Stránka 1 z 1
Re: Pro vyoska nebo Rudyho
Napsal: 10 bře 2014 17:32
od Rudy
Zdravím!
Neprováděl jste nějakou údržbu pomocí AdvancedSystemCare? Je to pěkné svinstvo:
http://forum.viry.cz/viewtopic.php?f=14 ... ilit=iobit . Spusťte nejprve tuto utilitu:
Re: Pro vyoska nebo Rudyho
Napsal: 10 bře 2014 18:03
od Rudy
Nevím, nevěřím takovým těm fámám, že je špatný.
To je vaše věc. Fáma to není, ale holý fakt.
Dejte nový log FRST.
Re: Pro vyoska nebo Rudyho
Napsal: 10 bře 2014 19:21
od Rudy
Otevřte poznámkový blok a zkopírujte do něj:
Start
HKU\S-1-5-21-1538094755-2499016808-1777629042-1000\...\MountPoints2: {02edeba2-a135-11e3-8fc9-fa74bb82e792} - J:\LGAutoRun.exe
HKU\S-1-5-21-1538094755-2499016808-1777629042-1000\...\MountPoints2: {0c706521-98bd-11e3-8f4b-806e6f6e6963} - E:\startdvd.exe
HKU\S-1-5-21-1538094755-2499016808-1777629042-1000\...\MountPoints2: {7d26435b-a3ad-11e3-b44f-ec3c98f0518c} - J:\SISetup.exe
C:\Windows\system32\oflc-nz.rs
C:\Windows\system32\pegibbfc.rs
C:\Windows\system32\csrr.rs
C:\Windows\system32\usk.rs
C:\Windows\system32\oflc.rs
C:\Windows\system32\pegi-pt.rs
C:\Windows\system32\pegi-fi.rs
C:\Windows\system32\cero.rs
C:\Windows\system32\esrb.rs
C:\Windows\system32\fpb.rs
C:\Windows\system32\cob-au.rs
C:\Windows\system32\grb.rs
C:\Windows\system32\pegi.rs
C:\Windows\system32\djctq.rs
C:\Windows\SysWOW64\cero.rs
C:\Windows\SysWOW64\esrb.rs
C:\Windows\SysWOW64\fpb.rs
C:\Windows\SysWOW64\oflc-nz.rs
C:\Windows\SysWOW64\pegibbfc.rs
C:\Windows\SysWOW64\csrr.rs
C:\Windows\SysWOW64\cob-au.rs
C:\Windows\SysWOW64\usk.rs
C:\Windows\SysWOW64\oflc.rs
C:\Windows\SysWOW64\grb.rs
C:\Windows\SysWOW64\pegi-pt.rs
C:\Windows\SysWOW64\pegi-fi.rs
C:\Windows\SysWOW64\pegi.rs
C:\Windows\SysWOW64\djctq.rs
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
End
Uložte na plochu jako fixlist.txt. Spusťte znovu FRST a klikněte na >Fix<. Po skončení akce se objeví log, který sem zkopírujte.
Re: Pro vyoska nebo Rudyho
Napsal: 10 bře 2014 20:51
od Rudy
AdWary a zbytečnosti. Nemáte zač. PC je už OK?
Re: Pro vyoska nebo Rudyho
Napsal: 10 bře 2014 21:04
od Rudy
Rádo se stalo!
Re: Pro vyoska nebo Rudyho
Napsal: 11 bře 2014 18:42
od Rudy
Udělejte kompletní sken MBAM:
http://www.malwarebytes.org/mbam.php a dejte log. Předem nic nemažte.
Jinak k tomu odemčení. Všimněte si, co mám v podpisu a příště se podle toho zařiďte. Thready zamykáme zejména proto, aby di nich nepsal někdo cizí.
Re: Pro vyoska nebo Rudyho
Napsal: 11 bře 2014 20:45
od Rudy
Bohužel, počítač neustále píše ať zapnu aktulizace. Když tak učiním, za chvíli je to tam znova.
Co je tam znova?
Log MBAM je OK.
Re: Pro vyoska nebo Rudyho
Napsal: 11 bře 2014 21:16
od Rudy
Ale co je tam znova? Nějak to nechápu.
Re: Pro vyoska nebo Rudyho
Napsal: 11 bře 2014 22:32
od Rudy
Dejte ještě log ComoboFix:
Stahnete a ulozte nejlepe na plochu ComboFix:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
pote spustte aplikaci pod uctem s administratorskym opravnenim
hned po startu se zobrazi obrazovka s licencnimi podminkami, pokracujte kliknutim na tlacitko Ano.
v klidu si postavte na kafe (cela akce trva cca. 5-10 minut, nekdy i dele - dle toho, o jak rychly stroj se
jedna a kolika soubory se skener bude muset prodirat), behem skenu se nepokousejte spoustet zadne jine
aplikace ani nic jineho
behem skenovani nepropadejte panice, vas stroj muze byt restartovan (predevsim pri prvni aplikaci skeneru)
upozorneni: pokud pouzivate antispyware s rezidentnim stitem, prepnete jeho rezidentni stit do Install Mode,
pripadne jej po dobu skenu uplne deaktivujte, protoze dochazi pri skenu a vymazu pripadneho malware k
nezadoucim kolizim s rezidentem antispyware.
Přikláním se ale spíše k tomu, že je systém nakopnutý.
Re: Pro vyoska nebo Rudyho
Napsal: 12 bře 2014 16:52
od Rudy
Přesuňte Comobofix na kořenový adresář c:\. Otevřte poznámkový blok a zkopírujte do něj:
RegLock::
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
Reboot::
Uložte rovněž na kořenový adresář c:\ jako CFScript.txt. Pak jej myší přetáhněte v průzkumníku windows (nebo jiném souborovém manažeru) nad ikonu Combofix a pusťte. CF se spustí a vykoná příkazy ze skriptu.
Re: Pro vyoska nebo Rudyho
Napsal: 12 bře 2014 18:53
od Rudy
Byly tam 2 položky, které smazal 1. sken. druhý sken byl k ničemu, protože jste ho spustil z plochy, ačkoliv jsem vám jasně řekl, aby jste ho spustil z c:\ . CF nelze spustit z plochy, obecně z profilu, pokud má profil v názvu diakritiku (váš případ). zkuste to celé opakovat, ale z c:\.
Re: Pro vyoska nebo Rudyho
Napsal: 12 bře 2014 22:35
od Rudy
To není možné. Musíte přesunout CF tak, aby jeho adresa byla c:\combofix.exe a ne (jako dosud c:\users\ÝřOndra\Desktop\ComboFix.exe). uděláte to snadno přes vyjmout/vložit. CF nesmí zůstat na ploše!
Re: Pro vyoska nebo Rudyho
Napsal: 13 bře 2014 18:06
od Rudy
Byl tam troják a mohl mimo jiné i blokovat aktualizace. Byl smazán v 1. skenu a v tom druhém jsme jen odemkli zamčené klíče. Jak to vypadá nyní?
Re: Pro vyoska nebo Rudyho
Napsal: 13 bře 2014 20:26
od Rudy
Byl to trojan downloader. Keylogger ne.
Re: Pro vyoska nebo Rudyho
Napsal: 13 bře 2014 21:27
od Rudy
FRST i RSIT neprovádí hloubkovou kontrolu. My je tu používáme víceméně na běžné čištění od zbytečností, adwarů a některých trojáků. Tento šmejd potřeboval k detekci hloubkovou kontrolu. K tomu používáme mimo jiné také ComboFix.