Odvirování PC, zrychlení počítače, vzdálená pomoc prostřednictvím služby neslape.cz

Čínský malware, vir - chová se jako správce, FRSTLauncher ne

Máte problém s virem? Vložte sem log z FRST nebo RSIT.

Moderátor: Moderátoři

Pravidla fóra
Pokud chcete pomoc, vložte log z FRST [návod zde] nebo RSIT [návod zde]

Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.

!NOVINKA!
Nově lze využívat služby vzdálené pomoci, kdy se k vašemu počítači připojí odborník a bližší informace o problému si od vás získá telefonicky! Více na www.neslape.cz
Zamčeno
Zpráva
Autor
Márty84
VIP
VIP
Příspěvky: 21679
Registrován: 05 pro 2009 20:08
Bydliště: Ostrava

Re: Čínský malware, vir - chová se jako správce, FRSTLaunche

#16 Příspěvek od Márty84 »

:arrow: Nalezy nechte odstranit.

:arrow: MBAM zatim nechte v pc.

:arrow: Dejte logy podle tohoto navodu http://forum.viry.cz/viewtopic.php?f=13&t=133100 - vypnete na chvili antivir, je mozne, ze to bude blokovat jako skodnou, ale pouzivame to porad, jedna se o falesny poplach :)
Pokud máte dotaz, který není určen pro veřejnost, můžete mi napsat na mail marty84zavináčforum.viry.cz

Možnost podpořit naše fórum https://platba.viry.cz/payment/

Z časových důvodů teď budu na fóru méně často. V případě delšího čekání na odpověď kontaktujte prosím některého z kolegů (většina má mailovou adresu ve svém podpisu).
Nahoru
F7R
Návštěvník
Návštěvník
Příspěvky: 49
Registrován: 17 bře 2016 12:26

Re: Čínský malware, vir - chová se jako správce, FRSTLaunche

#17 Příspěvek od F7R »

Je mi líto ale nemohu ten FRSTlauncher spustit, psal jsem to na začátku a je to i v předmětu.Ten program tencent to blokuje a a chová se při něm jako spravce (na ikonce FRSTLauncheru mám ikonku toho viru Tencent) ...pěkná hajzlovina ten tencent :twisted:

Ze správce stahování to neotevřu a když jdu na plochu tak tak mi to píše systém windows hledá soubor quarantine.exe, Chcete li jej najít sami, klepněte na tlačítko procházet
Když se ten program na ploše pokusím rozkliknout, ten tencent ho pravděpodobně smaže, protože kdyžse pak vrátím do správce stahování, je to šedé a je u toho že "Nebylo nalezeno"

Používam Maxthon Cloud
Nahoru
Márty84
VIP
VIP
Příspěvky: 21679
Registrován: 05 pro 2009 20:08
Bydliště: Ostrava

Re: Čínský malware, vir - chová se jako správce, FRSTLaunche

#18 Příspěvek od Márty84 »

Dejte log jen ze samotneho FRST, bez pouziti Launcheru.
Pokud máte dotaz, který není určen pro veřejnost, můžete mi napsat na mail marty84zavináčforum.viry.cz

Možnost podpořit naše fórum https://platba.viry.cz/payment/

Z časových důvodů teď budu na fóru méně často. V případě delšího čekání na odpověď kontaktujte prosím některého z kolegů (většina má mailovou adresu ve svém podpisu).
Nahoru
F7R
Návštěvník
Návštěvník
Příspěvky: 49
Registrován: 17 bře 2016 12:26

Re: Čínský malware, vir - chová se jako správce, FRSTLaunche

#19 Příspěvek od F7R »

Mam spatne zpravy. Jeste nez jste postnul posledni prispevek, tak mne bohuzel napadlo spustit msconfig a zakazat programu Tencent automaticke spusteni po startu windows, odebrat tento program ze spodni listy samospoustenych programu na prave strane listy. Windows nasledne pozadoval restart. Po restartu cerna obrazovka a nic. Spustil jsem nouzovy rezim.Tam jsem se uz do windows dostal ale napsal mi ze muj ucet nebyĺ spravne nacten tudiz nic. Nemohu do svych slozek a nespustim ani IE. Pak jsem najel do program files a Tencent cely smazal (v nouzaku to kupodivu slo) Takze hadam konec a uz mi asi pomoct nemuzete ze?
Naposledy upravil(a) F7R dne 19 bře 2016 18:19, celkem upraveno 2 x.
Nahoru
Márty84
VIP
VIP
Příspěvky: 21679
Registrován: 05 pro 2009 20:08
Bydliště: Ostrava

Re: Čínský malware, vir - chová se jako správce, FRSTLaunche

#20 Příspěvek od Márty84 »

Zkuste obnovu systemu k datu, nez se tam ten smejd dostal.
Pokud máte dotaz, který není určen pro veřejnost, můžete mi napsat na mail marty84zavináčforum.viry.cz

Možnost podpořit naše fórum https://platba.viry.cz/payment/

Z časových důvodů teď budu na fóru méně často. V případě delšího čekání na odpověď kontaktujte prosím některého z kolegů (většina má mailovou adresu ve svém podpisu).
Nahoru
F7R
Návštěvník
Návštěvník
Příspěvky: 49
Registrován: 17 bře 2016 12:26

Re: Čínský malware, vir - chová se jako správce, FRSTLaunche

#21 Příspěvek od F7R »

Márty84 píše:Zkuste obnovu systemu k datu, nez se tam ten smejd dostal.
Jak na to?
Jinak je zajimave ze v nouzaku mi nyni ukazuje ze na cecku je nyni 30 gb volneho mista, predtim bylo volneho mista, kdyz byl pc jeste ok asi 3gb volneho mista.Je mozne ze mi ten Tencent smazal veskera data, soubory a programy z pocitace?
Naposledy upravil(a) F7R dne 19 bře 2016 18:17, celkem upraveno 1 x.
Nahoru
Márty84
VIP
VIP
Příspěvky: 21679
Registrován: 05 pro 2009 20:08
Bydliště: Ostrava

Re: Čínský malware, vir - chová se jako správce, FRSTLaunche

#22 Příspěvek od Márty84 »

http://windows.microsoft.com/cs-cz/wind ... dows-vista

To cislo nemusi byt presne, se uvidi pozdeji.
Pokud máte dotaz, který není určen pro veřejnost, můžete mi napsat na mail marty84zavináčforum.viry.cz

Možnost podpořit naše fórum https://platba.viry.cz/payment/

Z časových důvodů teď budu na fóru méně často. V případě delšího čekání na odpověď kontaktujte prosím některého z kolegů (většina má mailovou adresu ve svém podpisu).
Nahoru
F7R
Návštěvník
Návštěvník
Příspěvky: 49
Registrován: 17 bře 2016 12:26

Re: Čínský malware, vir - chová se jako správce, FRSTLaunche

#23 Příspěvek od F7R »

Obavám se že další problém...
Když kliknu na start-všechny programy, tak tam mám pouze !5! složek, mohl bych je i vyjmenovat, ale myslím že je to jedno, protože jsou všechny prazdné! :evil: Tudíž nikde položku Obnovení systému nemám...
A to jsem v nouzovém režimu...myslím že mi ten šikula Tencent rozjeb+l a vymazal celé windowsy...
protože v nouzovém režimu nemohu otevřít ani obrázek ve formátu .jpg kdy hlasí chybu že požadovaný modul nebyl nalezen...

Zabít málo lidi co tvoří takové šikovné programy typu Tencent :?:
Naposledy upravil(a) F7R dne 19 bře 2016 18:17, celkem upraveno 1 x.
Nahoru
Márty84
VIP
VIP
Příspěvky: 21679
Registrován: 05 pro 2009 20:08
Bydliště: Ostrava

Re: Čínský malware, vir - chová se jako správce, FRSTLaunche

#24 Příspěvek od Márty84 »

Zkuste toto.

:!: Nepouzivejte ComboFix bez predchozi domluvy! Je to poruseni pravidel fora a ztratite tim narok na pomoc!

:arrow: Stahnete ComboFix http://download.bleepingcomputer.com/sUBs/ComboFix.exe a ulozte ho na plochu.
Vypnete antivir i dalsi pripadne zabezpeceni.
Kliknete na ComboFix pravym mysidlem a levym na Spustit jako spravce
Odsouhlaste licencni podminky a nechte program pracovat. Jestli vam nabidne instalaci Konzoly pro zotaveni, souhlaste.
Po dobu skenu nic nespoustejte, nikam neklikejte.
Po dokonceni skenovani (muze dojit i k restartu pc) by se mel vytvorit log, ktery bude umisteny zde C:\ComboFix.txt
Jeho obsah sem zkopirujte

:!: Kdyby po restartu nenabehl windows, restartujte znovu, mackejte klavesu F8 a zvolte - Posledni znama funkcni konfigurace
:!: Kdyz windows nabehne, ale pri spousteni ruznych programu bude hlasena chyba, staci restartovat pc a bude to v poradku
Pokud máte dotaz, který není určen pro veřejnost, můžete mi napsat na mail marty84zavináčforum.viry.cz

Možnost podpořit naše fórum https://platba.viry.cz/payment/

Z časových důvodů teď budu na fóru méně často. V případě delšího čekání na odpověď kontaktujte prosím některého z kolegů (většina má mailovou adresu ve svém podpisu).
Nahoru
F7R
Návštěvník
Návštěvník
Příspěvky: 49
Registrován: 17 bře 2016 12:26

Re: Čínský malware, vir - chová se jako správce, FRSTLaunche

#25 Příspěvek od F7R »

Restart neproběhl, Konzolu na zotavení nenabídl.

ComboFix 16-03-18.01 - SYSTEM 19.03.2016 16:28:05.2.2 - x86 NETWORK
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1250.420.1029.18.3070.2189 [GMT 1:00]
Spuštěný z: c:\windows\system32\config\systemprofile\Desktop\ComboFix.exe
AV: Microsoft Security Essentials *Disabled/Updated* {768124D7-F5F7-6D2F-DDC2-94DFA4017C95}
SP: Microsoft Security Essentials *Disabled/Updated* {CDE0C533-D3CD-62A1-E772-AFADDF863628}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2016-02-19 do 2016-03-19 )))))))))))))))))))))))))))))))
.
.
2016-03-19 10:21 . 2016-03-19 11:52 -------- d-----w- c:\users\Default\AppData\Local\Microsoft
2016-03-19 09:43 . 2016-03-19 09:43 -------- d-----w- c:\programdata\TXQMPC
2016-03-18 06:36 . 2016-03-17 10:07 100088 ----a-w- c:\windows\system32\drivers\TAOKernel.sys
2016-03-18 06:35 . 2016-03-19 09:07 39928 ----a-w- c:\windows\system32\drivers\TS888.sys
2016-03-17 17:12 . 2016-03-18 08:32 170200 ----a-w- c:\windows\system32\drivers\MBAMSwissArmy.sys
2016-03-17 17:10 . 2015-10-05 08:50 51928 ----a-w- c:\windows\system32\drivers\mwac.sys
2016-03-17 17:10 . 2015-10-05 08:50 94936 ----a-w- c:\windows\system32\drivers\mbamchameleon.sys
2016-03-17 17:10 . 2015-10-05 08:50 23256 ----a-w- c:\windows\system32\drivers\mbam.sys
2016-03-17 15:00 . 2016-03-17 10:07 116408 ----a-w- c:\windows\system32\drivers\TAOAccelerator.sys
2016-03-17 13:59 . 2016-03-19 09:25 -------- d-----w- c:\program files\AdwCleaner
2016-03-17 10:09 . 2016-03-17 10:07 14008 ------w- c:\windows\system32\drivers\TSDefenseBt.sys
2016-03-17 10:08 . 2016-03-17 14:59 -------- d-----w- c:\program files\Common Files\Tencent
2016-03-17 10:08 . 2016-03-17 10:07 150008 ------w- c:\windows\system32\drivers\TFsFlt.sys
2016-03-17 10:08 . 2016-03-17 10:07 128216 ------w- c:\windows\system32\drivers\TsFltMgr.sys
2016-03-10 09:12 . 2016-02-06 02:11 802304 ----a-w- c:\windows\system32\advapi32.dll
2016-03-10 09:12 . 2016-02-06 02:12 783872 ----a-w- c:\windows\system32\rpcrt4.dll
2016-03-10 09:12 . 2016-02-06 02:11 49664 ----a-w- c:\windows\system32\csrsrv.dll
2016-03-10 09:12 . 2016-02-06 00:32 64000 ----a-w- c:\windows\system32\smss.exe
2016-03-10 09:12 . 2016-02-19 21:34 1208776 ----a-w- c:\windows\system32\ntdll.dll
2016-03-10 09:12 . 2016-02-06 02:17 3609024 ----a-w- c:\windows\system32\ntkrnlpa.exe
2016-03-10 09:12 . 2016-02-06 02:17 3556800 ----a-w- c:\windows\system32\ntoskrnl.exe
2016-03-10 09:08 . 2016-02-06 02:12 19968 ----a-w- c:\windows\system32\seclogon.dll
2016-03-10 09:07 . 2016-02-06 02:11 34304 ----a-w- c:\windows\system32\atmlib.dll
2016-03-10 09:07 . 2016-02-06 00:33 297472 ----a-w- c:\windows\system32\atmfd.dll
2016-03-10 07:22 . 2016-02-03 17:06 89600 ----a-w- c:\windows\system32\olepro32.dll
2016-03-10 07:22 . 2016-02-03 17:06 564736 ----a-w- c:\windows\system32\oleaut32.dll
2016-03-10 07:22 . 2016-02-03 17:05 67072 ----a-w- c:\windows\system32\asycfilt.dll
2016-03-10 07:08 . 2016-02-04 15:25 2068992 ----a-w- c:\windows\system32\win32k.sys
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2016-03-10 20:17 . 2012-12-04 13:02 797376 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2016-03-10 20:17 . 2012-12-04 13:02 142528 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2016-02-04 22:13 . 2016-02-04 22:13 875720 ----a-w- c:\windows\system32\msvcr120_clr0400.dll
2016-02-04 22:13 . 2016-02-04 22:13 536776 ----a-w- c:\windows\system32\msvcp120_clr0400.dll
2016-01-30 03:09 . 2016-02-11 02:34 324608 ----a-w- c:\windows\system32\sdohlp.dll
2016-01-30 03:09 . 2016-02-11 02:34 153088 ----a-w- c:\windows\system32\sbeio.dll
2016-01-30 03:09 . 2016-02-11 02:34 323072 ----a-w- c:\windows\system32\sbe.dll
2016-01-30 03:09 . 2016-02-11 02:34 293376 ----a-w- c:\windows\system32\psisdecd.dll
2016-01-30 03:09 . 2016-02-11 02:34 429056 ----a-w- c:\windows\system32\EncDec.dll
2016-01-30 03:09 . 2016-02-11 02:34 217600 ----a-w- c:\windows\system32\psisrndr.ax
2016-01-30 03:09 . 2016-02-11 02:32 1316864 ----a-w- c:\windows\system32\ole32.dll
2016-01-30 03:08 . 2016-02-11 02:34 107520 ----a-w- c:\windows\system32\mtxoci.dll
2016-01-30 03:08 . 2016-02-11 02:34 80896 ----a-w- c:\windows\system32\MSNP.ax
2016-01-30 03:08 . 2016-02-11 02:34 180224 ----a-w- c:\windows\system32\msorcl32.dll
2016-01-30 03:08 . 2016-02-11 02:34 57856 ----a-w- c:\windows\system32\MSDvbNP.ax
2016-01-30 03:08 . 2016-02-11 02:34 69632 ----a-w- c:\windows\system32\Mpeg2Data.ax
2016-01-30 03:08 . 2016-02-11 02:34 48128 ----a-w- c:\windows\system32\iasdatastore.dll
2016-01-30 03:08 . 2016-02-11 02:34 57344 ----a-w- c:\windows\system32\iasads.dll
2016-01-30 03:08 . 2016-02-11 02:34 119296 ----a-w- c:\windows\system32\iasrecst.dll
2016-01-30 01:32 . 2016-02-11 02:34 17408 ----a-w- c:\windows\system32\iashost.exe
2016-01-09 17:06 . 2016-02-11 02:01 501760 ----a-w- c:\windows\system32\kerberos.dll
2016-01-07 15:18 . 2016-02-11 02:06 115200 ----a-w- c:\windows\system32\drivers\mrxdav.sys
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"EnableUIADesktopToggle"= 0 (0x0)
"SoftwareSASGeneration"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cz.seznam.software.szndesktop]
c:\users\cesko\AppData\Roaming\Seznam.cz\bin\wszndesktop.exe [BU]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray.exe]
2008-01-21 02:25 125952 ----a-w- c:\windows\ehome\ehtray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2016-02-10 12:44 50599552 ----a-r- c:\program files\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"TkBellExe"="c:\program files\Real\RealPlayer\update\realsched.exe" -osboot
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe"
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3613717200-223133842-2651324926-1000]
"EnableNotificationsRef"=dword:00000001
.
R1 9704792drv;9704792drv;c:\windows\system32\DRIVERS\9704792drv.sys [2013-01-29 489048]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08
.
Obsah adresáře 'Naplánované úlohy'
.
2016-03-19 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-12-04 20:18]
.
.
------- Doplňkový sken -------
.
mSearch Bar = https://www.google.com/?trackid=sp-006
mStart Page = hxxp://www.hao123.com/?tn=95144889_hao_pg
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: mojebanka.cz\*
TCP: DhcpNameServer = 10.0.0.138
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
ShellIconOverlayIdentifiers-{472083B0-C522-11CF-8763-00608CC02F24} - (no file)
HKLM-Run-RTHDVCPL - c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe
HKLM-Run-MSC - c:\program files\Microsoft Security Client\msseces.exe
HKLM-Run-QQPCTray - c:\program files\Tencent\QQPCMgr\11.4.17339.217\QQPCTRAY.EXE
SafeBoot-WudfPf
SafeBoot-WudfRd
MSConfigStartUp-Apoint - c:\program files\Apoint2K\Apoint.exe
MSConfigStartUp-BingSvc - c:\users\cesko\AppData\Local\Microsoft\BingSvc\BingSvc.exe
MSConfigStartUp-CCleaner Monitoring - c:\program files\CCleaner\CCleaner.exe
MSConfigStartUp-cz.seznam.software - c:\users\cesko\AppData\Roaming\Seznam.cz\szninstall.exe
MSConfigStartUp-HP Software Update - c:\program files\HP\HP Software Update\HPWuSchd2.exe
MSConfigStartUp-LightScribe Control Panel - c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe
MSConfigStartUp-RtHDVCpl - c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe
MSConfigStartUp-seznam-listicka-distribuce - c:\program files\Seznam.cz\distribution\szninstall.exe
MSConfigStartUp-Sidebar - c:\program files\Windows Sidebar\sidebar.exe
MSConfigStartUp-SMSERIAL - c:\program files\Motorola\SMSERIAL\sm56hlpr.exe
MSConfigStartUp-uTorrent - c:\users\cesko\AppData\Roaming\uTorrent\uTorrent.exe
MSConfigStartUp-uTox - c:\users\cesko\AppData\Roaming\uTox\uTox.exe
MSConfigStartUp-Windows Defender - c:\program files\Windows Defender\MSASCui.exe
HKLM_ActiveSetup-{10880D85-AAD9-4558-ABDC-2AB1552D831F} - c:\program files\Common Files\LightScribe\LSRunOnce.exe
AddRemove-7-Zip - c:\program files\7-Zip\Uninstall.exe
AddRemove-Malwarebytes Anti-Malware_is1 - c:\program files\Malwarebytes Anti-Malware\unins000.exe
AddRemove-Maxthon3 - c:\program files\Maxthon\Bin\Mx3Uninstall.exe
AddRemove-MediaCoder - c:\program files\MediaCoder\uninst.exe
AddRemove-Microsoft Security Client - c:\program files\Microsoft Security Client\Setup.exe
AddRemove-Mp3tag - c:\program files\Mp3tag\Mp3tagUninstall.EXE
AddRemove-Nero Burning ROM - Nero Express - c:\program files\Nero\Nero 10\Nero Burning ROM\uninstall.exe
AddRemove-Revo Uninstaller - c:\program files\VS Revo Group\Revo Uninstaller\uninst.exe
AddRemove-SumatraPDF - c:\program files\SumatraPDF\uninstall.exe
AddRemove-The KMPlayer - c:\kmplayer\uninstall.exe
AddRemove-WinRAR archiver - c:\program files\WinRAR\uninstall.exe
AddRemove-ZonerPhotoStudio12_CZ_is1 - c:\program files\Zoner\Photo Studio 12\unins000.exe
AddRemove-{365ADADE-814B-400C-877C-95E9F684BBEB} - c:\program files\Tencent\QQPCMgr\11.4.17339.217\Plugins\QQPCB1AndroidJmp\QQPMUnInst.exe
AddRemove-{4fcf070a-daac-45e9-a8b0-6850941f7ed8} - c:\programdata\Package Cache\{4fcf070a-daac-45e9-a8b0-6850941f7ed8}\vcredist_x86.exe
AddRemove-{8833FFB6-5B0C-4764-81AA-06DFEED9A476} - c:\program files\InstallShield Installation Information\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}\setup.exe
AddRemove-{9F72EF8B-AEC9-4CA5-B483-143980AFD6FD} - c:\program files\Apoint2K\Uninstap.exe
AddRemove-{ce085a78-074e-4823-8dc1-8a721b94b76d} - c:\programdata\Package Cache\{ce085a78-074e-4823-8dc1-8a721b94b76d}\vcredist_x86.exe
AddRemove-{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC} - c:\program files\Realtek\Audio\HDA\RtlUpd.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2016-03-19 16:35
Windows 6.0.6002 Service Pack 2 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\QQRepair10f7]
"ImagePath"="\"c:\program files\Tencent\QQPCMGR\Plugins\QQRepair10f7\""
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\QQRepair3a0]
"ImagePath"="\"c:\program files\Tencent\QQPCMGR\Plugins\QQRepair3a0\""
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SRepairDrv]
"ImagePath"="\??\c:\program files\Tencent\QQPCMGR\Plugins\SRepairDrv"
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_21_0_0_182_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_21_0_0_182_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}]
@Denied: (A 2) (Everyone)
@="IFlashBroker6"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0005\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0006\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0007\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0008\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0009\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0010\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0011\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0012\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0013\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0014\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Celkový čas: 2016-03-19 16:38:49
ComboFix-quarantined-files.txt 2016-03-19 15:38
ComboFix2.txt 2015-03-10 14:10
.
Před spuštěním: Volných bajtů: 39 504 429 056
Po spuštění: Volných bajtů: 39 159 627 776
.
- - End Of File - - 8EAFA349068561F86D7A88BF5B9831F9
5C616939100B85E558DA92B899A0FC36
Nahoru
Márty84
VIP
VIP
Příspěvky: 21679
Registrován: 05 pro 2009 20:08
Bydliště: Ostrava

Re: Čínský malware, vir - chová se jako správce, FRSTLaunche

#26 Příspěvek od Márty84 »

:arrow: Otevrete si poznamkovy blok a zkopirujte do nej tento skript

Kód: Vybrat vše

KillAll::

File::
c:\windows\system32\drivers\TAOKernel.sys
c:\windows\system32\drivers\TS888.sys
c:\windows\system32\drivers\TAOAccelerator.sys
c:\windows\system32\drivers\TSDefenseBt.sys
c:\windows\system32\drivers\TFsFlt.sys
c:\windows\system32\drivers\TsFltMgr.sys
c:\windows\system32\DRIVERS\9704792drv.sys 

Folder::
c:\programdata\TXQMPC
c:\program files\Common Files\Tencent
c:\program files\Tencent

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cz.seznam.software.szndesktop]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"TkBellExe"=-
"SunJavaUpdateSched"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\QQRepair10f7]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\QQRepair3a0]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SRepairDrv]

RegLock::
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\Elevation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\LocalServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\TypeLib]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0005\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0006\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0007\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0008\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0009\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0010\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0011\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0012\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0013\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0014\AllUserSettings]

DDS::
mStart Page = hxxp://www.hao123.com/?tn=95144889_hao_pg

Driver::
9704792drv

Reboot::
Vlevo nahore kliknete na napis Soubor
Kliknete na napis Ulozit jako...
Napiste spravne ten cerveny nazev CFScript a ulozte na plochu.
Vypnete antivir i dalsi pripadne zabezpeceni.
Pretahntete mysi tento vytvoreny textovy dokument nad ikonu ComboFix a pustte.
ComboFix by se mel spustit a vykonat prikazy.
Az skonci (muze dojit k restartu pc), mel by se objevit novy log, ten mi sem zase zkopirujte.

:!: Kdyby po restartu nenabehl windows, restartujte znovu, mackejte klavesu F8 a zvolte - Posledni znama funkcni konfigurace
:!: Kdyz windows nabehne, ale pri spousteni ruznych programu bude hlasena chyba, staci restartovat pc a bude to v poradku
Pokud máte dotaz, který není určen pro veřejnost, můžete mi napsat na mail marty84zavináčforum.viry.cz

Možnost podpořit naše fórum https://platba.viry.cz/payment/

Z časových důvodů teď budu na fóru méně často. V případě delšího čekání na odpověď kontaktujte prosím některého z kolegů (většina má mailovou adresu ve svém podpisu).
Nahoru
F7R
Návštěvník
Návštěvník
Příspěvky: 49
Registrován: 17 bře 2016 12:26

Re: Čínský malware, vir - chová se jako správce, FRSTLaunche

#27 Příspěvek od F7R »

Tak snad jsem to udělal správně. Vytvořil jsem nový textový dokument, vložil do něj co jste postnul a uložil ho jako CFScript. Umístil ho nad ikonu ComboFixu a na CF kliknul pravým spustit jako správce. Udělal jsem to 2x protože poprve jsem nechal zapnutý program prohlížeče, nevedel jsem jestli to není problém...snad to nevadí...toto je druhý log-

K restartu nedošlo, zde log:

ComboFix 16-03-19.01 - SYSTEM 19.03.2016 21:00:38.2.2 - x86 NETWORK
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1250.420.1029.18.3070.2439 [GMT 1:00]
Spuštěný z: c:\windows\system32\config\systemprofile\Desktop\ComboFix.exe
AV: Microsoft Security Essentials *Disabled/Updated* {768124D7-F5F7-6D2F-DDC2-94DFA4017C95}
SP: Microsoft Security Essentials *Disabled/Updated* {CDE0C533-D3CD-62A1-E772-AFADDF863628}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2016-02-19 do 2016-03-19 )))))))))))))))))))))))))))))))
.
.
2016-03-19 20:06 . 2016-03-19 20:06 -------- d-----w- c:\windows\system32\config\systemprofile\AppData\Local\temp
2016-03-19 20:06 . 2016-03-19 20:06 -------- d-----w- c:\users\Default\AppData\Local\temp
2016-03-19 20:06 . 2016-03-19 20:06 -------- d-----w- c:\users\cesko\AppData\Local\temp
2016-03-19 10:21 . 2016-03-19 11:52 -------- d-----w- c:\users\Default\AppData\Local\Microsoft
2016-03-19 09:43 . 2016-03-19 09:43 -------- d-----w- c:\programdata\TXQMPC
2016-03-18 06:36 . 2016-03-17 10:07 100088 ----a-w- c:\windows\system32\drivers\TAOKernel.sys
2016-03-18 06:35 . 2016-03-19 09:07 39928 ----a-w- c:\windows\system32\drivers\TS888.sys
2016-03-17 17:12 . 2016-03-18 08:32 170200 ----a-w- c:\windows\system32\drivers\MBAMSwissArmy.sys
2016-03-17 17:10 . 2015-10-05 08:50 51928 ----a-w- c:\windows\system32\drivers\mwac.sys
2016-03-17 17:10 . 2015-10-05 08:50 94936 ----a-w- c:\windows\system32\drivers\mbamchameleon.sys
2016-03-17 17:10 . 2015-10-05 08:50 23256 ----a-w- c:\windows\system32\drivers\mbam.sys
2016-03-17 15:00 . 2016-03-17 10:07 116408 ----a-w- c:\windows\system32\drivers\TAOAccelerator.sys
2016-03-17 13:59 . 2016-03-19 09:25 -------- d-----w- c:\program files\AdwCleaner
2016-03-17 10:09 . 2016-03-17 10:07 14008 ------w- c:\windows\system32\drivers\TSDefenseBt.sys
2016-03-17 10:08 . 2016-03-17 14:59 -------- d-----w- c:\program files\Common Files\Tencent
2016-03-17 10:08 . 2016-03-17 10:07 150008 ------w- c:\windows\system32\drivers\TFsFlt.sys
2016-03-17 10:08 . 2016-03-17 10:07 128216 ------w- c:\windows\system32\drivers\TsFltMgr.sys
2016-03-10 09:12 . 2016-02-06 02:11 802304 ----a-w- c:\windows\system32\advapi32.dll
2016-03-10 09:12 . 2016-02-06 02:12 783872 ----a-w- c:\windows\system32\rpcrt4.dll
2016-03-10 09:12 . 2016-02-06 02:11 49664 ----a-w- c:\windows\system32\csrsrv.dll
2016-03-10 09:12 . 2016-02-06 00:32 64000 ----a-w- c:\windows\system32\smss.exe
2016-03-10 09:12 . 2016-02-19 21:34 1208776 ----a-w- c:\windows\system32\ntdll.dll
2016-03-10 09:12 . 2016-02-06 02:17 3609024 ----a-w- c:\windows\system32\ntkrnlpa.exe
2016-03-10 09:12 . 2016-02-06 02:17 3556800 ----a-w- c:\windows\system32\ntoskrnl.exe
2016-03-10 09:08 . 2016-02-06 02:12 19968 ----a-w- c:\windows\system32\seclogon.dll
2016-03-10 09:07 . 2016-02-06 02:11 34304 ----a-w- c:\windows\system32\atmlib.dll
2016-03-10 09:07 . 2016-02-06 00:33 297472 ----a-w- c:\windows\system32\atmfd.dll
2016-03-10 07:22 . 2016-02-03 17:06 89600 ----a-w- c:\windows\system32\olepro32.dll
2016-03-10 07:22 . 2016-02-03 17:06 564736 ----a-w- c:\windows\system32\oleaut32.dll
2016-03-10 07:22 . 2016-02-03 17:05 67072 ----a-w- c:\windows\system32\asycfilt.dll
2016-03-10 07:08 . 2016-02-04 15:25 2068992 ----a-w- c:\windows\system32\win32k.sys
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2016-03-10 20:17 . 2012-12-04 13:02 797376 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2016-03-10 20:17 . 2012-12-04 13:02 142528 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2016-02-04 22:13 . 2016-02-04 22:13 875720 ----a-w- c:\windows\system32\msvcr120_clr0400.dll
2016-02-04 22:13 . 2016-02-04 22:13 536776 ----a-w- c:\windows\system32\msvcp120_clr0400.dll
2016-01-30 03:09 . 2016-02-11 02:34 324608 ----a-w- c:\windows\system32\sdohlp.dll
2016-01-30 03:09 . 2016-02-11 02:34 153088 ----a-w- c:\windows\system32\sbeio.dll
2016-01-30 03:09 . 2016-02-11 02:34 323072 ----a-w- c:\windows\system32\sbe.dll
2016-01-30 03:09 . 2016-02-11 02:34 293376 ----a-w- c:\windows\system32\psisdecd.dll
2016-01-30 03:09 . 2016-02-11 02:34 429056 ----a-w- c:\windows\system32\EncDec.dll
2016-01-30 03:09 . 2016-02-11 02:34 217600 ----a-w- c:\windows\system32\psisrndr.ax
2016-01-30 03:09 . 2016-02-11 02:32 1316864 ----a-w- c:\windows\system32\ole32.dll
2016-01-30 03:08 . 2016-02-11 02:34 107520 ----a-w- c:\windows\system32\mtxoci.dll
2016-01-30 03:08 . 2016-02-11 02:34 80896 ----a-w- c:\windows\system32\MSNP.ax
2016-01-30 03:08 . 2016-02-11 02:34 180224 ----a-w- c:\windows\system32\msorcl32.dll
2016-01-30 03:08 . 2016-02-11 02:34 57856 ----a-w- c:\windows\system32\MSDvbNP.ax
2016-01-30 03:08 . 2016-02-11 02:34 69632 ----a-w- c:\windows\system32\Mpeg2Data.ax
2016-01-30 03:08 . 2016-02-11 02:34 48128 ----a-w- c:\windows\system32\iasdatastore.dll
2016-01-30 03:08 . 2016-02-11 02:34 57344 ----a-w- c:\windows\system32\iasads.dll
2016-01-30 03:08 . 2016-02-11 02:34 119296 ----a-w- c:\windows\system32\iasrecst.dll
2016-01-30 01:32 . 2016-02-11 02:34 17408 ----a-w- c:\windows\system32\iashost.exe
2016-01-09 17:06 . 2016-02-11 02:01 501760 ----a-w- c:\windows\system32\kerberos.dll
2016-01-07 15:18 . 2016-02-11 02:06 115200 ----a-w- c:\windows\system32\drivers\mrxdav.sys
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QQPCTray"="c:\program files\Tencent\QQPCMgr\11.4.17339.217\QQPCTRAY.EXE" [BU]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"GrpConv"="grpconv -o" [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"EnableUIADesktopToggle"= 0 (0x0)
"SoftwareSASGeneration"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cz.seznam.software.szndesktop]
c:\users\cesko\AppData\Roaming\Seznam.cz\bin\wszndesktop.exe [BU]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray.exe]
2008-01-21 02:25 125952 ----a-w- c:\windows\ehome\ehtray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2016-02-10 12:44 50599552 ----a-r- c:\program files\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"TkBellExe"="c:\program files\Real\RealPlayer\update\realsched.exe" -osboot
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe"
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3613717200-223133842-2651324926-1000]
"EnableNotificationsRef"=dword:00000001
.
R1 9704792drv;9704792drv;c:\windows\system32\DRIVERS\9704792drv.sys [2013-01-29 489048]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08
.
Obsah adresáře 'Naplánované úlohy'
.
2016-03-19 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-12-04 20:18]
.
.
------- Doplňkový sken -------
.
mSearch Bar = https://www.google.com/?trackid=sp-006
mStart Page = hxxp://www.hao123.com/?tn=95144889_hao_pg
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: mojebanka.cz\*
TCP: DhcpNameServer = 10.0.0.138
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
HKLM-RunOnce-<NO NAME> - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2016-03-19 21:06
Windows 6.0.6002 Service Pack 2 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\QQRepair10f7]
"ImagePath"="\"c:\program files\Tencent\QQPCMGR\Plugins\QQRepair10f7\""
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\QQRepair3a0]
"ImagePath"="\"c:\program files\Tencent\QQPCMGR\Plugins\QQRepair3a0\""
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SRepairDrv]
"ImagePath"="\??\c:\program files\Tencent\QQPCMGR\Plugins\SRepairDrv"
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_21_0_0_182_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_21_0_0_182_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}]
@Denied: (A 2) (Everyone)
@="IFlashBroker6"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0005\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0006\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0007\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0008\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0009\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0010\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0011\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0012\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0013\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0014\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Celkový čas: 2016-03-19 21:08:52
ComboFix-quarantined-files.txt 2016-03-19 20:08
ComboFix2.txt 2016-03-19 19:55
ComboFix3.txt 2016-03-19 17:40
ComboFix4.txt 2016-03-19 15:38
ComboFix5.txt 2016-03-19 19:59
.
Před spuštěním: Volných bajtů: 38 456 725 504
Po spuštění: Volných bajtů: 38 420 709 376
.
- - End Of File - - 586BDDCB1019A7F996A99D3259E31CED
5C616939100B85E558DA92B899A0FC36
Nahoru
Márty84
VIP
VIP
Příspěvky: 21679
Registrován: 05 pro 2009 20:08
Bydliště: Ostrava

Re: Čínský malware, vir - chová se jako správce, FRSTLaunche

#28 Příspěvek od Márty84 »

F7R píše:Tak snad jsem to udělal správně. Vytvořil jsem nový textový dokument, vložil do něj co jste postnul a uložil ho jako CFScript. Umístil ho nad ikonu ComboFixu a na CF kliknul pravým spustit jako správce. Udělal jsem to 2x protože poprve jsem nechal zapnutý program prohlížeče, nevedel jsem jestli to není problém...snad to nevadí...toto je druhý log-
Neudelal jste to spravne. V navodu neni napsano - a na CF kliknul pravým spustit jako správce
Je tam napsano...
Pretahntete mysi tento vytvoreny textovy dokument nad ikonu ComboFix a pustte.
Tim je mysleno, ze ten textak mate chytnout do mysi a popojet kurzorem nad ikonku combofixu a az se budou prekryvat, pustite mys. Tim se sam spusti combofix a vykona ty prikazy z toho textaku
Pokud máte dotaz, který není určen pro veřejnost, můžete mi napsat na mail marty84zavináčforum.viry.cz

Možnost podpořit naše fórum https://platba.viry.cz/payment/

Z časových důvodů teď budu na fóru méně často. V případě delšího čekání na odpověď kontaktujte prosím některého z kolegů (většina má mailovou adresu ve svém podpisu).
Nahoru
F7R
Návštěvník
Návštěvník
Příspěvky: 49
Registrován: 17 bře 2016 12:26

Re: Čínský malware, vir - chová se jako správce, FRSTLaunche

#29 Příspěvek od F7R »

Díky za upřesnění. Proběhlo to (během runu ComboFixu se dvakrát napsalo něco ve stylu Acces Denied you need permmission from administrator due...něco takového už si to nepamatuji) Pak CF restartoval počítač, nicméně po "Vítejte" se v běžném modu Operačního systému objevila pouze černá obrazovka, kde dole byla jen nabídka Start (po rozkliku nešlo nic otevřít ani spustit) a napravo pouze ikona že notebook je v síti. Dále pak tam byl kurzor šipky s přesýpacími hodinami(statické) Čekal jsem 20 minut, procesor evidentně nepracoval (světýlko mi neblikalo) Tudíž jsem usoudil že nic, že problém přetrvává. Na hrubo jsem to vypnul, restartoval, abych se dostal do nouzáku a mohl s Vámi vůbec komunikovat a číst Vaše pokyny. Po naběhnutí nouzáku se otevřelo okno CF a vyplivlo log:
P.S. Jediný moje štěstí je že na disku D mám složku s Torem, což je víceméně náhoda jako prase...
Bez něj bych nemohl na internet a toto tu psát...

ComboFix 16-03-19.01 - SYSTEM 19.03.2016 22:00:26.2.2 - x86 NETWORK
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1250.420.1029.18.3070.2375 [GMT 1:00]
Spuštěný z: c:\windows\system32\config\systemprofile\Desktop\ComboFix.exe
Použité ovládací přepínače :: c:\windows\system32\config\systemprofile\Desktop\CFScript.txt
AV: Microsoft Security Essentials *Disabled/Updated* {768124D7-F5F7-6D2F-DDC2-94DFA4017C95}
SP: Microsoft Security Essentials *Disabled/Updated* {CDE0C533-D3CD-62A1-E772-AFADDF863628}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
FILE ::
"c:\windows\system32\DRIVERS\9704792drv.sys"
"c:\windows\system32\drivers\TAOAccelerator.sys"
"c:\windows\system32\drivers\TAOKernel.sys"
"c:\windows\system32\drivers\TFsFlt.sys"
"c:\windows\system32\drivers\TS888.sys"
"c:\windows\system32\drivers\TSDefenseBt.sys"
"c:\windows\system32\drivers\TsFltMgr.sys"
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\Common Files\Tencent
c:\program files\Common Files\Tencent\QQDownload\131\dlcore.dll
c:\program files\Common Files\Tencent\QQDownload\131\DownloadProxyPS.dll
c:\program files\Common Files\Tencent\QQDownload\131\Tencentdl.exe
c:\program files\Common Files\Tencent\QQPCMgr\unlinkhist.dat
c:\programdata\TXQMPC
c:\programdata\TXQMPC\DRLOG.dat
c:\programdata\TXQMPC\NWF3OptHis.HIS
c:\programdata\TXQMPC\TXGJFixConfig.DAT
.
.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_9704792drv
-------\Legacy_QMIEProtect
-------\Legacy_QMUdisk
-------\Legacy_QQSysMon
-------\Legacy_softaal
-------\Legacy_TS888
-------\Legacy_TSKSP
-------\Service_QMIEProtect
-------\Service_QMUdisk
-------\Service_QQPCRTP
-------\Service_QQRepair10f7
-------\Service_QQRepair3a0
-------\Service_QQSysMon
-------\Service_softaal
-------\Service_SRepairDrv
-------\Service_TS888
-------\Service_TSKSP
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2016-02-19 do 2016-03-19 )))))))))))))))))))))))))))))))
.
.
2016-03-19 21:05 . 2016-03-19 21:05 -------- d-----w- c:\windows\system32\config\systemprofile\AppData\Local\temp
2016-03-19 21:05 . 2016-03-19 21:05 -------- d-----w- c:\users\Default\AppData\Local\temp
2016-03-19 21:05 . 2016-03-19 21:05 -------- d-----w- c:\users\cesko\AppData\Local\temp
2016-03-19 10:21 . 2016-03-19 11:52 -------- d-----w- c:\users\Default\AppData\Local\Microsoft
2016-03-18 06:36 . 2016-03-17 10:07 100088 ----a-w- c:\windows\system32\drivers\TAOKernel.sys
2016-03-18 06:35 . 2016-03-19 09:07 39928 ----a-w- c:\windows\system32\drivers\TS888.sys
2016-03-17 17:12 . 2016-03-18 08:32 170200 ----a-w- c:\windows\system32\drivers\MBAMSwissArmy.sys
2016-03-17 17:10 . 2015-10-05 08:50 51928 ----a-w- c:\windows\system32\drivers\mwac.sys
2016-03-17 17:10 . 2015-10-05 08:50 94936 ----a-w- c:\windows\system32\drivers\mbamchameleon.sys
2016-03-17 17:10 . 2015-10-05 08:50 23256 ----a-w- c:\windows\system32\drivers\mbam.sys
2016-03-17 15:00 . 2016-03-17 10:07 116408 ----a-w- c:\windows\system32\drivers\TAOAccelerator.sys
2016-03-17 13:59 . 2016-03-19 09:25 -------- d-----w- c:\program files\AdwCleaner
2016-03-17 10:09 . 2016-03-17 10:07 14008 ------w- c:\windows\system32\drivers\TSDefenseBt.sys
2016-03-17 10:08 . 2016-03-17 10:07 150008 ------w- c:\windows\system32\drivers\TFsFlt.sys
2016-03-17 10:08 . 2016-03-17 10:07 128216 ------w- c:\windows\system32\drivers\TsFltMgr.sys
2016-03-10 09:12 . 2016-02-06 02:11 802304 ----a-w- c:\windows\system32\advapi32.dll
2016-03-10 09:12 . 2016-02-06 02:12 783872 ----a-w- c:\windows\system32\rpcrt4.dll
2016-03-10 09:12 . 2016-02-06 02:11 49664 ----a-w- c:\windows\system32\csrsrv.dll
2016-03-10 09:12 . 2016-02-06 00:32 64000 ----a-w- c:\windows\system32\smss.exe
2016-03-10 09:12 . 2016-02-19 21:34 1208776 ----a-w- c:\windows\system32\ntdll.dll
2016-03-10 09:12 . 2016-02-06 02:17 3609024 ----a-w- c:\windows\system32\ntkrnlpa.exe
2016-03-10 09:12 . 2016-02-06 02:17 3556800 ----a-w- c:\windows\system32\ntoskrnl.exe
2016-03-10 09:08 . 2016-02-06 02:12 19968 ----a-w- c:\windows\system32\seclogon.dll
2016-03-10 09:07 . 2016-02-06 02:11 34304 ----a-w- c:\windows\system32\atmlib.dll
2016-03-10 09:07 . 2016-02-06 00:33 297472 ----a-w- c:\windows\system32\atmfd.dll
2016-03-10 07:22 . 2016-02-03 17:06 89600 ----a-w- c:\windows\system32\olepro32.dll
2016-03-10 07:22 . 2016-02-03 17:06 564736 ----a-w- c:\windows\system32\oleaut32.dll
2016-03-10 07:22 . 2016-02-03 17:05 67072 ----a-w- c:\windows\system32\asycfilt.dll
2016-03-10 07:08 . 2016-02-04 15:25 2068992 ----a-w- c:\windows\system32\win32k.sys
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2016-03-10 20:17 . 2012-12-04 13:02 797376 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2016-03-10 20:17 . 2012-12-04 13:02 142528 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2016-02-04 22:13 . 2016-02-04 22:13 875720 ----a-w- c:\windows\system32\msvcr120_clr0400.dll
2016-02-04 22:13 . 2016-02-04 22:13 536776 ----a-w- c:\windows\system32\msvcp120_clr0400.dll
2016-01-30 03:09 . 2016-02-11 02:34 324608 ----a-w- c:\windows\system32\sdohlp.dll
2016-01-30 03:09 . 2016-02-11 02:34 153088 ----a-w- c:\windows\system32\sbeio.dll
2016-01-30 03:09 . 2016-02-11 02:34 323072 ----a-w- c:\windows\system32\sbe.dll
2016-01-30 03:09 . 2016-02-11 02:34 293376 ----a-w- c:\windows\system32\psisdecd.dll
2016-01-30 03:09 . 2016-02-11 02:34 429056 ----a-w- c:\windows\system32\EncDec.dll
2016-01-30 03:09 . 2016-02-11 02:34 217600 ----a-w- c:\windows\system32\psisrndr.ax
2016-01-30 03:09 . 2016-02-11 02:32 1316864 ----a-w- c:\windows\system32\ole32.dll
2016-01-30 03:08 . 2016-02-11 02:34 107520 ----a-w- c:\windows\system32\mtxoci.dll
2016-01-30 03:08 . 2016-02-11 02:34 80896 ----a-w- c:\windows\system32\MSNP.ax
2016-01-30 03:08 . 2016-02-11 02:34 180224 ----a-w- c:\windows\system32\msorcl32.dll
2016-01-30 03:08 . 2016-02-11 02:34 57856 ----a-w- c:\windows\system32\MSDvbNP.ax
2016-01-30 03:08 . 2016-02-11 02:34 69632 ----a-w- c:\windows\system32\Mpeg2Data.ax
2016-01-30 03:08 . 2016-02-11 02:34 48128 ----a-w- c:\windows\system32\iasdatastore.dll
2016-01-30 03:08 . 2016-02-11 02:34 57344 ----a-w- c:\windows\system32\iasads.dll
2016-01-30 03:08 . 2016-02-11 02:34 119296 ----a-w- c:\windows\system32\iasrecst.dll
2016-01-30 01:32 . 2016-02-11 02:34 17408 ----a-w- c:\windows\system32\iashost.exe
2016-01-09 17:06 . 2016-02-11 02:01 501760 ----a-w- c:\windows\system32\kerberos.dll
2016-01-07 15:18 . 2016-02-11 02:06 115200 ----a-w- c:\windows\system32\drivers\mrxdav.sys
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QQPCTray"="c:\program files\Tencent\QQPCMgr\11.4.17339.217\QQPCTRAY.EXE" [BU]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"GrpConv"="grpconv -o" [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"EnableUIADesktopToggle"= 0 (0x0)
"SoftwareSASGeneration"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray.exe]
2008-01-21 02:25 125952 ----a-w- c:\windows\ehome\ehtray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3613717200-223133842-2651324926-1000]
"EnableNotificationsRef"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08
.
Obsah adresáře 'Naplánované úlohy'
.
2016-03-19 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-12-04 20:18]
.
.
------- Doplňkový sken -------
.
mSearch Bar = https://www.google.com/?trackid=sp-006
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: mojebanka.cz\*
TCP: DhcpNameServer = 10.0.0.138
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
HKLM-RunOnce-<NO NAME> - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2016-03-19 22:29
Windows 6.0.6002 Service Pack 2 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\helppane.exe
.
**************************************************************************
.
Celkový čas: 2016-03-19 22:32:36 - počítač byl restartován
ComboFix-quarantined-files.txt 2016-03-19 21:32
ComboFix2.txt 2016-03-19 20:08
ComboFix3.txt 2016-03-19 19:55
ComboFix4.txt 2016-03-19 17:40
ComboFix5.txt 2016-03-19 20:59
.
Před spuštěním: Volných bajtů: 38 454 480 896
Po spuštění: Volných bajtů: 38 147 903 488
.
- - End Of File - - 90EFAB944801807E149131A4AAB3FB1E
5C616939100B85E558DA92B899A0FC36
Nahoru
F7R
Návštěvník
Návštěvník
Příspěvky: 49
Registrován: 17 bře 2016 12:26

Re: Čínský malware, vir - chová se jako správce, FRSTLaunche

#30 Příspěvek od F7R »

Konečně se mi podařilo přejít do nouzoveho režimu pomocí mačkání klávesy F8 po startu, predtim mi to nešlo...
Klikl jsem na last good known configuration a opět systém naběhl jen do černé obrazovky s kurzorem a statickými hodinami, spodní lištou a nabídkou start s velmi zvláštní grafikou, takovou strohou, menší písmo...
Processor evidentne nepracuje jak jsem psal tak jsem usoudil že třeba pul nebo hodinové čekání v tomto stavu zřejmě nemá smysl.

Zkoušel jsem zmačknout CTRL+Alt+delete...objeví se nějaká nabídka...snad spravce uloh a jiné, jestli si dobře pamatuji

Zajimavý že všichni tu Tencent zdárně odstranili jen já ne. Problém vidím asi v tom že sem vypnul MS Essentialls antivir kvuli scanum logu a pak v ms config zablokoval spuštění Tencent při startu systému...
bez antiviráku se tomu tencentu asi otevřeli všechny dveře dokořán:-/
Nahoru
Zamčeno

Zpět na „Řešení problémů, logy“