778158-1001\...\Seznam Browser) (Version: 4.3.0 - Seznam.cz a.s.)
Samsung Kies3 (HKLM-x32\...\{88547073-C566-4895-9005-EBE98EA3F7C7}) (Version: 3.2.16084.2 - Samsung Electronics Co., Ltd.) Hidden
Samsung Kies3 (HKLM-x32\...\InstallShield_{88547073-C566-4895-9005-EBE98EA3F7C7}) (Version: 3.2.16084.2 - Samsung Electronics Co., Ltd.)
Samsung Printer Live Update (HKLM-x32\...\Samsung Printer Live Update) (Version: 1.01.00:04(2013-04-22) - Samsung Electronics Co., Ltd.)
Samsung USB Driver for Mobile Phones (HKLM\...\{D0795B21-0CDA-4a92-AB9E-6E92D8111E44}) (Version: 1.5.63.0 - Samsung Electronics Co., Ltd.)
Seznam Software (HKU\S-1-5-21-64860685-2869775881-799778158-1001\...\SeznamInstall) (Version: 2.1.32 - Seznam.cz)
Smart Switch (HKLM-x32\...\{74FA5314-85C8-4E2A-907D-D9ECCCB770A7}) (Version: 4.2.18014.6 - Samsung Electronics Co., Ltd.) Hidden
Smart Switch (HKLM-x32\...\InstallShield_{74FA5314-85C8-4E2A-907D-D9ECCCB770A7}) (Version: 4.2.18014.6 - Samsung Electronics Co., Ltd.)
Visual Studio 2012 x64 Redistributables (HKLM\...\{8C775E70-A791-4DA8-BCC3-6AB7136F4484}) (Version: 14.0.0.1 - AVG Technologies)
Visual Studio 2012 x86 Redistributables (HKLM-x32\...\{98EFF19A-30AB-4E4B-B943-F06B1C63EBF8}) (Version: 14.0.0.1 - AVG Technologies CZ, s.r.o.)
VLC media player (HKLM-x32\...\VLC media player) (Version: 2.2.6 - VideoLAN)
WinRAR 5.40 (64-bit) (HKLM\...\WinRAR archiver) (Version: 5.40.0 - win.rar GmbH)

Packages:
=========
Frameworkuapbase -> C:\Program Files\WindowsApps\48682KiddoTest.Frameworkuapbase_1.0.0.2_neutral__81ffpr532s7pc [2017-09-13] (KiddoTest)
Hry -> C:\Program Files\WindowsApps\Microsoft.XboxLIVEGames_2.0.139.0_x64__8wekyb3d8bbwe [2017-04-21] (Microsoft Corporation) [MS Ad]
Hudba -> C:\Program Files\WindowsApps\Microsoft.ZuneMusic_2.6.320.0_x64__8wekyb3d8bbwe [2017-04-21] (Microsoft Corporation) [MS Ad]
Kinect for Windows Framework -> C:\Program Files\WindowsApps\Microsoft.WindowsPreview.Kinect.8.0_2.0.1410.19000_x64__8wekyb3d8bbwe [2017-09-13] (Microsoft Corporation)
Kinect for Windows Framework -> C:\Program Files\WindowsApps\Microsoft.WindowsPreview.Kinect.8.0_2.0.1410.19000_x86__8wekyb3d8bbwe [2017-09-13] (Microsoft Corporation)
Kinect for Windows Framework -> C:\Program Files\WindowsApps\Microsoft.WindowsPreview.Kinect.8.1_2.0.1410.19000_x64__8wekyb3d8bbwe [2017-09-13] (Microsoft Corporation)
Kinect for Windows Framework -> C:\Program Files\WindowsApps\Microsoft.WindowsPreview.Kinect.8.1_2.0.1410.19000_x86__8wekyb3d8bbwe [2017-09-13] (Microsoft Corporation)
Knihovna Microsoft Windows pro jazyk JavaScript -> C:\Program Files\WindowsApps\Microsoft.WinJS.2.0.Preview_1.0.9431.0_neutral__8wekyb3d8bbwe [2017-09-13] (Rozšíření Microsoft Platform)
Knihovna Microsoft Windows pro jazyk JavaScript -> C:\Program Files\WindowsApps\Microsoft.WinJS.Preview.1_1.0.9345.0_neutral__8wekyb3d8bbwe [2017-09-13] (Microsoft Platform Extensions)
Microsoft PlayReady -> C:\Program Files\WindowsApps\Microsoft.Internal.Media.PlayReadyClient_2.3.1678.1_x64__8wekyb3d8bbwe [2017-09-13] (Microsoft Corporation)
Microsoft PlayReady -> C:\Program Files\WindowsApps\Microsoft.Internal.Media.PlayReadyClient_2.3.1678.1_x86__8wekyb3d8bbwe [2017-09-13] (Microsoft Corporation)
Microsoft Visual C++ Runtime Package -> C:\Program Files\WindowsApps\Microsoft.VCLibs.120.00.Preview.Internal_12.0.20222.2_x64__8wekyb3d8bbwe [2017-09-13] (Microsoft Platform Extensions Internal)
Microsoft Visual C++ Runtime Package -> C:\Program Files\WindowsApps\Microsoft.VCLibs.120.00.Preview.Internal_12.0.20222.2_x86__8wekyb3d8bbwe [2017-09-13] (Microsoft Platform Extensions Internal)
Microsoft Windows Library for JavaScript -> C:\Program Files\WindowsApps\Microsoft.WinJS.2.0.Preview.Internal_1.0.9385.3_neutral__8wekyb3d8bbwe [2017-09-13] (Microsoft Platform Extensions)
MSN Cestování -> C:\Program Files\WindowsApps\Microsoft.BingTravel_3.0.4.212_x64__8wekyb3d8bbwe [2017-04-21] (Microsoft Corporation) [MS Ad]
MSN Finance -> C:\Program Files\WindowsApps\Microsoft.BingFinance_3.0.4.212_x64__8wekyb3d8bbwe [2017-04-21] (Microsoft Corporation) [MS Ad]
MSN Gurmánský svět -> C:\Program Files\WindowsApps\Microsoft.BingFoodAndDrink_3.0.4.212_x64__8wekyb3d8bbwe [2017-04-21] (Microsoft Corporation) [MS Ad]
MSN Počasí -> C:\Program Files\WindowsApps\Microsoft.BingWeather_3.0.4.214_x64__8wekyb3d8bbwe [2017-04-21] (Microsoft Corporation) [MS Ad]
MSN Sport -> C:\Program Files\WindowsApps\Microsoft.BingSports_3.0.4.212_x64__8wekyb3d8bbwe [2017-04-21] (Microsoft Corporation) [MS Ad]
MSN Zdraví a fitness -> C:\Program Files\WindowsApps\Microsoft.BingHealthAndFitness_3.0.4.212_x64__8wekyb3d8bbwe [2017-04-21] (Microsoft Corporation) [MS Ad]
MSN Zprávy -> C:\Program Files\WindowsApps\Microsoft.BingNews_3.0.4.213_x64__8wekyb3d8bbwe [2017-04-21] (Microsoft Corporation) [MS Ad]
mxtest2 -> C:\Program Files\WindowsApps\24712m1dfmmengesha.mxtest2_2.0.0.0_neutral__x35ns48czryn0 [2017-09-13] (m1df_mmengesha)
Skype -> C:\Program Files\WindowsApps\Microsoft.SkypeApp_3.1.0.1005_x86__kzf8qxf38zg5c [2017-04-21] (Skype) [MS Ad]
Test_Framework_BP_052015 -> C:\Program Files\WindowsApps\24712m1dfmmengesha.TestFrameworkBP052015_1.0.0.9_neutral__x35ns48czryn0 [2017-09-13] (m1df_mmengesha)
Test_Framework_win81appxneutral_061115 -> C:\Program Files\WindowsApps\24712m1dfmmengesha.TestFrameworkwin81appxneutral06_4.0.0.7_neutral__x35ns48czryn0 [2017-09-13] (M1DF_Mmengesha)
Test_FrameworkBackpublish_050515 -> C:\Program Files\WindowsApps\24712m1dfmmengesha.TestFrameworkBackpublish050515_1.0.0.0_neutral__x35ns48czryn0 [2017-09-13] (m1df_mmengesha)
Test_FrameworkProd_062215_01 -> C:\Program Files\WindowsApps\50856m1dfLL.TestFrameworkProd06221501_1.0.0.10_neutral__nwcxtg9ehxpvt [2017-09-13] (m1df_lucyll)
Video -> C:\Program Files\WindowsApps\Microsoft.ZuneVideo_2.6.344.0_x64__8wekyb3d8bbwe [2017-04-21] (Microsoft Corporation) [MS Ad]

==================== Custom CLSID (Whitelisted): ==============

(If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)

CustomCLSID: HKU\S-1-5-21-64860685-2869775881-799778158-1001_Classes\CLSID\{820D63D5-8CFF-46DE-86AF-4997DEDD6DB5}\localserver32 -> C:\Windows\system32\igfxEM.exe (Intel Corporation - pGFX -> Intel Corporation)
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File
ContextMenuHandlers1: [AVG] -> {472083B1-C522-11CF-8763-00608CC02F24} => C:\Program Files\AVG\Antivirus\ashShell.dll [2019-10-03] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
ContextMenuHandlers1: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext.dll [2016-08-14] (win.rar GmbH -> Alexander Roshal)
ContextMenuHandlers1-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext32.dll [2016-08-14] (win.rar GmbH -> Alexander Roshal)
ContextMenuHandlers3: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> No File
ContextMenuHandlers5: [igfxDTCM] -> {9B5F5829-A529-4B12-814A-E81BCB8D93FC} => C:\Windows\system32\igfxDTCM.dll [2015-08-09] (Microsoft Windows Hardware Compatibility Publisher -> Intel Corporation)
ContextMenuHandlers6: [AVG] -> {472083B1-C522-11CF-8763-00608CC02F24} => C:\Program Files\AVG\Antivirus\ashShell.dll [2019-10-03] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
ContextMenuHandlers6: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext.dll [2016-08-14] (win.rar GmbH -> Alexander Roshal)
ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext32.dll [2016-08-14] (win.rar GmbH -> Alexander Roshal)

==================== Codecs (Whitelisted) ====================

==================== Shortcuts & WMI ========================

==================== Loaded Modules (Whitelisted) =============

==================== Alternate Data Streams (Whitelisted) ========

==================== Safe Mode (Whitelisted) ==================

(If an entry is included in the fixlist, it will be removed from the registry. The "AlternateShell" will be restored.)

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Option => "OptionValue"="1"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Option => "UseAlternateShell"="1"

==================== Association (Whitelisted) =================

==================== Internet Explorer trusted/restricted ==========

==================== Hosts content: =========================

(If needed Hosts: directive could be included in the fixlist to reset Hosts.)

2013-08-22 14:25 - 2019-07-02 04:58 - 000000824 _____ C:\Windows\system32\drivers\etc\hosts

==================== Other Areas ===========================

(Currently there is no automatic fix for this section.)

HKU\S-1-5-21-64860685-2869775881-799778158-1001\Control Panel\Desktop\\Wallpaper ->
DNS Servers: Media is not connected to internet.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer => (SmartScreenEnabled: Off)

==================== MSCONFIG/TASK MANAGER disabled items ==

==================== FirewallRules (Whitelisted) ================

(If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)

FirewallRules: [{D0544A50-3424-46B9-958F-273F082FC6B4}] => (Allow) C:\Program Files (x86)\AVG\Av\avgnsa.exe No File
FirewallRules: [{3E52F01B-1AB0-4205-9376-45BA2A38E360}] => (Allow) C:\Program Files (x86)\AVG\Av\avgnsa.exe No File
FirewallRules: [{71738755-ABFF-4000-8934-7E9187BEDDFD}] => (Allow) C:\Program Files (x86)\AVG\Av\avgmfapx.exe No File
FirewallRules: [{1BAE23D8-A09F-481A-A241-A14D85A9CB55}] => (Allow) C:\Program Files (x86)\AVG\Av\avgmfapx.exe No File
FirewallRules: [{1C3D8B47-E19C-4972-BCFE-C7A107102CA6}] => (Allow) C:\Program Files (x86)\AVG\Av\avgwdsvca.exe No File
FirewallRules: [{98463526-4CC5-4C45-94A6-55E7F7E9F9DE}] => (Allow) C:\Program Files (x86)\AVG\Av\avgwdsvca.exe No File
FirewallRules: [{29FB5B96-F60F-4B20-8B09-52DA0FFBB974}] => (Allow) C:\Program Files (x86)\AVG\Av\avgemca.exe No File
FirewallRules: [{0058A03D-77DE-40C2-8253-AAB63AB9D9B0}] => (Allow) C:\Program Files (x86)\AVG\Av\avgemca.exe No File
FirewallRules: [{4E0B3DFF-51DC-4BD0-887E-5A86D92940C6}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation -> Mozilla Corporation)
FirewallRules: [{C6BBA3F6-B88D-4820-AEDA-91F101A8335D}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation -> Mozilla Corporation)
FirewallRules: [{081A5DED-FBF5-426F-BAB4-75B8C3F7A36C}] => (Allow) C:\Program Files\AVG\Antivirus\avgAdminClientServicex.exe (AVG Technologies CZ, s.r.o. -> AVG Technologies CZ, s.r.o.)
FirewallRules: [{626EF55E-8C54-4E8B-974F-259BE867114F}] => (Allow) C:\Program Files\CCleaner\CCUpdate.exe (Piriform Software Ltd -> Piriform Software Ltd)
FirewallRules: [{6298CE9D-0A94-4B9E-8139-5F8A6CA05052}] => (Allow) C:\Program Files\CCleaner\CCUpdate.exe (Piriform Software Ltd -> Piriform Software Ltd)
FirewallRules: [{22E27771-F743-4DCD-81ED-A75C046CF5D1}] => (Allow) C:\Program Files\AVG\Antivirus\avgAdminClientServicex.exe (AVG Technologies CZ, s.r.o. -> AVG Technologies CZ, s.r.o.)
FirewallRules: [{3E9BC4A1-ED3C-4254-96DE-6AC582086FF0}] => (Allow) C:\Program Files\AVG\Antivirus\avgAdminClientServicex.exe (AVG Technologies CZ, s.r.o. -> AVG Technologies CZ, s.r.o.)
FirewallRules: [{9038986B-A136-449A-84A6-FA9FEF9A317F}] => (Allow) C:\Program Files\AVG\Antivirus\x86\avgAdminClientService.exe No File
FirewallRules: [{2DF8D419-02E8-452D-AF69-17A8CA5F8BE7}] => (Allow) C:\Program Files\AVG\Antivirus\x86\avgAdminClientService.exe No File

==================== Restore Points =========================

22-01-2020 06:45:03 Naplánovaný kontrolní bod
03-02-2020 06:50:40 Naplánovaný kontrolní bod
10-02-2020 07:05:28 Naplánovaný kontrolní bod

==================== Faulty Device Manager Devices ============

Name: Zařízení PCI
Description: Zařízení PCI
Class Guid:
Manufacturer:
Service:
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.

Name:
Description:
Class Guid:
Manufacturer:
Service:
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.


==================== Event log errors: ========================

Application errors:
==================
Error: (02/04/2020 06:32:07 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Název chybující aplikace: szninstall.exe, verze: 0.0.0.0, časové razítko: 0x5194de26
Název chybujícího modulu: ntdll.dll, verze: 6.3.9600.18895, časové razítko: 0x5a4b127e
Kód výjimky: 0xc0000374
Posun chyby: 0x000e6214
ID chybujícího procesu: 0x1510
Čas spuštění chybující aplikace: 0x01d5db1bbc3bb8fe
Cesta k chybující aplikaci: C:\Users\Pavel Hanč\AppData\Roaming\Seznam.cz\szninstall.exe
Cesta k chybujícímu modulu: C:\Windows\SYSTEM32\ntdll.dll
ID zprávy: ae8e89c4-470f-11ea-82a0-f816545b6ae9
Úplný název chybujícího balíčku:
ID aplikace související s chybujícím balíčkem:

Error: (01/30/2020 02:01:10 PM) (Source: Application Hang) (EventID: 1002) (User: )
Description: Program Explorer.EXE verze 6.3.9600.17415 přestal spolupracovat se systémem Windows a byl ukončen. Chcete-li zjistit, zda je k dispozici více informací o tomto problému, vyhledejte historii problému v ovládacím panelu Centrum akcí.

ID procesu: 10f0

Čas spuštění: 01d5d769ea2cde5d

Čas ukončení: 0

Cesta k aplikaci: C:\Windows\Explorer.EXE

ID hlášení: 7a86d05b-4360-11ea-829e-28d244beb7f3

Úplný název chybujícího balíčku:

ID aplikace související s chybujícím balíčkem:

Error: (01/30/2020 02:00:35 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Název chybující aplikace: explorer.exe, verze: 6.3.9600.17415, časové razítko: 0x54503a3a
Název chybujícího modulu: twinui.dll, verze: 6.3.9600.18819, časové razítko: 0x59b40c9c
Kód výjimky: 0x80270249
Posun chyby: 0x00000000002e328f
ID chybujícího procesu: 0x124c
Čas spuštění chybující aplikace: 0x01d5d76d3d47f0da
Cesta k chybující aplikaci: C:\Windows\explorer.exe
Cesta k chybujícímu modulu: C:\Windows\system32\twinui.dll
ID zprávy: 80bd14f8-4360-11ea-829e-28d244beb7f3
Úplný název chybujícího balíčku:
ID aplikace související s chybujícím balíčkem:

Error: (01/30/2020 01:59:46 PM) (Source: Application Hang) (EventID: 1002) (User: )
Description: Program DllHost.exe verze 6.3.9600.17415 přestal spolupracovat se systémem Windows a byl ukončen. Chcete-li zjistit, zda je k dispozici více informací o tomto problému, vyhledejte historii problému v ovládacím panelu Centrum akcí.

ID procesu: dec

Čas spuštění: 01d5d76d180977e4

Čas ukončení: 4294967295

Cesta k aplikaci: C:\Windows\system32\DllHost.exe

ID hlášení: 61cf1a8e-4360-11ea-829e-28d244beb7f3

Úplný název chybujícího balíčku:

ID aplikace související s chybujícím balíčkem:

Error: (01/23/2020 03:25:23 PM) (Source: Application Hang) (EventID: 1002) (User: )
Description: Program Explorer.EXE verze 6.3.9600.17415 přestal spolupracovat se systémem Windows a byl ukončen. Chcete-li zjistit, zda je k dispozici více informací o tomto problému, vyhledejte historii problému v ovládacím panelu Centrum akcí.

ID procesu: 908

Čas spuštění: 01d5d0e4f9d87b10

Čas ukončení: 0

Cesta k aplikaci: C:\Windows\Explorer.EXE

ID hlášení: 20af4139-3dec-11ea-829e-28d244beb7f3

Úplný název chybujícího balíčku:

ID aplikace související s chybujícím balíčkem:

Error: (11/27/2019 04:33:18 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Název chybující aplikace: myWACUI.exe, verze: 5.3.205.1503, časové razítko: 0x5dbfcfe1
Název chybujícího modulu: libcef.dll, verze: 77.1.18.0, časové razítko: 0x5d9d2608
Kód výjimky: 0xc0000005
Posun chyby: 0x030a5bb9
ID chybujícího procesu: 0x1180
Čas spuštění chybující aplikace: 0x01d5a533e37e0d9f
Cesta k chybující aplikaci: C:\Program Files (x86)\myWAC\myWACUI.exe
Cesta k chybujícímu modulu: C:\Program Files (x86)\myWAC\libcef.dll
ID zprávy: 3be03b06-112b-11ea-829a-e68ac0f43df2
Úplný název chybujícího balíčku:
ID aplikace související s chybujícím balíčkem:

Error: (11/26/2019 02:26:15 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Název chybující aplikace: myWACUI.exe, verze: 5.3.205.1503, časové razítko: 0x5dbfcfe1
Název chybujícího modulu: libcef.dll, verze: 77.1.18.0, časové razítko: 0x5d9d2608
Kód výjimky: 0xc0000005
Posun chyby: 0x030a5bb9
ID chybujícího procesu: 0x18e8
Čas spuštění chybující aplikace: 0x01d5a45ce4bf00d6
Cesta k chybující aplikaci: C:\Program Files (x86)\myWAC\myWACUI.exe
Cesta k chybujícímu modulu: C:\Program Files (x86)\myWAC\libcef.dll
ID zprávy: 5217171a-1050-11ea-829a-e68ac0f43df2
Úplný název chybujícího balíčku:
ID aplikace související s chybujícím balíčkem:

Error: (11/25/2019 03:20:04 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Název chybující aplikace: myWACUI.exe, verze: 5.3.205.1503, časové razítko: 0x5dbfcfe1
Název chybujícího modulu: libcef.dll, verze: 77.1.18.0, časové razítko: 0x5d9d2608
Kód výjimky: 0xc0000005
Posun chyby: 0x030a5bb9
ID chybujícího procesu: 0x1934
Čas spuštění chybující aplikace: 0x01d5a3940d8dfb25
Cesta k chybující aplikaci: C:\Program Files (x86)\myWAC\myWACUI.exe
Cesta k chybujícímu modulu: C:\Program Files (x86)\myWAC\libcef.dll
ID zprávy: abe724f0-0f8e-11ea-829a-e68ac0f43df2
Úplný název chybujícího balíčku:
ID aplikace související s chybujícím balíčkem:


System errors:
=============
Error: (02/12/2020 07:39:24 AM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Služba Služba WinHTTP WPAD závisí na službě Klient DHCP, která neuspěla při spuštění v důsledku následující chyby:
Nepodařilo se zahájit závislou službu nebo skupinu.

Error: (02/12/2020 07:39:19 AM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Služba Služba WinHTTP WPAD závisí na službě Klient DHCP, která neuspěla při spuštění v důsledku následující chyby:
Nepodařilo se zahájit závislou službu nebo skupinu.

Error: (02/12/2020 07:39:14 AM) (Source: DCOM) (EventID: 10005) (User: HANC)
Description: Služba DCOM zjistila chybu 1084 při pokusu o spuštění služby WSearch s argumenty Není k dispozici za účelem spuštění serveru:
{9E175B6D-F52A-11D8-B9A5-505054503030}

Error: (02/12/2020 07:39:14 AM) (Source: DCOM) (EventID: 10005) (User: HANC)
Description: Služba DCOM zjistila chybu 1084 při pokusu o spuštění služby VSS s argumenty Není k dispozici za účelem spuštění serveru:
{E579AB5F-1CC4-44B4-BED9-DE0991FF0623}

Error: (02/12/2020 07:39:14 AM) (Source: DCOM) (EventID: 10005) (User: HANC)
Description: Služba DCOM zjistila chybu 1084 při pokusu o spuštění služby VSS s argumenty Není k dispozici za účelem spuštění serveru:
{E579AB5F-1CC4-44B4-BED9-DE0991FF0623}

Error: (02/12/2020 07:39:14 AM) (Source: DCOM) (EventID: 10005) (User: HANC)
Description: Služba DCOM zjistila chybu 1084 při pokusu o spuštění služby VSS s argumenty Není k dispozici za účelem spuštění serveru:
{E579AB5F-1CC4-44B4-BED9-DE0991FF0623}

Error: (02/12/2020 07:38:29 AM) (Source: DCOM) (EventID: 10005) (User: HANC)
Description: Služba DCOM zjistila chybu 1084 při pokusu o spuštění služby VSS s argumenty Není k dispozici za účelem spuštění serveru:
{E579AB5F-1CC4-44B4-BED9-DE0991FF0623}

Error: (02/12/2020 07:38:29 AM) (Source: DCOM) (EventID: 10005) (User: HANC)
Description: Služba DCOM zjistila chybu 1084 při pokusu o spuštění služby VSS s argumenty Není k dispozici za účelem spuštění serveru:
{E579AB5F-1CC4-44B4-BED9-DE0991FF0623}


Windows Defender:
===================================
Date: 2018-06-12 14:18:20.262
Description:
Prohledávání Windows Defender zjistilo chybu při pokusu o načtení podpisů a pokusí se o obnovení sady podpisů, jejichž správnost je potvrzena.
Podpisy, které se měly načíst: Aktuální
Kód chyby: 0x80073aba
Popis chyby: Prostředek je zastaralý, a proto není kompatibilní.
Verze podpisu: 1.155.266.0;1.155.266.0
Verze modulu: 1.1.9700.0

Date: 2017-04-11 07:10:51.087
Description:
Funkce Ochrana v reálném čase u prohledávání Windows Defender zjistila chybu a došlo k jejímu selhání.
Funkce: Systém kontroly sítě
Kód chyby: 0x80070002
Popis chyby: Systém nemůže nalézt uvedený soubor.
Důvod: Antimalwarová ochrana přestala z neznámých důvodů fungovat. V některých případech lze tento problém vyřešit restartováním služby.

CodeIntegrity:
===================================

Date: 2018-04-24 07:23:23.991
Description:
Code Integrity determined that a process (\Device\HarddiskVolume5\Program Files (x86)\AVG\Av\avgidsagenta.exe) attempted to load \Device\HarddiskVolume5\Windows\WinSxS\amd64_avg.vc140.crt_f92d94485545da78_14.0.24210.0_none_69fa0197d9b096ae\vcruntime140.dll that did not meet the Custom 3 / Antimalware signing level requirements.

Date: 2018-04-24 05:59:45.295
Description:
Code Integrity determined that a process (\Device\HarddiskVolume5\Program Files (x86)\AVG\Av\avgidsagenta.exe) attempted to load \Device\HarddiskVolume5\Windows\WinSxS\amd64_avg.vc140.crt_f92d94485545da78_14.0.24210.0_none_69fa0197d9b096ae\vcruntime140.dll that did not meet the Custom 3 / Antimalware signing level requirements.

Date: 2018-04-24 05:59:45.108
Description:
Code Integrity determined that a process (\Device\HarddiskVolume5\Program Files (x86)\AVG\Av\avgidsagenta.exe) attempted to load \Device\HarddiskVolume5\Windows\WinSxS\amd64_avg.vc140.crt_f92d94485545da78_14.0.24210.0_none_69fa0197d9b096ae\vcruntime140.dll that did not meet the Custom 3 / Antimalware signing level requirements.

Date: 2018-04-24 05:59:44.936
Description:
Code Integrity determined that a process (\Device\HarddiskVolume5\Program Files (x86)\AVG\Av\avgidsagenta.exe) attempted to load \Device\HarddiskVolume5\Windows\WinSxS\amd64_avg.vc140.crt_f92d94485545da78_14.0.24210.0_none_69fa0197d9b096ae\vcruntime140.dll that did not meet the Custom 3 / Antimalware signing level requirements.

Date: 2018-04-24 05:59:44.748
Description:
Code Integrity determined that a process (\Device\HarddiskVolume5\Program Files (x86)\AVG\Av\avgidsagenta.exe) attempted to load \Device\HarddiskVolume5\Windows\WinSxS\amd64_avg.vc140.crt_f92d94485545da78_14.0.24210.0_none_69fa0197d9b096ae\vcruntime140.dll that did not meet the Custom 3 / Antimalware signing level requirements.

Date: 2018-04-24 05:59:44.577
Description:
Code Integrity determined that a process (\Device\HarddiskVolume5\Program Files (x86)\AVG\Av\avgidsagenta.exe) attempted to load \Device\HarddiskVolume5\Windows\WinSxS\amd64_avg.vc140.crt_f92d94485545da78_14.0.24210.0_none_69fa0197d9b096ae\vcruntime140.dll that did not meet the Custom 3 / Antimalware signing level requirements.

Date: 2018-04-24 05:59:44.389
Description:
Code Integrity determined that a process (\Device\HarddiskVolume5\Program Files (x86)\AVG\Av\avgidsagenta.exe) attempted to load \Device\HarddiskVolume5\Windows\WinSxS\amd64_avg.vc140.crt_f92d94485545da78_14.0.24210.0_none_69fa0197d9b096ae\vcruntime140.dll that did not meet the Custom 3 / Antimalware signing level requirements.

Date: 2018-04-24 05:59:44.202
Description:
Code Integrity determined that a process (\Device\HarddiskVolume5\Program Files (x86)\AVG\Av\avgidsagenta.exe) attempted to load \Device\HarddiskVolume5\Windows\WinSxS\amd64_avg.vc140.crt_f92d94485545da78_14.0.24210.0_none_69fa0197d9b096ae\vcruntime140.dll that did not meet the Custom 3 / Antimalware signing level requirements.

==================== Memory info ===========================

BIOS: LENOVO J9ET88WW (2.08 ) 05/20/2014
Motherboard: LENOVO 20C600HUMC
Processor: Intel(R) Core(TM) i3-4000M CPU @ 2.40GHz
Percentage of memory in use: 12%
Total physical RAM: 3986.63 MB
Available physical RAM: 3469.11 MB
Total Virtual: 4690.63 MB
Available Virtual: 4214.54 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:221.62 GB) (Free:162.81 GB) NTFS
Drive d: () (Fixed) (Total:243.62 GB) (Free:238.27 GB) NTFS
Drive f: () (Removable) (Total:14.62 GB) (Free:14.62 GB) FAT32

\\?\Volume{0aa513c6-0fbf-4480-bfc9-ae97cb687cf1}\ (Obnovení) (Fixed) (Total:0.29 GB) (Free:0.27 GB) NTFS

==================== MBR & Partition Table ====================

==========================================================
Disk: 0 (Size: 465.8 GB) (Disk ID: 982E9A91)

Partition: GPT.

==========================================================
Disk: 1 (Size: 14.6 GB) (Disk ID: A6B98E4C)
Partition 1: (Not Active) - (Size=14.6 GB) - (Type=0C)

==================== End of Addition.txt =======================
_________________________________________________________________
RSIT | MWAV | CCleaner

altrok
Moderátor
Moderátor
Příspěvky: 7257
Registrován: 15 lis 2012 22:26
Bydliště: Znojmo

Re: dotaz k ransomware

#8 Příspěvek od altrok »

Podle těchto logů je to ok. Nevidím, že by si cokoliv zajistilo persistenci (spuštění i po restartu). Proskenuj PC/disk něčím, co psal JaRon a kdyžtak mi hoď odkaz na tu přílohu do mailu (neposílat přímo přílohu, protože ji antispam zahodí).

/e ano, je to jak píšeš, tedy stáhnutí nevadí.
Pokud je cokoliv nejasného, ihned se ptej.
V případě spokojenosti prosím podpořte forum.
Pro dotazy, které se nehodí na forum, je možné využít altrokzavináčforum.viry.cz
Máš-li chuť pomáhat návštěvníkům tohoto fora, přihlas se do naší školičky.

dinospages
Vzorný návštěvník
Vzorný návštěvník
Příspěvky: 240
Registrován: 20 črc 2006 11:33

Re: dotaz k ransomware

#9 Příspěvek od dinospages »

projel jsem to 3 programy z výše zmiňovaných mam i logy, nic zvlastnuiho nedetekovaly

zde je odkaz:
http://leteckaposta.cz/994115636
_________________________________________________________________
RSIT | MWAV | CCleaner

altrok
Moderátor
Moderátor
Příspěvky: 7257
Registrován: 15 lis 2012 22:26
Bydliště: Znojmo

Re: dotaz k ransomware

#10 Příspěvek od altrok »

V nouzáku bych ručně smazal obsah adresářů:
C:\Windows\Temp
C:\Users\Pavel Hanč\AppData\Local\Temp

a pak si troufám říct, že je PC čistý.
Pokud je cokoliv nejasného, ihned se ptej.
V případě spokojenosti prosím podpořte forum.
Pro dotazy, které se nehodí na forum, je možné využít altrokzavináčforum.viry.cz
Máš-li chuť pomáhat návštěvníkům tohoto fora, přihlas se do naší školičky.

dinospages
Vzorný návštěvník
Vzorný návštěvník
Příspěvky: 240
Registrován: 20 črc 2006 11:33

Re: dotaz k ransomware

#11 Příspěvek od dinospages »

smazano, a soubor ktery jste analyzoval nic nevykazoval?

zkousel jsem ten any.run a spustil se win7 v nem ten soubor ale nevim co dál a na co se dívat přisšlo mi že žádný test se nepsustil jen se otevřel ten soubor který byl prázdný a v něm informace že mám povolit úpravý ten žlutý řádek v officech ale ten tam nebyl
_________________________________________________________________
RSIT | MWAV | CCleaner

altrok
Moderátor
Moderátor
Příspěvky: 7257
Registrován: 15 lis 2012 22:26
Bydliště: Znojmo

Re: dotaz k ransomware

#12 Příspěvek od altrok »

V any.run jsou automaticky makra povolena.

Dobře, podrobnější analýza... strávil jsem v tom cca 5 hodin... Je to o dvou základních fázích - JScriptový kód, který je napsán bílým písmem přímo v těle dokumentu a makro, které tento škodlivý kód uloží do souboru a spustí (tzv. dropper). Proto má dokument 18 stran.
Makro ve Visual Basicu je čitelné, ale JScript kód je hodně obfuskovaný a nepodařilo se mi ho kompletně deobfuskovat (= převést na čitelný kód) a obsahuje celkem ~317.000 znaků. Našel jsem ale automatizovou analýzu, kde celý tento kód proběhl (respektive prvních 1.000 znaků škodlivého JScriptu a další činnosti v systému jsou totožné) - https://www.joesandbox.com/analysis/207628/1/html

Pokud ti nevyskočila hláška: "Microsoft Word the file is corrupted and cannot be opened.", pak je vše ok (přikládám v příloze).
Pokud vyskočila, vytvořil a spustil se ti soubor c:\users\%userprofile%\appdata\roaming\microsoft\jSnOfdd.tovco.jse

Mně se tento soubor vytvořil a spustil, ale po třech minutách skončil runtime errorem a nedokázal jsem rozkrýt, co měl v plánu dělat dál.

Nabootuj systém do běžného režimu a kontroluj přítomnost spuštěného procesu wscript.exe - pokud ho nevidíš, pak je vše v pořádku (protože JScript kód je spuštěno příkazem
C:\Windows\SysWOW64\wscript.exe 'C:\Users\user\AppData\Roaming\Microsoft\jSnOfdd.tovco.jse' ).

Na základě této analýzy, výsledků testů antimalwarových nástrojů a toho, co je ve FRST logách (žádný malware nevidím) tvrdím, že je systém čistý.
Přílohy
ioc.JPG
ioc.JPG (14.84 KiB) Zobrazeno 4029 x
Pokud je cokoliv nejasného, ihned se ptej.
V případě spokojenosti prosím podpořte forum.
Pro dotazy, které se nehodí na forum, je možné využít altrokzavináčforum.viry.cz
Máš-li chuť pomáhat návštěvníkům tohoto fora, přihlas se do naší školičky.

dinospages
Vzorný návštěvník
Vzorný návštěvník
Příspěvky: 240
Registrován: 20 črc 2006 11:33

Re: dotaz k ransomware

#13 Příspěvek od dinospages »

Ahoj, ani proces ani soubor nikde nevidím, takže by to mělo být jak píšeš OK.

Mockrát děkujeme !!!
_________________________________________________________________
RSIT | MWAV | CCleaner

altrok
Moderátor
Moderátor
Příspěvky: 7257
Registrován: 15 lis 2012 22:26
Bydliště: Znojmo

Re: dotaz k ransomware

#14 Příspěvek od altrok »

I za kolegu - nemáš zač ;)
Pokud je cokoliv nejasného, ihned se ptej.
V případě spokojenosti prosím podpořte forum.
Pro dotazy, které se nehodí na forum, je možné využít altrokzavináčforum.viry.cz
Máš-li chuť pomáhat návštěvníkům tohoto fora, přihlas se do naší školičky.

Zamčeno