Prosím o kontrolu logu - kasa

Místo pro vaše HiJackThis logy a logy z dalších programů…

Moderátoři: memphisto, Mods_senior, Security team

lugosy
nováček
Příspěvky: 8
Registrován: srpen 17
Pohlaví: Muž

Prosím o kontrolu logu - kasa

Příspěvekod lugosy » 21 srp 2017 12:47

Zdravím,
jedná se o počítač, použitý pro účel kasy. Běží na něm jen Windows 7 cashexe.exe. Čas od času se kasovní program zničehonic sám ukončí, odhlásí se uživatel a posléze opět uživatel přihlásí a spustí kasovní program. Jedná se o prodejnu, kde jsou 4 kasy a dělají to všechny od doby, co jsou kvůli EET na netu. Čistá instalace Windows 7 nepomohla, chová se to pořád stejně. To odhlášení a znovupřihlášení uživatele a spuštění kasy je normální funkce programu, pokud se ukončí korektně (ukončení je nutno potvrdit klávesou Ano), provádí se tedy i při nekorektním ukončení. Nedokážeme už dlouho přijít na to, proč se nekorektní ukončení děje a přisuzujeme to buďto operačnímu systému, anebo něčemu v počítačích nebo na síti. Jiné prodejny s touto verzí kasovního programu se chovají korektně. Přikládám log z hijacku a prosím o analýzu. Díky.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12:08:57, on 21.8.2017
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v11.0 (11.00.9600.18763)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskhost.exe
C:\Windows\Explorer.EXE
C:\Program Files\Realtek\Audio\HDA\RtkNGUI.exe
C:\Program Files\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Windows\System32\WScript.exe
C:\Program Files\ESET\ESET Security\egui.exe
C:\Program Files\Global Systems\GSKasa 5\Cashexe.exe
C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\Kasa4\Desktop\hijackthis.exe
C:\Windows\System32\MsSpellCheckingFacility.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.globsys.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/p/?LinkId=255141
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [RTHDVCPL] "C:\Program Files\Realtek\Audio\HDA\RtkNGUI.exe" -s
O4 - HKLM\..\Run: [USB3MON] "C:\Program Files\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe"
O4 - HKLM\..\Run: [IAStorIcon] C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIconLaunch.exe "C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" 60
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O4 - Startup: pckasamenu.vbs
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O15 - Trusted Zone: http://help.eset.com (HKLM)
O15 - ESC Trusted Zone: http://help.eset.com (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{E806E552-7622-48EA-9904-9AB9F80D3FCB}: NameServer = 10.0.0.138,8.8.8.8
O23 - Service: Intel(R) Content Protection HECI Service (cphs) - Intel Corporation - C:\Windows\system32\IntelCpHeciSvc.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET Security\ekrn.exe
O23 - Service: Úložná technologie Intel(R) Rapid (IAStorDataMgrSvc) - Intel Corporation - C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
O23 - Service: uvnc_service - UltraVNC - C:\Program Files\uvnc bvba\UltraVNC\WinVNC.exe

--
End of file - 3715 bytes



Reklama
Uživatelský avatar
jaro3
člen Security týmu
Guru Level 15
Guru Level 15
Příspěvky: 36689
Registrován: červen 07
Bydliště: Jižní Čechy
Pohlaví: Muž

Re: Prosím o kontrolu logu - kasa

Příspěvekod jaro3 » 21 srp 2017 18:18

Pokud to dělají všechny PC a byla udělaána čistá instalace windows bez úspěchu , tak to asi nebude v něm.
Zkusil bych resetovat nebo dát nový FW do routeru.

Leda by byla instalačka napadena nebo se do win přetáhlo něco s virem , fotky soubory , programy.

Pro kontrolu:
Stáhni si ATF Cleaner
Poklepej na ATF Cleaner.exe, klikni na select all found, poté:
-Když používáš Firefox (Mozzila), klikni na Firefox nahoře a vyber: Select All, poté klikni na Empty Selected.
-Když používáš Operu, klikni nahoře na Operu a vyber: Select All, poté klikni na Empty Selected. Poté klikni na Main (hlavní stránku ) a klikni na Empty Selected.
Po vyčištění klikni na Exit k zavření programu.
ATF-Cleaner je jednoduchý nástroj na odstranění historie z webového prohlížeče. Program dokáže odstranit cache, cookies, historii a další stopy po surfování na Internetu. Mezi podporované prohlížeče patří Internet Explorer, Firefox a Opera. Aplikace navíc umí odstranit dočasné soubory Windows, vysypat koš atd.
- Pokud používáš jen Google Chrome , tak ATF nemusíš použít.


Stáhni si TFC
http://www.geekstogo.com/forum/files/fi ... -oldtimer/
Otevři soubor a zavři všechny ostatní okna, Klikni na Start k zahájení procesu. Program by neměl trvat dlouho.
Poté by se měl PC restartovat, pokud ne , proveď sám.


Stáhni AdwCleaner (by Xplode
http://www.bleepingcomputer.com/download/adwcleaner/
http://www.adlice.com/downloadprogress/

Ulož si ho na svojí plochu
Ukonči všechny programy , okna a prohlížeče
Spusť program poklepáním a klikni na „Scan“
Po skenu klikni na „Logfile“ ,objeví se okno „Log Manager“ a pak poklepej na odpovídající log , který se otevře. ( jinak je uložen systémovem disku jako C:\AdwCleaner [C?].txt ), jeho obsah sem celý vlož.

Stáhni si Malwarebytes' Anti-Malware
- Při instalaci odeber zatržítko u „Povolit bezplatnou zkušební verzi Malwarebytes' Anti-Malware Premium“
Nainstaluj a spusť ho
- na konci instalace se ujisti že máš zvoleny/zatrhnuty obě možnosti:
Aktualizace Malwarebytes' Anti-Malware a Spustit aplikaci Malwarebytes' Anti-Malware, pokud jo tak klikni na tlačítko konec
-Pokud není program aktuální , klikni na možnost „Aktualizovat nyní“ či „Opravit nyní“.
- bude nalezena aktualizace a nainstaluje se.
- poté klikni na Skenovat nyní
- po proběhnutí programu se ti objeví hláška vpravo dole, tak klikni na Uložit výsledky a vyber zkopírovat do schránky a vlož sem celý log. Nebo klikni na „Textový soubor ( .txt)“ a log si ulož.
-jinak se log nachází zde: C:\ProgramData\Malwarebytes\Malwarebytes Anti-Malware\Logs

- po té klikni na tlačítko Dokončit, a program zavři křížkem vpravo nahoře.
(zatím nic nemaž!).
Pokud budou problémy , spusť v nouz. režimu.
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra

lugosy
nováček
Příspěvky: 8
Registrován: srpen 17
Pohlaví: Muž

Re: Prosím o kontrolu logu - kasa

Příspěvekod lugosy » 25 srp 2017 10:31

Díky moc za promptní a vyčerpávající odpověď. V příštím týdnu to budu řešit dle Vašeho návodu, tak pak dám echo, jak to dopadlo.

Uživatelský avatar
jaro3
člen Security týmu
Guru Level 15
Guru Level 15
Příspěvky: 36689
Registrován: červen 07
Bydliště: Jižní Čechy
Pohlaví: Muž

Re: Prosím o kontrolu logu - kasa

Příspěvekod jaro3 » 25 srp 2017 18:41

OK.
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra

lugosy
nováček
Příspěvky: 8
Registrován: srpen 17
Pohlaví: Muž

Re: Prosím o kontrolu logu - kasa

Příspěvekod lugosy » 28 srp 2017 12:18

Zdravím při pondělku. Dle návodu vkládám log AdwCleaneru - je tam jeden, nyní už odstraněný, BitcoinMinerGate. Jdu na další kroky.

# AdwCleaner 7.0.1.0 - Logfile created on Mon Aug 28 10:05:47 2017
# Updated on 2017/05/08 by Malwarebytes
# Database: 08-25-2017.1
# Running on Windows 7 Professional (X86)
# Mode: scan
# Support: https://www.malwarebytes.com/support

***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

PUP.Optional.BitCoinMiner, [Key] - HKLM\SOFTWARE\MinerGate


***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries.

*************************



########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt ##########

lugosy
nováček
Příspěvky: 8
Registrován: srpen 17
Pohlaví: Muž

Re: Prosím o kontrolu logu - kasa

Příspěvekod lugosy » 28 srp 2017 13:50

Antimalware report:

Malwarebytes
www.malwarebytes.com

-Podrobnosti logovacího souboru-
Datum skenování: 28.08.17
Čas skenování: 13:28
Logovací soubor: fefff5c6-8be3-11e7-b381-00ff3e833bdd.json
Správce: Ano

-Informace o softwaru-
Verze: 3.2.2.2018
Verze komponentů: 1.0.188
Aktualizovat verzi balíku komponent: 1.0.2672
Licence: Bezplatný

-Systémová informace-
OS: Windows 7 Service Pack 1
CPU: x86
Systém souborů: NTFS
Uživatel: MEDIUM\Vedouci

-Shrnutí skenování-
Typ skenování: Skenování hrozeb (Threat Scan)
Výsledek: Dokončeno
Skenované objekty: 463207
Zjištěné hrozby: 0
(Nebyly zjištěny žádné škodlivé položky)
Hrozby umístěné do karantény: 0
(Nebyly zjištěny žádné škodlivé položky)
Uplynulý čas: 1 min, 59 sek

-Možnosti skenování-
Paměť: Povoleno
Start: Povoleno
Systém souborů: Povoleno
Archivy: Povoleno
Rootkity: Zakázáno
Heuristika: Povoleno
Potenciálně nežádoucí program: Detekovat
Potenciálně nežádoucí modifikace: Detekovat

-Podrobnosti skenování-
Proces: 0
(Nebyly zjištěny žádné škodlivé položky)

Modul: 0
(Nebyly zjištěny žádné škodlivé položky)

Klíč registru: 0
(Nebyly zjištěny žádné škodlivé položky)

Hodnota v registru: 0
(Nebyly zjištěny žádné škodlivé položky)

Data registrů: 0
(Nebyly zjištěny žádné škodlivé položky)

Datové proudy: 0
(Nebyly zjištěny žádné škodlivé položky)

Adresář: 0
(Nebyly zjištěny žádné škodlivé položky)

Soubor: 0
(Nebyly zjištěny žádné škodlivé položky)

Fyzický sektor: 0
(Nebyly zjištěny žádné škodlivé položky)


(end)

lugosy
nováček
Příspěvky: 8
Registrován: srpen 17
Pohlaví: Muž

Re: Prosím o kontrolu logu - kasa

Příspěvekod lugosy » 28 srp 2017 14:36

Odstranil jsem v registru a na disku vše od minergate. Na disku se jednalo o dva logy, které jsem zálohoval. Jeden log je obyčejné CSS, druhý má soupis časů, které zkusím v prohlížeči událostí projít, a dám sem info.

Druhý log:
[02.04.2017 18:49] [ info] Pool parameters query...
[02.04.2017 18:49] [ info] Loading miners...
[02.04.2017 18:49] [ info] Miners loaded successfully
[07.04.2017 23:32] [ info] Pool parameters query...
[07.04.2017 23:32] [ info] Loading miners...
[07.04.2017 23:32] [ info] Miners loaded successfully
[12.04.2017 03:35] [ info] Pool parameters query...
[12.04.2017 03:35] [ info] Loading miners...
[12.04.2017 03:35] [ info] Miners loaded successfully
[14.04.2017 07:51] [ info] Pool parameters query...
[14.04.2017 07:51] [ info] Loading miners...
[14.04.2017 07:51] [ info] Miners loaded successfully
[24.04.2017 20:10] [ info] Pool parameters query...
[24.04.2017 20:10] [ info] Loading miners...
[24.04.2017 20:10] [ info] Miners loaded successfully
[02.05.2017 11:30] [ info] Pool parameters query...
[02.05.2017 11:30] [ info] Loading miners...
[02.05.2017 11:30] [ info] Miners loaded successfully
[10.05.2017 03:31] [ info] Pool parameters query...
[10.05.2017 03:31] [ info] Loading miners...
[10.05.2017 03:31] [ info] Miners loaded successfully
[15.05.2017 05:06] [ info] Pool parameters query...
[15.05.2017 05:06] [ info] Loading miners...
[15.05.2017 05:06] [ info] Miners loaded successfully
[25.05.2017 14:59] [ info] Pool parameters query...
[25.05.2017 14:59] [ info] Loading miners...
[25.05.2017 14:59] [ info] Miners loaded successfully
[30.05.2017 13:11] [ info] Pool parameters query...
[30.05.2017 13:11] [ info] Loading miners...
[30.05.2017 13:11] [ info] Miners loaded successfully
[31.05.2017 18:10] [ info] Pool parameters query...
[31.05.2017 18:10] [ info] Loading miners...
[31.05.2017 18:10] [ info] Miners loaded successfully
[15.06.2017 03:29] [ info] Pool parameters query...
[15.06.2017 03:29] [ info] Loading miners...
[15.06.2017 03:29] [ info] Miners loaded successfully

lugosy
nováček
Příspěvky: 8
Registrován: srpen 17
Pohlaví: Muž

Re: Prosím o kontrolu logu - kasa

Příspěvekod lugosy » 28 srp 2017 15:18

Takže minergate byl poprvé instalován 2.4.17 v 18:49, další spuštění jsou spuštění služby minergate po různých restartech systému, např. resetu po instalaci aktualizací, jednou to byl výpadek napájení, a 15.6. byla spuštěna naposled. Kdo ji odstranil a kdy, se mi zjistit nepodařilo. Každopádně od posledního zásahu, kdy vzniklo toto vlákno, na kase4 pád kasovního programu nenastal. Budu to dále sledovat, a bude-li něco nového, hodím to na fórum.
Prozatím všem zúčastněným moc děkuji za pomoc !!!

Uživatelský avatar
jaro3
člen Security týmu
Guru Level 15
Guru Level 15
Příspěvky: 36689
Registrován: červen 07
Bydliště: Jižní Čechy
Pohlaví: Muž

Re: Prosím o kontrolu logu - kasa

Příspěvekod jaro3 » 28 srp 2017 19:12

nemáš dělat nic sám. Napřed je třeba vyčistit a pak odinstalovat.

Sophos Virus Removal Tool je praktický softwarový nástroj, který by mohl odstranit infekce, které antivirový program nedetekuje .
Stáhněte si ho zde z některého odkazu:
http://www.majorgeeks.com/mg/get/sophos ... ool,1.html
http://www.majorgeeks.com/mg/getmirror/ ... ool,1.html
http://www.majorgeeks.com/mg/getmirror/ ... ool,2.html

Viry mohou zpomalit počítač, nebo se snaží ukrást vaše data, a ani nevíte , že je máte. Co potřebujete, je rychlý a snadný způsob, jak je najít a zbavit se jich, pokud již máte antivirový program v počítači nainstalován , můžete nainstalovat i nástroj Sophos Virus Removal , který identifikuje a vyčistí zbylé infekce, které mohl Váš antivirový program přehlédnout.
K použití Sophos Virus Removal Tool na něj poklepejte a stiskněte tlačítko „Start scanning“ . Pak bude Sophos Virus Removal Tool vyhledávat a odstraňovat viry, které najde. Může být vyžadován restart.


Stáhni si RogueKiller by Adlice Software
32bit.:
http://www.adlice.com/download/roguekil ... HlwZT14ODY
64bit.:
http://www.adlice.com/download/roguekil ... HlwZT14NjQ
na svojí plochu.
- Zavři všechny ostatní programy a prohlížeče.
- Pro OS Vista a win7,8,10 spusť program RogueKiller.exe jako správce , u XP poklepáním.
- klikni na „Start Scan“. V novém okně nic neměň a klikni dole na „Start Scan“
- Program skenuje procesy PC. Po proskenování klikni na „Open Report “ , v okně pak na „Open TXT“ a celý obsah logu sem zkopíruj.
Pokud je program blokován , zkus ho spustit několikrát. Pokud dále program nepůjde spustit a pracovat, přejmenuj ho na winlogon.exe.
-pokud bude mít log více než 60.000 znaků , rozděl ho a vlož do více příspěvků

http://www.adlice.com/download/roguekiller/
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra

lugosy
nováček
Příspěvky: 8
Registrován: srpen 17
Pohlaví: Muž

Re: Prosím o kontrolu logu - kasa

Příspěvekod lugosy » 12 zář 2017 08:58

Jejda, teď vidím další návod. Díky! Budu zkoušet při nejbližší příležitosti.

Uživatelský avatar
jaro3
člen Security týmu
Guru Level 15
Guru Level 15
Příspěvky: 36689
Registrován: červen 07
Bydliště: Jižní Čechy
Pohlaví: Muž

Re: Prosím o kontrolu logu - kasa

Příspěvekod jaro3 » 12 zář 2017 09:50

až to uděláš , pokračuj takto:

Stáhni si Memtest:

Políčko , ve kterém je napsáno:
All unused RAM -ponech , jak je.
-dej Start , nech nejméně 2h běžet , pokud bude po 2h stále 0 errors , jsou v pořádku.
V případě vyšších kapacit RAM je třeba Memtest spustit několikrát , pro 2GB ( jednotlivá největší kapacita RAM) 2x , pro 4GB 3x , pro 8Gb 4x ap.

Ještě zkontrolovat HDD na chyby ,popř. zkusit jeho defragmentaci ..


Stáhni si CrystalDiskInfo
Spusť program a klikni na Úpravy-Kopírovat. Poté sem vlož pomocí Ctrl+V obsah logu.
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra

lugosy
nováček
Příspěvky: 8
Registrován: srpen 17
Pohlaví: Muž

Re: Prosím o kontrolu logu - kasa

Příspěvekod lugosy » 20 zář 2017 07:01

V nejbližších dnech bude pokračování. Logy samozřejmě vložíme. Prozatím díky moc!


Zpět na “HiJackThis”

Kdo je online

Uživatelé prohlížející si toto fórum: CommonCrawl [Bot] a 1 host