VIRY.CZ

Pomáháme v boji s počítačovou havěti!
https://forum.viry.cz:443/

Police Central E-crime Unit (PCEU) Ransomware

https://forum.viry.cz:443/viewtopic.php?t=125815

Stránka 2 z 3

Re: Police Central E-crime Unit (PCEU) Ransomware

Napsal: 16 lis 2012 20:55
od maceoparker
ComboFix 12-11-16.02 - Tomáš 16.11.2012 20:40:19.6.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.2039.1176 [GMT 1:00]
Spuštěný z: C:\ComboFix.exe
Použité ovládací přepínače :: C:\CFScript.txt
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
AV: AVG Anti-Virus Free Edition 2012 *Enabled/Updated* {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.
FILE ::
"c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\AAdobe Gamma Loader.exe.lnk"
"c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\AAkcelerátor spuštění AutoCADu.lnk"
"c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\Adobe Acrobat Speed Launcher.lnk"
"c:\windows\Tasks\Adobe Flash Player Updater.job"
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\GridinSoft Trojan Killer
c:\program files\GridinSoft Trojan Killer\logs\scan-2012-11-15 [08-54-07].log
c:\program files\GridinSoft Trojan Killer\vs.c
.
.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_FKBVTNLHE
-------\Service_fkbvtnlhe
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2012-10-16 do 2012-11-16 )))))))))))))))))))))))))))))))
.
.
2012-11-16 19:37 . 2012-11-16 19:36 1973368 ----a-w- C:\avg_remover_stf_x86_2012_2125.exe
2012-11-15 23:14 . 2012-10-30 22:51 361032 ----a-w- c:\windows\system32\drivers\aswSP.sys
2012-11-15 23:14 . 2012-10-30 22:51 21256 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2012-11-15 23:14 . 2012-10-30 22:51 35928 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2012-11-15 23:14 . 2012-10-30 22:51 54232 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2012-11-15 23:14 . 2012-10-30 22:51 738504 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2012-11-15 23:13 . 2012-10-30 22:51 97608 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2012-11-15 23:13 . 2012-10-30 22:51 89752 ----a-w- c:\windows\system32\drivers\aswmon.sys
2012-11-15 23:13 . 2012-10-30 22:51 25256 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2012-11-15 23:13 . 2012-10-30 22:51 41224 ----a-w- c:\windows\avastSS.scr
2012-11-15 23:13 . 2012-10-30 22:50 227648 ----a-w- c:\windows\system32\aswBoot.exe
2012-11-15 23:13 . 2012-11-15 23:13 -------- d-----w- c:\program files\AVAST Software
2012-11-15 23:13 . 2012-11-15 23:13 -------- d-----w- c:\documents and settings\All Users\Data aplikací\AVAST Software
2012-11-15 22:14 . 2012-11-15 22:14 -------- d-----w- c:\program files\CPUID
2012-11-15 19:35 . 2012-11-15 19:35 -------- d-----w- C:\rsit
2012-11-15 19:35 . 2012-11-15 19:35 -------- d-----w- c:\program files\trend micro
2012-11-14 23:54 . 2012-11-14 23:54 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2012-11-14 23:49 . 2012-11-14 23:49 -------- d-----w- c:\documents and settings\Administrator\Local Settings\Data aplikací\Mozilla
2012-11-06 22:34 . 2012-11-06 22:34 -------- d-----w- c:\documents and settings\Tomáš\Local Settings\Data aplikací\HF Designer 2.7
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-11-06 22:33 . 2010-11-03 22:21 481724 ----a-w- c:\documents and settings\Tomáš\Data aplikací\mdbu.bin
2012-10-22 19:57 . 2002-09-20 15:41 1866368 ----a-w- c:\windows\system32\win32k.sys
2012-10-09 18:26 . 2012-04-11 22:01 696760 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-10-09 18:26 . 2011-12-18 22:20 73656 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-10-02 18:04 . 2001-10-25 12:00 58368 ----a-w- c:\windows\system32\synceng.dll
2012-08-28 15:18 . 2002-09-20 16:05 916992 ----a-w- c:\windows\system32\wininet.dll
2012-08-28 15:18 . 2002-09-20 16:04 43520 ----a-w- c:\windows\system32\licmgr10.dll
2012-08-28 15:18 . 2002-09-20 16:05 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2012-08-28 12:07 . 2007-12-18 14:20 385024 ----a-w- c:\windows\system32\html.iec
2012-08-24 13:53 . 2001-10-25 12:00 177664 ----a-w- c:\windows\system32\wintrust.dll
2012-08-23 06:27 . 2002-09-20 17:12 2029568 ------w- c:\windows\system32\ntkrnlpa.exe
2012-08-23 06:27 . 2002-09-20 15:12 2150912 ------w- c:\windows\system32\ntoskrnl.exe
2009-02-11 23:00 . 2009-04-15 21:07 323072 ------w- c:\program files\WgaTray.exe
2009-02-11 23:00 . 2009-04-15 21:07 190976 ------w- c:\program files\WgaLogon.dll
2009-02-11 23:00 . 2009-04-15 21:07 1481728 ------w- c:\program files\LegitCheckControl.dll
2012-11-16 11:32 . 2012-11-16 11:32 261600 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2012-10-30 22:50 121528 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-11-17 18789408]
"RemoteDesktopManager"="d:\software\remote desktop\RemoteDesktopManager.exe" [2010-11-15 1801968]
"VantageService"="c:\program files\SMART Technologies\Education Software\VantageService.exe" [2012-05-14 188272]
"SMART SNMP Agent"="c:\program files\SMART Technologies\Education Software\SMARTSNMPAgent.exe" [2012-03-21 967536]
"SMART Board Tools"="c:\program files\SMART Technologies\Education Software\SMARTBoardTools.exe" [2012-03-09 10132336]
"SMART Ink"="c:\program files\SMART Technologies\Education Software\SMARTInk.exe" [2012-03-21 94064]
"Response Desktop Menu"="c:\program files\SMART Technologies\Education Software\DesktopMenu.exe" [2012-03-02 1960816]
"SMARTClassroomCoordinator.exe"="c:\program files\SMART Technologies\Education Software\SMARTClassroomCoordinator.exe" [2011-06-22 485232]
"SMART Mirror Driver Monitor Service"="c:\program files\Common Files\SMART Technologies\Mirror Driver\MonitorService.exe" [2011-06-22 141680]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2012-10-30 4297136]
.
c:\documents and settings\Tomáš\Nabídka Start\Programy\Po spuštění\
OpenOffice.org 3.3.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\
Adobe Acrobat Speed Launcher.lnk - c:\windows\Installer\{AC76BA86-1033-C740-7760-100000000002}\SC_Acrobat.exe [2007-12-18 25214]
Adobe Gamma Loader.exe.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2007-12-18 113664]
Akcelerátor spuštění AutoCADu.lnk - c:\program files\Common Files\Autodesk Shared\acstart17.exe [2006-3-5 11000]
ExifLauncher2.lnk - c:\program files\FinePixViewer\QuickDCF2.exe [2008-6-27 303104]
GammaTray.lnk - c:\program files\MagicTune Premium\GammaTray.exe [2009-9-6 36864]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSIServer]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\MagicTune Premium\\MagicTune.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\OpenVPN\\bin\\openvpn.exe"=
"c:\\Program Files\\SMART Technologies\\Education Software\\UCGui.exe"=
"c:\\Program Files\\SMART Technologies\\Education Software\\SMARTSNMPAgent.exe"=
"c:\\Program Files\\SMART Technologies\\Education Software\\UCService.exe"=
"c:\\Program Files\\SMART Technologies\\Education Software\\VantageService.exe"=
"c:\\Program Files\\SMART Technologies\\Education Software\\ResponseSoftwareService.exe"=
"c:\\Program Files\\SMART Technologies\\Education Software\\SMARTSyncTeacher.exe"=
.
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [16.11.2012 0:14 738504]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [16.11.2012 0:14 361032]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [16.11.2012 0:14 21256]
R2 SMART Display Controller;SMART Display Controller;c:\program files\SMART Technologies\Education Software\UCService.exe [21.3.2012 14:25 820592]
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\atl01_xp.sys [18.12.2007 15:33 35840]
R3 smrtdrv;SMART Technologies Inc. Mirror Driver;c:\windows\system32\drivers\smrtdrv.sys [22.4.2004 9:38 2432]
S2 Response Hardware;Response Hardware;c:\program files\SMART Technologies\Education Software\ResponseHardwareService.exe [2.3.2012 16:24 19312]
S2 SMART Mirror Driver Monitor Service;SMART Mirror Driver Monitor Service;c:\program files\Common Files\SMART Technologies\Mirror Driver\MonitorService.exe [22.6.2011 7:42 141680]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [11.7.2010 8:13 1684736]
.
Obsah adresáře 'Naplánované úlohy'
.
2012-11-16 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-11 18:26]
.
2012-11-16 c:\windows\Tasks\avast! Emergency Update.job
- c:\program files\AVAST Software\Avast\AvastEmUpdate.exe [2012-11-15 22:50]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
uDefault_Search_URL = hxxp://www.google.com/ie
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Převést cíl vazby do Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Převést cíl vazby do existujícího PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Převést do Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Převést do existujícího PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Převést vybrané vazby do Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Převést vybrané vazby do existujícího PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Převést výběr do Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Převést výběr do existujícího PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
TCP: DhcpNameServer = 78.156.32.2 192.168.10.1
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Tomáš\Data aplikací\Mozilla\Firefox\Profiles\cs8qi4m5.default\
FF - ExtSQL: 2012-11-16 00:16; wrc@avast.com; c:\program files\AVAST Software\Avast\WebRep\FF
FF - ExtSQL: !HIDDEN! 2009-08-22 21:58; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-11-16 20:50
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|˙˙˙˙Ŕ•€|ů•6~*]
"AB141C35E9F4BF344B9FC010BB17F68A"=""
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'explorer.exe'(3012)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\program files\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
c:\program files\Nokia\Nokia PC Suite 7\NGSCM.DLL
c:\program files\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_cze.nlr
c:\program files\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\AVAST Software\Avast\AvastSvc.exe
c:\windows\system32\bgsvcgen.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\MagicTune Premium\MagicTuneEngine.exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\RTHDCPL.EXE
c:\program files\SMART Technologies\Education Software\SMARTBoardService.exe
c:\program files\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\windows\System32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\program files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
c:\program files\MagicTune Premium\MagicTune.exe
c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe
c:\program files\SMART Technologies\Education Software\ResponseSoftwareService.exe
.
**************************************************************************
.
Celkový čas: 2012-11-16 20:54:18 - počítač byl restartován
ComboFix-quarantined-files.txt 2012-11-16 19:54
ComboFix2.txt 2012-11-15 23:34
ComboFix3.txt 2012-11-15 21:42
.
Před spuštěním: 5 224 181 760
Po spuštění: 5 157 212 160
.
- - End Of File - - F25082624FEECAB5B4CD60F724809702

Re: Police Central E-crime Unit (PCEU) Ransomware

Napsal: 16 lis 2012 21:04
od vyosek
Jak se chova PC :???:

Re: Police Central E-crime Unit (PCEU) Ransomware

Napsal: 16 lis 2012 21:10
od maceoparker
Zatím se vše tváří normálně.

Re: Police Central E-crime Unit (PCEU) Ransomware

Napsal: 16 lis 2012 22:16
od vyosek
Tak jeste uklidime :James008:

:arrow: Odinstalujte Combofix
  • Prejmenujte ComboFix na Uninstall
  • Spustte jej
  • Tohle smaze Combofix a jeho slozky
:arrow: T-Cleaner http://vyosek.ic.cz/pro_usery/T-Cleaner.exe
  • Stahnete a spustte
  • Pro potvrzeni volby mackejte A, Enter
  • Po pouziti utilitu smazte
  • Antiviry touhou utilitu chybne oznacit jako vir - jedna se o falesny poplach - takze v pohode stahnete (pripadne vypnete pri stahovani antivir)
:arrow: OTC http://oldtimer.geekstogo.com/OTC.exe
  • Stahnete a spustte
  • Kliknete na CleanUp a potvrdte YES
  • Program uklidi a restartuje PC

:arrow: TFC http://oldtimer.geekstogo.com/TFC.exe
  • Stahnete a spustte
  • Kliknete na Start a potvrdte OK
  • Program uklidi a restartuje pc
  • Po pouziti utilitu smazte
:arrow: Stahnete Ccleaner http://forum.viry.cz/viewtopic.php?t=7478
Panel čistič
  • Vse nechte jak je, jen dejte Analyzovat a pote Spustit CCleaner
Panel registry
  • dejte Hledej problémy
  • nasledne Opravit problémy - zalohu registru doporucuji udelat, opravte vsechny problemy
  • postup opakujte dokud nebude bez problemu - vetsinou cca 3x
Panel nástroje
  • Zde muzete odinstalovat nepotrebne programy
CCleaner doporucuji pouzivat cca jednou za tyden

:arrow: A pokud nejsou problemy ci dotazy, je to z me strany vse :|

Re: Police Central E-crime Unit (PCEU) Ransomware

Napsal: 17 lis 2012 22:00
od maceoparker
Moc dekuji za pomoc!
Na toto forum nedam dopustit! Jiz dvakrat me zachranilo od reinstalace systemu a usetrilo spoustu casu!!!

Mam ale jeste dotaz na AVG v pocitaci. I pres pouziti nize uvedeneho odkazu se stale centrum zabezpeceni Windows odkazuje na AVG. Mam to nechat byt? Znamena to, ze jsem se AVG jeste zcela nezbavil?
":arrow: Odinstalujte AVG a pak pouzijte jeste tohle http://download.avg.com/filedir/util/av ... 2_2125.exe"

diky za info.

Re: Police Central E-crime Unit (PCEU) Ransomware

Napsal: 17 lis 2012 22:23
od vyosek
:arrow: Pouzijte ten remover jak jsem psal, ono je to umyslne, jelikoz prave primo jejich odinstalator neni moc dobry a obcas udela chybu...

:arrow: Pokud bude i pres pouziti removeru odkazovat na avg, tak jej poresime :)

Re: Police Central E-crime Unit (PCEU) Ransomware

Napsal: 17 lis 2012 23:44
od maceoparker
Remover AVG jsem predtim dle rady pouzil. Zahlasi, ze bude vyzadovat restart pocitace, ale ten neprobehne.
I po pouziti AVG removeru combofix vzdy hlasil aktivitu AVG v pocitaci.
Centrum zabezpeci windows i po opakovanem pouziti removeru a restartu hlasi, ze AVG je v pocitaci aktivni. Zvlastni.
Diky za radu.

Re: Police Central E-crime Unit (PCEU) Ransomware

Napsal: 18 lis 2012 07:15
od vyosek
:arrow: Dle kolegy aplikujte SecurityCheck
stell píše:Stiahni SecurityCheck
Ulož ho na plochu.
Dvakrát kliknite SecurityCheck.exe a postupujte podľa pokynov na obrazovke .
po skonceni skenu Notepad sa automaticky otvorí s názvom checkup.txt,obsah vloz sem.

Re: Police Central E-crime Unit (PCEU) Ransomware

Napsal: 18 lis 2012 20:30
od maceoparker
Results of screen317's Security Check version 0.99.54
Windows XP Service Pack 3 x86
Internet Explorer 8
``````````````Antivirus/Firewall Check:``````````````
AVG Anti-Virus Free Edition 2012
avast! Antivirus
Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
CCleaner
Java(TM) 6 Update 22
Java version out of Date!
Adobe Flash Player 11.4.402.287
Mozilla Firefox (16.0.2)
````````Process Check: objlist.exe by Laurent````````
AVAST Software Avast AvastSvc.exe
AVAST Software Avast avastUI.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C::
````````````````````End of Log``````````````````````

Re: Police Central E-crime Unit (PCEU) Ransomware

Napsal: 18 lis 2012 23:02
od vyosek
:arrow: Dalsi skript pro CF, postup stejny

Kód: Vybrat vše

KillAll::

SecCenter::
AV: AVG Anti-Virus Free Edition 2012 *Enabled/Updated* {17DDD097-36FF-435F-9E1B-52D74245D6BF}
{17DDD097-36FF-435F-9E1B-52D74245D6BF}

File::
C:\avg_remover_stf_x86_2012_2125.exe
c:\windows\Tasks\Adobe Flash Player Updater.job
c:\windows\Tasks\avast! Emergency Update.job

RegNull::
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|˙˙˙˙Ŕ•€|ů•6~*]

ClearJavaCache::

Reboot::

Re: Police Central E-crime Unit (PCEU) Ransomware

Napsal: 19 lis 2012 22:11
od maceoparker
ComboFix 12-11-19.02 - Tomáš 19.11.2012 21:56:05.7.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.2039.1230 [GMT 1:00]
Spuštěný z: C:\ComboFix.exe
Použité ovládací přepínače :: C:\CFScript.txt
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
* Vytvořen nový Bod Obnovení
.
FILE ::
"C:\avg_remover_stf_x86_2012_2125.exe"
"c:\windows\Tasks\Adobe Flash Player Updater.job"
"c:\windows\Tasks\avast! Emergency Update.job"
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2012-10-19 do 2012-11-19 )))))))))))))))))))))))))))))))
.
.
2012-11-17 21:14 . 2012-11-17 21:14 -------- d-----w- c:\documents and settings\Tomáš\Local Settings\Data aplikací\Chromium
2012-11-17 21:13 . 2012-11-17 21:14 -------- d-----w- c:\program files\SRWare Iron
2012-11-17 20:14 . 2012-11-17 20:14 -------- d-----w- c:\program files\XnView
2012-11-17 20:07 . 2012-11-17 20:07 -------- d-----w- c:\program files\MultiScreen
2012-11-17 19:59 . 2012-11-17 19:59 -------- d-----w- c:\program files\CCleaner
2012-11-16 19:37 . 2012-11-17 20:54 1973368 ----a-w- C:\avg_remover_stf_x86_2012_2125.exe
2012-11-15 23:14 . 2012-10-30 22:51 361032 ----a-w- c:\windows\system32\drivers\aswSP.sys
2012-11-15 23:14 . 2012-10-30 22:51 21256 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2012-11-15 23:14 . 2012-10-30 22:51 35928 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2012-11-15 23:14 . 2012-10-30 22:51 54232 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2012-11-15 23:14 . 2012-10-30 22:51 738504 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2012-11-15 23:13 . 2012-10-30 22:51 97608 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2012-11-15 23:13 . 2012-10-30 22:51 89752 ----a-w- c:\windows\system32\drivers\aswmon.sys
2012-11-15 23:13 . 2012-10-30 22:51 25256 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2012-11-15 23:13 . 2012-10-30 22:51 41224 ----a-w- c:\windows\avastSS.scr
2012-11-15 23:13 . 2012-10-30 22:50 227648 ----a-w- c:\windows\system32\aswBoot.exe
2012-11-15 23:13 . 2012-11-15 23:13 -------- d-----w- c:\program files\AVAST Software
2012-11-15 23:13 . 2012-11-15 23:13 -------- d-----w- c:\documents and settings\All Users\Data aplikací\AVAST Software
2012-11-15 22:14 . 2012-11-15 22:14 -------- d-----w- c:\program files\CPUID
2012-11-14 23:54 . 2012-11-14 23:54 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2012-11-14 23:49 . 2012-11-14 23:49 -------- d-----w- c:\documents and settings\Administrator\Local Settings\Data aplikací\Mozilla
2012-11-06 22:34 . 2012-11-06 22:34 -------- d-----w- c:\documents and settings\Tomáš\Local Settings\Data aplikací\HF Designer 2.7
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-11-06 22:33 . 2010-11-03 22:21 481724 ----a-w- c:\documents and settings\Tomáš\Data aplikací\mdbu.bin
2012-10-22 19:57 . 2002-09-20 15:41 1866368 ----a-w- c:\windows\system32\win32k.sys
2012-10-09 18:26 . 2012-04-11 22:01 696760 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-10-09 18:26 . 2011-12-18 22:20 73656 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-10-02 18:04 . 2001-10-25 12:00 58368 ----a-w- c:\windows\system32\synceng.dll
2012-08-28 15:18 . 2002-09-20 16:05 916992 ----a-w- c:\windows\system32\wininet.dll
2012-08-28 15:18 . 2002-09-20 16:04 43520 ----a-w- c:\windows\system32\licmgr10.dll
2012-08-28 15:18 . 2002-09-20 16:05 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2012-08-28 12:07 . 2007-12-18 14:20 385024 ----a-w- c:\windows\system32\html.iec
2012-08-24 13:53 . 2001-10-25 12:00 177664 ----a-w- c:\windows\system32\wintrust.dll
2012-08-23 06:27 . 2002-09-20 17:12 2029568 ------w- c:\windows\system32\ntkrnlpa.exe
2012-08-23 06:27 . 2002-09-20 15:12 2150912 ------w- c:\windows\system32\ntoskrnl.exe
2009-02-11 23:00 . 2009-04-15 21:07 323072 ------w- c:\program files\WgaTray.exe
2009-02-11 23:00 . 2009-04-15 21:07 190976 ------w- c:\program files\WgaLogon.dll
2009-02-11 23:00 . 2009-04-15 21:07 1481728 ------w- c:\program files\LegitCheckControl.dll
2012-11-16 11:32 . 2012-11-16 11:32 261600 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2012-10-30 22:50 121528 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-11-17 18789408]
"RemoteDesktopManager"="d:\software\remote desktop\RemoteDesktopManager.exe" [2010-11-15 1801968]
"VantageService"="c:\program files\SMART Technologies\Education Software\VantageService.exe" [2012-05-14 188272]
"SMART SNMP Agent"="c:\program files\SMART Technologies\Education Software\SMARTSNMPAgent.exe" [2012-03-21 967536]
"SMART Board Tools"="c:\program files\SMART Technologies\Education Software\SMARTBoardTools.exe" [2012-03-09 10132336]
"SMART Ink"="c:\program files\SMART Technologies\Education Software\SMARTInk.exe" [2012-03-21 94064]
"Response Desktop Menu"="c:\program files\SMART Technologies\Education Software\DesktopMenu.exe" [2012-03-02 1960816]
"SMARTClassroomCoordinator.exe"="c:\program files\SMART Technologies\Education Software\SMARTClassroomCoordinator.exe" [2011-06-22 485232]
"SMART Mirror Driver Monitor Service"="c:\program files\Common Files\SMART Technologies\Mirror Driver\MonitorService.exe" [2011-06-22 141680]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2012-10-30 4297136]
.
c:\documents and settings\Tomáš\Nabídka Start\Programy\Po spuštění\
OpenOffice.org 3.3.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\
Adobe Acrobat Speed Launcher.lnk - c:\windows\Installer\{AC76BA86-1033-C740-7760-100000000002}\SC_Acrobat.exe [2007-12-18 25214]
Adobe Gamma Loader.exe.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2007-12-18 113664]
Akcelerátor spuštění AutoCADu.lnk - c:\program files\Common Files\Autodesk Shared\acstart17.exe [2006-3-5 11000]
ExifLauncher2.lnk - c:\program files\FinePixViewer\QuickDCF2.exe [2008-6-27 303104]
GammaTray.lnk - c:\program files\MagicTune Premium\GammaTray.exe [2009-9-6 36864]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSIServer]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\MagicTune Premium\\MagicTune.exe"=
"c:\\Program Files\\OpenVPN\\bin\\openvpn.exe"=
"c:\\Program Files\\SMART Technologies\\Education Software\\UCGui.exe"=
"c:\\Program Files\\SMART Technologies\\Education Software\\SMARTSNMPAgent.exe"=
"c:\\Program Files\\SMART Technologies\\Education Software\\UCService.exe"=
"c:\\Program Files\\SMART Technologies\\Education Software\\VantageService.exe"=
"c:\\Program Files\\SMART Technologies\\Education Software\\ResponseSoftwareService.exe"=
"c:\\Program Files\\SMART Technologies\\Education Software\\SMARTSyncTeacher.exe"=
.
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [16.11.2012 0:14 738504]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [16.11.2012 0:14 361032]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [16.11.2012 0:14 21256]
R2 Response Hardware;Response Hardware;c:\program files\SMART Technologies\Education Software\ResponseHardwareService.exe [2.3.2012 16:24 19312]
R2 SMART Display Controller;SMART Display Controller;c:\program files\SMART Technologies\Education Software\UCService.exe [21.3.2012 14:25 820592]
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\atl01_xp.sys [18.12.2007 15:33 35840]
R3 smrtdrv;SMART Technologies Inc. Mirror Driver;c:\windows\system32\drivers\smrtdrv.sys [22.4.2004 9:38 2432]
S2 SMART Mirror Driver Monitor Service;SMART Mirror Driver Monitor Service;c:\program files\Common Files\SMART Technologies\Mirror Driver\MonitorService.exe [22.6.2011 7:42 141680]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [11.7.2010 8:13 1684736]
.
Obsah adresáře 'Naplánované úlohy'
.
2012-11-19 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-11 18:26]
.
2012-11-19 c:\windows\Tasks\avast! Emergency Update.job
- c:\program files\AVAST Software\Avast\AvastEmUpdate.exe [2012-11-15 22:50]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
uDefault_Search_URL = hxxp://www.google.com/ie
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Převést cíl vazby do Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Převést cíl vazby do existujícího PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Převést do Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Převést do existujícího PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Převést vybrané vazby do Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Převést vybrané vazby do existujícího PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Převést výběr do Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Převést výběr do existujícího PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
TCP: DhcpNameServer = 78.156.32.2 192.168.10.1
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Tomáš\Data aplikací\Mozilla\Firefox\Profiles\cs8qi4m5.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz/
FF - ExtSQL: 2012-11-16 00:16; wrc@avast.com; c:\program files\AVAST Software\Avast\WebRep\FF
FF - ExtSQL: !HIDDEN! 2009-08-22 21:58; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-11-19 22:04
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|˙˙˙˙Ŕ•€|ů•6~*]
"AB141C35E9F4BF344B9FC010BB17F68A"=""
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'explorer.exe'(2684)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\program files\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
c:\program files\Nokia\Nokia PC Suite 7\NGSCM.DLL
c:\program files\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_cze.nlr
c:\program files\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\program files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
c:\program files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\AVAST Software\Avast\AvastSvc.exe
c:\windows\system32\bgsvcgen.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\MagicTune Premium\MagicTuneEngine.exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\SMART Technologies\Education Software\SMARTBoardService.exe
c:\windows\RTHDCPL.EXE
c:\windows\System32\wbem\wmiapsrv.exe
c:\program files\MagicTune Premium\MagicTune.exe
c:\program files\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe
c:\program files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
c:\program files\SMART Technologies\Education Software\ResponseSoftwareService.exe
.
**************************************************************************
.
Celkový čas: 2012-11-19 22:09:53 - počítač byl restartován
ComboFix-quarantined-files.txt 2012-11-19 21:09
.
Před spuštěním: 4 027 502 592
Po spuštění: 3 984 470 016
.
- - End Of File - - AC162A518B5B7F073072CB59E533F09D

Re: Police Central E-crime Unit (PCEU) Ransomware

Napsal: 19 lis 2012 22:55
od vyosek
Fajn, jak se chova nas pacient :???:

Re: Police Central E-crime Unit (PCEU) Ransomware

Napsal: 20 lis 2012 21:55
od maceoparker
AVG je konečně pryč z počítače. Jinak se to zatím tváří normálně. Snad již vše bude v pořádku. Každopádně díky moc za další pomoc.

Re: Police Central E-crime Unit (PCEU) Ransomware

Napsal: 20 lis 2012 22:07
od vyosek
Tak jeste uklidime :James008:

:arrow: Odinstalujte Combofix
  • Prejmenujte ComboFix na Uninstall
  • Spustte jej
  • Tohle smaze Combofix a jeho slozky
:arrow: T-Cleaner http://vyosek.ic.cz/pro_usery/T-Cleaner.exe
  • Stahnete a spustte
  • Pro potvrzeni volby mackejte A, Enter
  • Po pouziti utilitu smazte
  • Antiviry touhou utilitu chybne oznacit jako vir - jedna se o falesny poplach - takze v pohode stahnete (pripadne vypnete pri stahovani antivir)
:arrow: OTC http://oldtimer.geekstogo.com/OTC.exe
  • Stahnete a spustte
  • Kliknete na CleanUp a potvrdte YES
  • Program uklidi a restartuje PC

:arrow: TFC http://oldtimer.geekstogo.com/TFC.exe
  • Stahnete a spustte
  • Kliknete na Start a potvrdte OK
  • Program uklidi a restartuje pc
  • Po pouziti utilitu smazte
:arrow: Stahnete Ccleaner http://forum.viry.cz/viewtopic.php?t=7478
Panel čistič
  • Vse nechte jak je, jen dejte Analyzovat a pote Spustit CCleaner
Panel registry
  • dejte Hledej problémy
  • nasledne Opravit problémy - zalohu registru doporucuji udelat, opravte vsechny problemy
  • postup opakujte dokud nebude bez problemu - vetsinou cca 3x
Panel nástroje
  • Zde muzete odinstalovat nepotrebne programy
CCleaner doporucuji pouzivat cca jednou za tyden

:arrow: A pokud nejsou problemy ci dotazy, je to z me strany vse :|

Re: Police Central E-crime Unit (PCEU) Ransomware

Napsal: 21 lis 2012 20:43
od maceoparker
Ještě jednou díky!!! :)
Všechny časy jsou v UTC+01:00
Stránka 2 z 3

Založeno na phpBB® Forum Software © phpBB Limited

Český překlad – phpBB.cz