Malware na explorer.exe

[afroun]

Ahoj,

mám problém na jenom PC s WIN7 - před pár dny jsem je nahazoval kamaráda a včera mi sdělil, že když otevře webrowser (používá Chrome), tak mu avast hlásí cca každou minutu zablokovaný útok. Trochu jsem to u něj zkoumal přes Teamviewer a je to od JSciptu po Trojany. Nemusí ani na nic klikat. Tak jsem spustil sadu scanů - viz logy níže.

Dle mého selského a IT rozumu za to můžou tihleti:

ShellIconOverlayIdentifiers: [0PerformanceMonitor] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} => C:\ProgramData\Microsoft\Performance\Monitor\PerformanceMonitor.dll [2016-12-06] ()

HKU\S-1-5-21-2465145234-1619852749-2883403516-1000\...\Run: [**syoxazq<*>] => "C:\Users\PLAYGROUND\AppData\Local\2aee\2c7e.bat" <===== ATTENTION (Value Name with invalid characters)

Toolbar: HKU\S-1-5-21-2465145234-1619852749-2883403516-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File

ten BATak jsem pouze přejmenoval na jinou příponu, aby se nespouštěl. Po restartu už to nehlásí zablokovaný útok každou minutu, ale nějaký tam za vcelku rozumnou dobu vyskočí (předpokládám, že to bude to s tím PERFORMANCE MONITOREM). Takže havěť se neumí až tak moc zrovna bránit. Nicméně bych to rád vyčistil a nechce se mi zrovna spouštět na pár dní novém OS všechny fixy těchto toolů.

Jinak asi vím, jak si to tam natáhl - stáhl film na torrentu, u kterého byl "zaručený" kodek (exáč), protože film nešel spustit... krom toho, že nešel spustit ani po tom xD. Tak jsem ho poučil trochu do budoucna.

Tedy, jsem jedno velké ucho.

Díky.

Nějak mi nefunguje vkládání souboru u vytváření příspěvku, tak jsem to vzal přes jiné servery (které mají občas problém s velkým množstvím znaků, proto 2)

Addition log + QR code

Kód: Vybrat vše

http://m.UploadEdit.com/qa3s/148119123530_doc.png

FRST log + QR code

Kód: Vybrat vše

http://m.UploadEdit.com/qa3s/1481192166217_doc.png

TDSSKiller log + QR code

Kód: Vybrat vše

http://m.UploadEdit.com/qa3s/1481192058866_doc.png

AdwCleaner log

Kód: Vybrat vše

http://txt.do/ddrii

JRT log

Kód: Vybrat vše

http://txt.do/ddriw

[altrok]

Ahoj,


kamaradovi jsi nahodil legalni verzi Windows 7 Enterprise Service Pack 1?


Malware castecne detekujes spravne, ale je zahrabanej i kousek dal (neni to vsechno). Pokud je tvuj prispevek delsi jak 100.000 znaku, logy idealne zabal a priloz k prispevku. AdwCleaner cast haveti smazal, tys znemoznil spousteni davkoveho souboru - dej prosim te nove logy FRST.txt a Addition.txt.


Btw kdyz rychle potrebuju droppera nove haveti, casto volim podobny postup ^^

[afroun]

Ahoj,
kamaradovi jsi nahodil legalni verzi Windows 7 Enterprise Service Pack 1?

no pravda, já jsem jen nahazoval systém, aktivaci dělal někdo posléze. Má prý kamaráda, co to má v rámci firmy, takže by měly být legální, ale nemám to jak ověřit. Já bych mu dával HOME PREMIUM případně W10 HOME, OEM klíč za pár stovek, ale nechtěl. Jemu jsou totiž Enterprise úplně k ničemu.

Malware castecne detekujes spravne, ale je zahrabanej i kousek dal (neni to vsechno). Pokud je tvuj prispevek delsi jak 100.000 znaku, logy idealne zabal a priloz k prispevku. AdwCleaner cast haveti smazal, tys znemoznil spousteni davkoveho souboru - dej prosim te nove logy FRST.txt a Addition.txt.

Takže u AdwCleaneru už i jen tlačítko Scan likviduje částečně? Pak jsem ho totiž zavřel. Možná to byl spíš JRT. Přece by to nebylo tak jednoduché, pouhým přejmenováním Chtěl jsem jen aby ho to zatím dočasně moc neotravovalo. Logy pořidím, až se dostaví z práce domu..

Btw kdyz rychle potrebuju droppera nove haveti, casto volim podobny postup ^^

xD na takové ty páteční večery, kdy nemá jeden co dělat xD

Zatím díky, bude to trošku zdlouhávé, když nemám přímo přístup k PC :-|

[altrok]

Enterprise pro domaci pouzivani? Nejsem si jisty, zda nedochazi k poruseni licencnich podminek, protoze tato verze OS je urcena pouze pro firemni klientelu...


Prehledl jsem, ze se jedna jen o sken... z noveho logu bychom to poznali. Smazeme to rucne jak date nove logy.


Malware je nekonecna studnice informaci (autori malwaru vzdy prijdou s necim novym), takze na patecni vecery, kdyz neni do ceho pichnout, idealni material ^^

[afroun]

Tak nové logy v příloze.

Jinak kamarád říkal, že se situace trochu změnila - vypadává mu připojení a občas nejde restartovat PC. Podle logů se toho moc nezměnilo. Mimochodem nemůžu v Avastu najít historii souborového štítu - pouze výsledky testů (které nic nenašly) a obsah karantény - který přikládám.

Zdá se že HTTPS se tady nezbavím, takže do CODE.

Kód: Vybrat vše

https://s28.postimg.org/ggx10w73h/karantena.png

Jinak za ten BAT jsem přidal příponu .fake a za ten soubor co to spouštělo také.

Enterprise pro domaci pouzivani? Nejsem si jisty, zda nedochazi k poruseni licencnich podminek, protoze tato verze OS je urcena pouze pro firemni klientelu...

Když se nadtím zamyslím, tak asi ano. Předám informaci dále, ale vzhledem k tomu, že už takhle funguje přes 2 roky, tak ho to asi trápit nebude.

[altrok]

• Stahnete Crystal Disk Info (CDI) https://osdn.jp/frs/redir.php?m=cznic&f ... o6_7_5.zip
• archiv extrahujte a spustte vyextrahovany soubor DiskInfo.exe
• ve spustenem programu kliknete nahore na Upravy -> Kopirovat (log mate nyni zkopirovany ve schrance)
• log vlozte do dalsi odpovedi (Ctrl + V)

• Do Poznamkoveho bloku (Start -> spustit -> notepad) zkopirujte obsah bileho pole
• ulozte na plochu jako fixlist (Typ souboru: Textovy dokument)
• znovu spustte FRST a kliknete na Fix
• po restartu bude na plose ulozen fixlog, jehoz obsah vlozte do pristi odpovedi

  Kód: Vybrat vše

  Start
  CreateRestorePoint:
  CloseProcesses:
  HKU\S-1-5-21-2465145234-1619852749-2883403516-1000\...\Run: [**syoxazq<*>] => "C:\Users\PLAYGROUND\AppData\Local\2aee\2c7e.bat" <===== ATTENTION (Value Name with invalid characters)
  Folder: C:\Users\PLAYGROUND\AppData\Local\2aee
  HKU\S-1-5-21-2465145234-1619852749-2883403516-1000\...\MountPoints2: E - E:\SETUP.EXE
  File: C:\ProgramData\Microsoft\Performance\Monitor\PerformanceMonitor.dll
  Folder: C:\ProgramData\Microsoft\Performance\Monitor
  Folder: C:\ProgramData\Microsoft\Performance
  ShellIconOverlayIdentifiers: [0PerformanceMonitor] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} => C:\ProgramData\Microsoft\Performance\Monitor\PerformanceMonitor.dll [2016-12-06] ()
  Toolbar: HKU\S-1-5-21-2465145234-1619852749-2883403516-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
  S3 VGPU; System32\drivers\rdvgkmd.sys [X]
  Folder: C:\Users\PLAYGROUND\AppData\Local\SysHashTable
  Folder: C:\Users\PLAYGROUND\AppData\Local\CrashDumps
  CMD: reg query "HKU\S-1-5-21-2465145234-1619852749-2883403516-1000\Software\Classes\1ccc" /s
  FirewallRules: [{843C8C27-EAAE-4668-B4F5-87E36E89A0E0}] => C:\Windows\explorer.exe
  FirewallRules: [{ABEA943E-B4AC-4AC9-953F-4B8CE66ABE28}] => C:\Windows\system32\rundll32.exe
  CMD: dir "C:\PROGRA~1"
  CMD: dir "C:\PROGRA~2"
  CMD: dir "C:\PROGRA~3"
  CMD: dir "%localappdata%"
  CMD: dir "%appdata%"
  Hosts:
  EmptyTemp:
  End

[afroun]

tak fixlist dokonán, ale jen nouzově pro zálohu nějakých dat, protože se to začalo bortit kompletně, takže jsem nahodil poinstalační systémový obraz a je po problému.

Každopádně i tak děkuji za help

Prosím o LOCK

[altrok]

I to je reseni. Nemate zac


Hezke a poklidne svatky prozite ve zdravi a s temi, ktere mate rad