Po odvirovani - prosim o kontrolu

[KEnik]

Dobrý den,

PC byl zavirovan Policie za 2000Kc pomohl Nouzovy rezim a obnova, pote projistotu kombofix.
Nalezl rootkit.ZeroAccess!
Co mám jeste pro jistotu udelat.
PS: jaky Antivir doporucujete na testovani posty s SSL pripojeni - Avast to namísto testovani blokuje..
Nejvetsi problem jsou asi skodlive odkazy v emailech - testuje je neco?
Předem děkuji

LOG :
ComboFix 13-07-27.01 - PEPE 30.07.2013 11:03:45.1.2 - x86
Microsoft Windows 7 Home Premium 6.1.7601.1.1250.420.1029.18.1791.1067 [GMT 2:00]
Spuštěný z: c:\users\PEPE\Desktop\ComboFix.exe
AV: avast! Antivirus *Disabled/Outdated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
SP: avast! Antivirus *Disabled/Outdated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\install\install.exe
c:\windows\$NtUninstallKB8289$
c:\windows\$NtUninstallKB8289$\221776963
c:\windows\$NtUninstallKB8289$\541982767\Desktop.ini
c:\windows\$NtUninstallKB8289$\541982767\L\xadqgnnk
c:\windows\pkunzip.pif
c:\windows\pkzip.pif
.
c:\windows\system32\drivers\Serial.sys chyběl.
Obnovena kopie z - c:\windows\System32\DriverStore\FileRepository\msports.inf_x86_neutral_c1a802e06677f73f\serial.sys
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2013-06-28 do 2013-07-30 )))))))))))))))))))))))))))))))
.
.
2013-07-17 19:27 . 2013-07-17 19:27 -------- d-----w- c:\users\PEPE\kbpki
2013-07-12 11:29 . 2013-04-09 23:34 1247744 ----a-w- c:\windows\system32\DWrite.dll
2013-07-12 11:29 . 2013-05-06 04:56 1620480 ----a-w- c:\windows\system32\WMVDECOD.DLL
2013-07-12 11:29 . 2013-06-04 04:53 509440 ----a-w- c:\windows\system32\qedit.dll
2013-07-12 11:29 . 2013-06-05 03:05 2347520 ----a-w- c:\windows\system32\win32k.sys
2013-07-12 11:29 . 2013-04-10 05:03 936448 ----a-w- c:\program files\Common Files\Microsoft Shared\ink\journal.dll
2013-07-12 11:29 . 2013-04-10 05:03 988672 ----a-w- c:\program files\Windows Journal\JNTFiltr.dll
2013-07-12 11:29 . 2013-04-10 05:03 969216 ----a-w- c:\program files\Windows Journal\JNWDRV.dll
2013-07-12 11:29 . 2013-04-10 05:04 1221632 ----a-w- c:\program files\Windows Journal\NBDoc.DLL
2013-07-12 11:29 . 2013-05-27 04:57 680960 ----a-w- c:\program files\Windows Defender\MpSvc.dll
2013-07-12 11:29 . 2013-05-27 04:57 392704 ----a-w- c:\program files\Windows Defender\MpClient.dll
2013-07-12 11:29 . 2013-05-27 04:57 224768 ----a-w- c:\program files\Windows Defender\MpCommu.dll
2013-07-08 15:58 . 2013-07-08 15:58 175176 ----a-w- c:\windows\system32\drivers\aswVmm.sys
2013-07-08 15:58 . 2013-05-09 08:59 49376 ----a-w- c:\windows\system32\drivers\aswRvrt.sys
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-07-08 15:58 . 2012-10-08 19:16 369584 ----a-w- c:\windows\system32\drivers\aswSP.sys
2013-07-08 15:58 . 2012-10-08 19:16 770344 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2013-06-12 15:22 . 2012-08-12 21:11 71048 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2013-06-12 15:22 . 2012-08-12 21:11 692104 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2013-06-08 13:40 . 2012-11-23 20:13 86888 ----a-w- c:\windows\system32\LMIRfsClientNP.dll
2013-06-08 13:40 . 2012-11-23 20:13 92488 ----a-w- c:\windows\system32\LMIinit.dll
2013-06-04 13:40 . 2012-11-23 20:13 86888 ----a-w- c:\windows\system32\LMIRfsClientNP.dll.000.bak
2013-05-13 04:45 . 2013-06-12 01:08 1160192 ----a-w- c:\windows\system32\crypt32.dll
2013-05-13 04:45 . 2013-06-12 01:08 103936 ----a-w- c:\windows\system32\cryptnet.dll
2013-05-13 04:45 . 2013-06-12 01:08 140288 ----a-w- c:\windows\system32\cryptsvc.dll
2013-05-13 03:08 . 2013-06-12 01:08 903168 ----a-w- c:\windows\system32\certutil.exe
2013-05-13 03:08 . 2013-06-12 01:08 43008 ----a-w- c:\windows\system32\certenc.dll
2013-05-09 08:59 . 2012-10-08 19:16 61680 ----a-w- c:\windows\system32\drivers\aswRdr2.sys
2013-05-09 08:59 . 2012-10-08 19:16 56080 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2013-05-09 08:59 . 2012-10-08 19:16 66336 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2013-05-09 08:59 . 2012-10-08 19:16 29816 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2013-05-09 08:58 . 2012-10-08 19:16 41664 ----a-w- c:\windows\avastSS.scr
2013-05-09 08:58 . 2012-10-08 19:16 229648 ----a-w- c:\windows\system32\aswBoot.exe
2013-05-08 05:38 . 2013-06-12 01:08 1293672 ----a-w- c:\windows\system32\drivers\tcpip.sys
2013-05-06 05:06 . 2013-06-12 01:08 3968872 ----a-w- c:\windows\system32\ntkrnlpa.exe
2013-05-06 05:06 . 2013-06-12 01:08 3913576 ----a-w- c:\windows\system32\ntoskrnl.exe
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\~\Browser Helper Objects\{11BF46C6-B3DE-48BD-BF70-3AD85CAB80B5}]
2012-10-25 00:41 343296 ----a-w- c:\progra~1\SITERA~1\SiteRank.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\~\Browser Helper Objects\{6F6A5334-78E9-4D9B-8182-8B41EA8C39EF}]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2013-05-09 08:58 121968 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-25 00:36 130736 ----a-w- c:\users\PEPE\AppData\Roaming\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-25 00:36 130736 ----a-w- c:\users\PEPE\AppData\Roaming\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-25 00:36 130736 ----a-w- c:\users\PEPE\AppData\Roaming\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-25 00:36 130736 ----a-w- c:\users\PEPE\AppData\Roaming\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AGupdate"="c:\program files\AppGraffiti\AGupdate.exe" [2013-03-19 894048]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2013-05-09 4858968]
"LogMeIn GUI"="c:\program files\LogMeIn\x86\LogMeInSystray.exe" [2012-10-10 63048]
.
c:\users\PEPE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dropbox.lnk - c:\users\PEPE\AppData\Roaming\Dropbox\bin\Dropbox.exe /systemstartup [2013-5-25 27776968]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKLM\~\startupfolder\C:^Users^PEPE^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.2.lnk]
path=c:\users\PEPE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.2.lnk
backup=c:\windows\pss\OpenOffice.org 3.2.lnk.Startup
backupExtension=.Startup
.
R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2012-11-23 40776]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]
R3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\DRIVERS\VBoxNetAdp.sys [2012-09-13 104280]
R3 VBoxNetFlt;VirtualBox Bridged Networking Service;c:\windows\system32\DRIVERS\VBoxNetFlt.sys [x]
R3 WatAdminSvc;Služba Technologie aktivace Windows;c:\windows\system32\Wat\WatAdminSvc.exe [2011-03-30 1343400]
S0 aswRvrt;aswRvrt; [x]
S0 aswVmm;aswVmm; [x]
S1 aswSnx;aswSnx; [x]
S1 aswSP;aswSP; [x]
S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [2012-09-03 242240]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-08-18 176128]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2013-05-09 66336]
S2 LMIGuardianSvc;LMIGuardianSvc;c:\program files\LogMeIn\x86\LMIGuardianSvc.exe [2013-06-08 375120]
S2 LMIInfo;LogMeIn Kernel Information Provider;c:\program files\LogMeIn\x86\RaInfo.sys [2013-06-04 13624]
S2 SSPORT;SSPORT;c:\windows\system32\Drivers\SSPORT.sys [2009-07-12 5120]
S2 TeamViewer7;TeamViewer 7;c:\program files\TeamViewer\Version7\TeamViewer_Service.exe [2012-08-31 2754984]
S3 RTL8167;Ovladač Realtek 8167 NT;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]
.
.
Obsah adresáře 'Naplánované úlohy'
.
2013-07-21 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\System32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-08-12 15:22]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.inbox.com/homepage.aspx?tbid=82120&iwk=258&lng=cs
uDefault_Search_URL = hxxp://www.google.com/ie
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.20
TCP: Interfaces\{5C2CA544-63AE-4DA3-BB13-6C3D08385B2E}: NameServer = 77.48.100.254,194.228.41.113
FF - ProfilePath - c:\users\PEPE\AppData\Roaming\Mozilla\Firefox\Profiles\x8yg01ox.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: network.proxy.type - 0
FF - ExtSQL: 2013-06-02 12:44; AppGraffiti@AppGraffiti.com; c:\users\PEPE\AppData\Roaming\Mozilla\Firefox\Profiles\x8yg01ox.default\extensions\AppGraffiti@AppGraffiti.com
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
MSConfigStartUp-Family Tree Builder Update - c:\program files\MyHeritage\Bin\FTBCheckUpdates.exe
.
.
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_7_700_224_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_7_700_224_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'Explorer.exe'(3788)
c:\users\PEPE\AppData\Roaming\Dropbox\bin\DropboxExt.19.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\AVAST Software\Avast\AvastSvc.exe
c:\windows\system32\atieclxx.exe
c:\program files\LogMeIn\x86\RaMaint.exe
c:\program files\LogMeIn\x86\LogMeIn.exe
c:\windows\system32\taskhost.exe
c:\windows\system32\WUDFHost.exe
c:\windows\system32\conhost.exe
c:\windows\servicing\TrustedInstaller.exe
c:\windows\system32\sppsvc.exe
c:\program files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Celkový čas: 2013-07-30 11:18:07 - počítač byl restartován
ComboFix-quarantined-files.txt 2013-07-30 09:18
.
Před spuštěním: Volných bajtů: 170 629 562 368
Po spuštění: Volných bajtů: 170 726 559 744
.
- - End Of File - - CF9E9EC7F6FD8DE96A8FA522380610BD
A36C5E4F47E84449FF07ED3517B43A31

[vyosek]

Zdravim

Co se tyce ComboFixu, ktery jste pouzil, tak na zaklade licence a pravidel fora ptam, umite s nim pracovat (spusteni, rozlusteni logu, napsani skriptu)?

licencni podminky hovori jasne "Nikdy by nemel byt pouzit v prostredi bez dozoru zkusene osoby"


Nebezpeci CFka

• Je urcen primarne pro radce - jeho svevolnym pouzitim ztracite narok na podporu
• Maze stopy po haveti, takze v logu z RSIT neni nic videt
• Jeho log je treba dolustit, jelikoz neumi smazat vse - to ovsem tezko zvladnete pokud k tomu nejste vyskolen
• CF muze mit bug = sunda Vam system, pokud nevite kam co uklada, jak co obnovit, mate system v kytkam a ceka Vas reinstal
• CF taky bohuzel prozatim nekontroluje nektere dulezite knihovny (napr. hal.dll) - ty treba mazou nektere typy haveti (napr. angela) - smaze Vam po restartu hal.dll = nenajede Vam system a jste o radek vyse = reinstal

[KEnik]

Umím jej spustit podle navodu:
http://www.bleepingcomputer.com/combofi ... t-combofix

Bohužel tu pasáž že se nemá spouštět na vlastní pěst jsem si nepřečetl.

Mám to tedy vrátit k bodu obnovení a poslat log z RSIT?

Strávil jsem 2 hodiny zkoušením AVG rescue ( 3x se seknul) + RogueKiller
Již jsme chtěli přeinstalovat system - na živě někdo radil použít combofix tak jsem jej použil.

Můžete mi alepson prosím poradit něco na:
PS: jaky Antivir doporucujete na testovani posty s SSL pripojeni - Avast poštu s SSL namísto testovani blokuje..
Nejvetsi problem jsou asi skodlive odkazy v emailech - testuje je neco?
Předem děkuji

[vyosek]

No jooo, na zive.cz to jsou odbornici

Nez abyste se podival k nam, kde tu mame pekne zpracovany navod jak jej odstranit a nemusi se delat zadne obnovovani systemu atd...

Navic jako vzorny navstevnik a jiz delsi dobu registrovany uzivatel byste mel vedet co CF dokaze a ze se nema jen tak pouzivat...

Pomoc bude odmitnuta a o hodnost VN zrejme prijdete...

Co se tyce Avastu, ja s nim nemam problem - ani pri kontrole pres mailoveho klienta, ani pri kontrole pripojenich SSL...

Odkazy kontroluje webovy stit antiviru.

Pokud mate s Avastem problem, tak kontaktujte jejich technickou podporu.

[KEnik]

Samozřejmě jsem hledal nejprve tady - ale nenašel jsem nic. Můžete mi poslat odkaz?

CF jsem použil ve smyslu bud to vyjde nebo uděláme reinstall OS, nečekal jsem že v tuto dobu bude někdo na foru aktivní. S PC jsou neustále problémy co 14 dní. Máme připravené záložní.

Naposledy se to také vyřešilo kombofixem. http://forum.viry.cz/viewtopic.php?f=28&t=129169

Díky za vše.

[vyosek]

Ano, vyresilo se to CF, ale za pod dozorem zkusenese\vyskolene osoby...

Temat s policejim virem\ ransomware je tu nekolik

• http://forum.viry.cz/viewtopic.php?f=5&t=130851
• http://forum.viry.cz/viewtopic.php?f=24&t=130783
• Plus spousty resenych, kde jsou poskytnuty prvotni inromace, ale urcite ne hned log z CF