Preventivní kontrola

Místo pro vaše HiJackThis logy a logy z dalších programů…

Moderátoři: Mods_senior, Security team

Uživatelský avatar
mikrosini
Level 4
Level 4
Příspěvky: 1019
Registrován: leden 14
Pohlaví: Nespecifikováno
Stav:
Offline

Re: Preventivní kontrola

Příspěvekod mikrosini » 08 kvě 2014 13:04

RogueKiller V8.8.15 _x64_ [Mar 27 2014] by Adlice Software
mail : http://www.adlice.com/contact/
Podpora : http://forum.adlice.com
Webové stránky : http://www.adlice.com/softwares/roguekiller/
: http://www.adlice.com

Operační systém : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Spuštěno v : Normální režim
Uživatel : xXx [Práva správce]
Mód : Kontrola -- Datum : 05/08/2014 13:03:31
| ARK || FAK || MBR |

¤¤¤ Škodlivé procesy: : 0 ¤¤¤

¤¤¤ ¤¤¤ Záznamy Registrů: : 6 ¤¤¤
[HJ POL][PUM] HKCU\[...]\System : DisableTaskMgr (0) -> NALEZENO
[HJ POL][PUM] HKCU\[...]\System : DisableRegistryTools (0) -> NALEZENO
[HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> NALEZENO
[HJ DESK][PUM] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> NALEZENO
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> NALEZENO
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> NALEZENO

¤¤¤ naplánované úlohy : 0 ¤¤¤

¤¤¤ spuštění položky : 0 ¤¤¤

¤¤¤ Webové prohlížeče : 0 ¤¤¤

¤¤¤ Browser Addons : 0 ¤¤¤

¤¤¤ Zvláštní soubory / Složky: ¤¤¤

¤¤¤ Ovladač : [NENAHRÁNO 0x0] ¤¤¤

¤¤¤ Externí včelstvo: ¤¤¤

¤¤¤ Nákaza : ¤¤¤

¤¤¤ Soubor HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts




¤¤¤ Kontrola MBR: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) WDC WD2500AAJS-00M0A0 ATA Device +++++
--- User ---
[MBR] 1b380ecf311c99c7ad95d48008531eb5
[BSP] 6102ed1c6fc706a803bdca3c74488a06 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 188471 MB
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 385992704 | Size: 50000 MB
User = LL1 ... OK!
User = LL2 ... OK!

Dokončeno : << RKreport[0]_S_05082014_130331.txt >>
PC 1.
► Zobrazit spoiler

PC 2.
► Zobrazit spoiler

Reklama
Uživatelský avatar
mikrosini
Level 4
Level 4
Příspěvky: 1019
Registrován: leden 14
Pohlaví: Nespecifikováno
Stav:
Offline

Re: Preventivní kontrola

Příspěvekod mikrosini » 08 kvě 2014 13:52

Co teď je o čisté ?
PC 1.
► Zobrazit spoiler

PC 2.
► Zobrazit spoiler

Uživatelský avatar
memphisto
Guru Level 13
Guru Level 13
Příspěvky: 21113
Registrován: září 06
Bydliště: Zlín - České Budějovice
Pohlaví: Muž
Stav:
Offline

Re: Preventivní kontrola

Příspěvekod memphisto » 08 kvě 2014 18:34

Spusť RogueKiller ( Pro Windows Vista nebo Windows 7, klepni pravým a vyber "Spustit jako správce", ve Windows XP poklepej ke spuštění).
- Počkej, až Prescan dokončí práci...
- Počkej, dokud status okno zobrazuje "Prohledat "
- Klikni na "Smazat"
- Počkej, dokud Status box zobrazuje "Smazání- Finished "
- Klikni na "Zprávy " a zkopíruj a vlož obsah té zprávy prosím sem. Log je možno nalézt v RKreport [číslo]. txt na ploše.
- Zavři RogueKiller


Stáhni si TDSSKiller
Na svojí plochu. Ujisti se , že máš zavřeny všechny ostatní aplikace a prohlížeče. Rozbal soubor a spusť TDSSKiller.exe. Restartuj PC . Log z TDSSKilleru najdeš zde:
C:\TDSSKiller.2.2.7.1._(datum)_log.txt , vlož sem prosím celý obsah logu.
PRAVIDLA PC-HELP.CZ, PRAVIDLA sekce HijackThis, HijackThis návod, Memtest, CCleaner
Logy z programu HijackThis neposílejte prosím přes SZ, ale vkládejte je do patřičné sekce. Děkuji

Uživatelský avatar
mikrosini
Level 4
Level 4
Příspěvky: 1019
Registrován: leden 14
Pohlaví: Nespecifikováno
Stav:
Offline

Re: Preventivní kontrola

Příspěvekod mikrosini » 08 kvě 2014 19:05

zprava ma moc znaku tak senezlobte ale jinačí napad jsem neměl http://leteckaposta.cz/831308444
PC 1.
► Zobrazit spoiler

PC 2.
► Zobrazit spoiler

Uživatelský avatar
mikrosini
Level 4
Level 4
Příspěvky: 1019
Registrován: leden 14
Pohlaví: Nespecifikováno
Stav:
Offline

Re: Preventivní kontrola

Příspěvekod mikrosini » 09 kvě 2014 06:27

Dneska se při zapnutí kompu zapnul malware tak a něco našel log
<?xml version="1.0" encoding="UTF-16"?>

-<mbam-log>


-<header>

<date>2014/05/09 06:24:12 +0200</date>

<log>mbam-log-2014-05-09 (06-05-13).xml</log>

<isadmin>yes</isadmin>

</header>


-<engine>

<version>2.00.1.1004</version>

<rules-database>v2014.05.09.04</rules-database>

<swissarmy-database>v2014.03.27.01</swissarmy-database>

<license>trial</license>

<file-protection>enabled</file-protection>

<web-protection>enabled</web-protection>

<self-protection>disabled</self-protection>

</engine>


-<system>

<osversion>Windows 7 Service Pack 1</osversion>

<arch>x64</arch>

<username>xXx</username>

<filesys>NTFS</filesys>

</system>


-<summary>

<type>threat</type>

<result>completed</result>

<objects>253920</objects>

<time>1120</time>

<processes>0</processes>

<modules>0</modules>

<keys>0</keys>

<values>2</values>

<datas>0</datas>

<folders>0</folders>

<files>6</files>

<sectors>0</sectors>

</summary>


-<options>

<memory>enabled</memory>

<startup>enabled</startup>

<filesystem>enabled</filesystem>

<archives>enabled</archives>

<rootkits>disabled</rootkits>

<deeprootkit>disabled</deeprootkit>

<shuriken>enabled</shuriken>

<pup>enabled</pup>

<pum>enabled</pum>

</options>


-<items>


-<value>

<path>HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN</path>

<valuename>MSStp</valuename>

<vendor>Trojan.Agent.SCR</vendor>

<action/>

<valuedata>C:\Windows\inf\msstp.vbe</valuedata>

<hash>ed6b1f3068130b2b1fc2235b9969e917</hash>

</value>


-<value>

<path>HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN</path>

<valuename>msfmyrlgSrv</valuename>

<vendor>Trojan.Agent.VBSGen</vendor>

<action/>

<valuedata>C:\Windows\inf\msfmyrlg.vbe</valuedata>

<hash>83d577d86c0f41f58e70048abf43a858</hash>

</value>


-<file>

<path>C:\Windows\SysWOW64\acumncmfeurb.exe</path>

<vendor>PUP.Optional.Bitcoin</vendor>

<action/>

<hash>5bfd143b007b2610b8c8de9b4cb5df21</hash>

</file>


-<file>

<path>C:\Windows\SysWOW64\acumncmpijw.exe</path>

<vendor>PUP.Optional.Bitcoin</vendor>

<action/>

<hash>d682a9a6cbb0c076e997db9eff029f61</hash>

</file>


-<file>

<path>C:\Windows\SysWOW64\lcpmncmfeurb.exe</path>

<vendor>PUP.BitCoinMiner</vendor>

<action/>

<hash>e078430cde9d072fc96de329d031aa56</hash>

</file>


-<file>

<path>C:\Windows\SysWOW64\lcpmncmpijw.exe</path>

<vendor>PUP.BitCoinMiner</vendor>

<action/>

<hash>90c8f45bf982a096a78f08043cc5ab55</hash>

</file>


-<file>

<path>C:\Windows\inf\msstp.vbe</path>

<vendor>Trojan.Agent.SCR</vendor>

<action/>

<hash>ed6b1f3068130b2b1fc2235b9969e917</hash>

</file>


-<file>

<path>C:\Windows\inf\msfmyrlg.vbe</path>

<vendor>Trojan.Agent.VBSGen</vendor>

<action/>

<hash>83d577d86c0f41f58e70048abf43a858</hash>

</file>

</items>

</mbam-log>
PC 1.
► Zobrazit spoiler

PC 2.
► Zobrazit spoiler

Uživatelský avatar
jaro3
člen Security týmu
Guru Level 15
Guru Level 15
Příspěvky: 43298
Registrován: červen 07
Bydliště: Jižní Čechy
Pohlaví: Muž
Stav:
Offline

Re: Preventivní kontrola

Příspěvekod jaro3 » 09 kvě 2014 10:06

TDSSKiller - -pokud bude mít log více než 60.000 znaků , rozděl ho a vlož do více příspěvků

Vypni rez. ochranu u antiviru a antispywaru,příp. firewall..

Stáhni si ComboFix (by sUBs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah
Pokud budou problémy , spusť ho v nouz. režimu.

Upozornění : Může se stát, že po aplikaci Combofixu a restartu počítače, Windows nenaběhnou , nebo nenajede plocha , budou problémy s připojením, pak znovu restartuj počítač, pokud to nepomůže , po restartu mačkej klávesu F8 a pak zvol poslední známou funkční konfiguraci. , či použij bod obnovy.
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra

Uživatelský avatar
mikrosini
Level 4
Level 4
Příspěvky: 1019
Registrován: leden 14
Pohlaví: Nespecifikováno
Stav:
Offline

Re: Preventivní kontrola

Příspěvekod mikrosini » 09 kvě 2014 10:24

PC 1.
► Zobrazit spoiler

PC 2.
► Zobrazit spoiler

Uživatelský avatar
mikrosini
Level 4
Level 4
Příspěvky: 1019
Registrován: leden 14
Pohlaví: Nespecifikováno
Stav:
Offline

Re: Preventivní kontrola

Příspěvekod mikrosini » 09 kvě 2014 10:35

Odběhl jsem od PC a dodělalo se to bez problému zde je log z Comba http://leteckaposta.cz/897946444
PC 1.
► Zobrazit spoiler

PC 2.
► Zobrazit spoiler

Uživatelský avatar
mikrosini
Level 4
Level 4
Příspěvky: 1019
Registrován: leden 14
Pohlaví: Nespecifikováno
Stav:
Offline

Re: Preventivní kontrola

Příspěvekod mikrosini » 09 kvě 2014 10:37

Pomůžete mi pak vše odstranit ? A co znamenají ty zámečky ?
Přílohy
Bez názvu.png
PC 1.
► Zobrazit spoiler

PC 2.
► Zobrazit spoiler

Uživatelský avatar
mikrosini
Level 4
Level 4
Příspěvky: 1019
Registrován: leden 14
Pohlaví: Nespecifikováno
Stav:
Offline

Re: Preventivní kontrola

Příspěvekod mikrosini » 09 kvě 2014 21:25

Tak co ?
PC 1.
► Zobrazit spoiler

PC 2.
► Zobrazit spoiler

Uživatelský avatar
jaro3
člen Security týmu
Guru Level 15
Guru Level 15
Příspěvky: 43298
Registrován: červen 07
Bydliště: Jižní Čechy
Pohlaví: Muž
Stav:
Offline

Re: Preventivní kontrola

Příspěvekod jaro3 » 10 kvě 2014 09:31

TDSSKiller - -pokud bude mít log více než 60.000 znaků , rozděl ho a vlož do více příspěvků
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra

Uživatelský avatar
mikrosini
Level 4
Level 4
Příspěvky: 1019
Registrován: leden 14
Pohlaví: Nespecifikováno
Stav:
Offline

Re: Preventivní kontrola

Příspěvekod mikrosini » 10 kvě 2014 10:28

Hodil jsem ho na let poštu...

10:22:50.0654 0808 TDSS rootkit removing tool 2.8.16.0 Feb 11 2013 18:50:42
10:22:54.0270 0808 ============================================================
10:22:54.0270 0808 Current date / time: 2014/05/09 10:22:54.0270
10:22:54.0270 0808 SystemInfo:
10:22:54.0270 0808
10:22:54.0270 0808 OS Version: 6.1.7601 ServicePack: 1.0
10:22:54.0270 0808 Product type: Workstation
10:22:54.0270 0808 ComputerName: XXX-PC
10:22:54.0271 0808 UserName: xXx
10:22:54.0271 0808 Windows directory: C:\Windows
10:22:54.0271 0808 System windows directory: C:\Windows
10:22:54.0271 0808 Running under WOW64
10:22:54.0271 0808 Processor architecture: Intel x64
10:22:54.0271 0808 Number of processors: 4
10:22:54.0271 0808 Page size: 0x1000
10:22:54.0271 0808 Boot type: Normal boot
10:22:54.0271 0808 ============================================================
10:22:54.0969 0808 Drive \Device\Harddisk0\DR0 - Size: 0x3A38B2E000 (232.89 Gb), SectorSize: 0x200, Cylinders: 0x76C1, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000040
10:22:54.0971 0808 ============================================================
10:22:54.0971 0808 \Device\Harddisk0\DR0:
10:22:54.0971 0808 MBR partitions:
10:22:54.0971 0808 \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x3F, BlocksNum 0x1701BD42
10:22:54.0971 0808 \Device\Harddisk0\DR0\Partition2: MBR, Type 0x7, StartLBA 0x1701C800, BlocksNum 0x61A8000
10:22:54.0971 0808 ============================================================
10:22:54.0977 0808 C: <-> \Device\Harddisk0\DR0\Partition1
10:22:55.0023 0808 D: <-> \Device\Harddisk0\DR0\Partition2
10:22:55.0023 0808 ============================================================
10:22:55.0023 0808 Initialize success
10:22:55.0023 0808 ============================================================
10:22:56.0401 4752 ============================================================
10:22:56.0401 4752 Scan started
10:22:56.0401 4752 Mode: Manual;
10:22:56.0401 4752 ============================================================
10:22:57.0270 4752 ================ Scan system memory ========================
10:22:57.0270 4752 System memory - ok
10:22:57.0271 4752 ================ Scan services =============================
10:22:57.0426 4752 [ A87D604AEA360176311474C87A63BB88 ] 1394ohci C:\Windows\system32\drivers\1394ohci.sys
10:22:57.0430 4752 1394ohci - ok
10:22:57.0469 4752 [ D81D9E70B8A6DD14D42D7B4EFA65D5F2 ] ACPI C:\Windows\system32\drivers\ACPI.sys
10:22:57.0474 4752 ACPI - ok
10:22:57.0508 4752 [ 2EA3EB3E69B6480AB112E876F3096312 ] AcpiCtlDrv C:\Windows\system32\DRIVERS\AcpiCtlDrv.sys
10:22:57.0509 4752 AcpiCtlDrv - ok
10:22:57.0542 4752 [ 99F8E788246D495CE3794D7E7821D2CA ] AcpiPmi C:\Windows\system32\drivers\acpipmi.sys
10:22:57.0542 4752 AcpiPmi - ok
10:22:57.0618 4752 [ 2F6B34B83843F0C5118B63AC634F5BF4 ] adp94xx C:\Windows\system32\DRIVERS\adp94xx.sys
10:22:57.0625 4752 adp94xx - ok
10:22:57.0654 4752 [ 597F78224EE9224EA1A13D6350CED962 ] adpahci C:\Windows\system32\DRIVERS\adpahci.sys
10:22:57.0659 4752 adpahci - ok
10:22:57.0687 4752 [ E109549C90F62FB570B9540C4B148E54 ] adpu320 C:\Windows\system32\DRIVERS\adpu320.sys
10:22:57.0690 4752 adpu320 - ok
10:22:57.0712 4752 [ 4B78B431F225FD8624C5655CB1DE7B61 ] AeLookupSvc C:\Windows\System32\aelupsvc.dll
10:22:57.0714 4752 AeLookupSvc - ok
10:22:57.0753 4752 [ 79059559E89D06E8B80CE2944BE20228 ] AFD C:\Windows\system32\drivers\afd.sys
10:22:57.0761 4752 AFD - ok
10:22:57.0798 4752 [ 608C14DBA7299D8CB6ED035A68A15799 ] agp440 C:\Windows\system32\drivers\agp440.sys
10:22:57.0800 4752 agp440 - ok
10:22:57.0821 4752 [ 3290D6946B5E30E70414990574883DDB ] ALG C:\Windows\System32\alg.exe
10:22:57.0823 4752 ALG - ok
10:22:57.0850 4752 [ 5812713A477A3AD7363C7438CA2EE038 ] aliide C:\Windows\system32\drivers\aliide.sys
10:22:57.0850 4752 aliide - ok
10:22:57.0861 4752 [ 1FF8B4431C353CE385C875F194924C0C ] amdide C:\Windows\system32\drivers\amdide.sys
10:22:57.0862 4752 amdide - ok
10:22:57.0890 4752 [ 7024F087CFF1833A806193EF9D22CDA9 ] AmdK8 C:\Windows\system32\DRIVERS\amdk8.sys
10:22:57.0892 4752 AmdK8 - ok
10:22:57.0904 4752 [ 1E56388B3FE0D031C44144EB8C4D6217 ] AmdPPM C:\Windows\system32\DRIVERS\amdppm.sys
10:22:57.0906 4752 AmdPPM - ok
10:22:57.0951 4752 [ D4121AE6D0C0E7E13AA221AA57EF2D49 ] amdsata C:\Windows\system32\drivers\amdsata.sys
10:22:57.0953 4752 amdsata - ok
10:22:57.0966 4752 [ F67F933E79241ED32FF46A4F29B5120B ] amdsbs C:\Windows\system32\DRIVERS\amdsbs.sys
10:22:57.0969 4752 amdsbs - ok
10:22:57.0980 4752 [ 540DAF1CEA6094886D72126FD7C33048 ] amdxata C:\Windows\system32\drivers\amdxata.sys
10:22:57.0981 4752 amdxata - ok
10:22:58.0018 4752 [ 89A69C3F2F319B43379399547526D952 ] AppID C:\Windows\system32\drivers\appid.sys
10:22:58.0019 4752 AppID - ok
10:22:58.0045 4752 [ 0BC381A15355A3982216F7172F545DE1 ] AppIDSvc C:\Windows\System32\appidsvc.dll
10:22:58.0046 4752 AppIDSvc - ok
10:22:58.0068 4752 [ 9D2A2369AB4B08A4905FE72DB104498F ] Appinfo C:\Windows\System32\appinfo.dll
10:22:58.0069 4752 Appinfo - ok
10:22:58.0098 4752 [ 4ABA3E75A76195A3E38ED2766C962899 ] AppMgmt C:\Windows\System32\appmgmts.dll
10:22:58.0101 4752 AppMgmt - ok
10:22:58.0137 4752 [ C484F8CEB1717C540242531DB7845C4E ] arc C:\Windows\system32\DRIVERS\arc.sys
PC 1.
► Zobrazit spoiler

PC 2.
► Zobrazit spoiler


Zpět na “HiJackThis”

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 119 hostů