"Nakažený" PC - Trojan.FakeMD.ED Vyřešeno

[Player1]

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 10:37:40, on 24.7.2015
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v11.0 (11.00.9600.17909)

FIREFOX: 39.0 (x86 cs)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Avira\Launcher\Avira.Systray.exe
C:\Program Files\AMD\ATI.ACE\Core-Static\MOM.exe
C:\Windows\system32\GWX\GWX.exe
C:\Program Files\AMD\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_18_0_0_209.exe
C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_18_0_0_209.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Admin\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Avira Systray] C:\Program Files\Avira\Launcher\Avira.Systray.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\AMD\ATI.ACE\Core-Static\x86\CLIStart.exe" MSRun
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Od&eslat do aplikace OneNote - res://C:\PROGRA~1\MIF5BA~1\Office14\ONBttnIE.dll/105
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Avira Mail Protection (AntiVirMailService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\avmailc7.exe
O23 - Service: Avira Scheduler (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Real-Time Protection (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira Web Protection (AntiVirWebService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\avwebg7.exe
O23 - Service: Avira Service Host (Avira.ServiceHost) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\Launcher\Avira.ServiceHost.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes Anti-Malware\mbamservice.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: TeamViewer 10 (TeamViewer) - TeamViewer GmbH - C:\Program Files\TeamViewer\TeamViewer_Service.exe
O23 - Service: VIA Karaoke digital mixer Service (VIAKaraokeService) - VIA Technologies, Inc. - C:\Windows\system32\viakaraokesrv.exe

--
End of file - 4642 bytes

[Reklama]

[Player1]

U aswMBR mi vyskočilo okno, kde bylo napsáno "support virtualization technology.......rootkit....." neudělal jsem screen, dal jsem NE. Poté naskočilo to okno, kde se mě to ptá na možnost stáhnutí databáze Avastu - NE.

[jaro3]

Ten log z AswMBR není celý.

Co problémy?

[Player1]

aswMBR version 1.0.1.2290 Copyright(c) 2014 AVAST Software
Run date: 2015-07-24 11:58:17
-----------------------------
11:58:17.187 OS Version: Windows 6.1.7601 Service Pack 1
11:58:17.187 Number of processors: 2 586 0x170A
11:58:17.203 ComputerName: ADMIN-PC UserName: Admin
11:58:19.418 Initialize success
11:58:19.668 VM: initialized successfully
11:58:19.668 VM: Intel CPU supported
11:58:22.356 VM: not used
11:58:27.625 Disk 0 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2
11:58:27.625 Disk 0 Vendor: WDC_WD800JD-60LSA0 07.01D07 Size: 76319MB BusType: 3
11:58:27.625 Disk 1 (boot) \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP0T0L0-0
11:58:27.625 Disk 1 Vendor: WDC_WD800JB-00JJA0 05.01C05 Size: 76319MB BusType: 3
11:58:27.735 Disk 1 MBR read successfully
11:58:27.735 Disk 1 MBR scan
11:58:27.735 Disk 1 Windows 7 default MBR code
11:58:27.735 Disk 1 Partition 1 80 (A) 07 HPFS/NTFS NTFS 100 MB offset 2048
11:58:27.750 Disk 1 Boot: NTFS code=2
11:58:27.750 Disk 1 Partition 2 00 07 HPFS/NTFS NTFS 76217 MB offset 206848
11:58:27.750 Disk 1 scanning sectors +156299264
11:58:27.797 Disk 1 scanning C:\Windows\system32\drivers
11:58:35.613 Service scanning
11:58:51.057 Modules scanning
11:58:51.057 Disk 1 trace - called modules:
11:58:51.072 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll ataport.SYS intelide.sys PCIIDEX.SYS atapi.sys
11:58:51.088 1 nt!IofCallDriver -> \Device\Harddisk1\DR1[0x86a98aa0]
11:58:51.088 3 CLASSPNP.SYS[89f7f59e] -> nt!IofCallDriver -> [0x869bf408]
11:58:51.088 5 ACPI.sys[89a433d4] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0x869ad908]
11:58:51.088 Disk 1 statistics 76407/0/0 @ 5,60 MB/s
11:58:51.104 Scan finished successfully
11:59:06.626 Disk 1 MBR has been saved successfully to "C:\Users\Admin\Desktop\MBR.dat"
11:59:06.626 The log file has been saved successfully to "C:\Users\Admin\Desktop\aswMBR2.txt"


Problemy zatím žádny neregistruju. Teplota GPU 45°C což je asi normál bez zátěže a PC se nějak výrazně neseká. Teď už je to vše? Pokud ano, tak minule mi byl poslán odkaz, který mě zbavil všech programů a logů pořebných k řešení problému.

[jaro3]

Stáhni si zde DelFix
https://toolslib.net/downloads/viewdownload/2-delfix/

ulož si soubor na plochu.
Poklepáním na ikonu spusť nástroj Delfix.exe
( Ve Windows Vista, Windows 7 a 8, musíš spustit soubor pravým tlačítkem myši -> Spustit jako správce .
V hlavním menu, zkontroluj tyto možnosti - Odstranění dezinfekce nástrojů (Remove desinfection tools) – Vyčistit body obnovy (Purge System Restore)
Poté klikněte na tlačítko Spustit (Run) a nech nástroj dělat svoji práci

Poté se zpráva se otevře (DelFix.txt). Vlož celý obsah zprávy sem.Jinak je zpráva zde:
v C: \ DelFix.txt

Pokud nejsou problémy , je to vše a můžeš dát vyřešeno , zelenou fajfku.

[Player1]

# DelFix v1.010 - Logfile created 24/07/2015 at 15:18:58
# Updated 26/04/2015 by Xplode
# Username : Admin - ADMIN-PC
# Operating System : Windows 7 Ultimate Service Pack 1 (32 bits)

~ Removing disinfection tools ...

Deleted : C:\zoek_backup
Deleted : C:\AdwCleaner
Deleted : C:\zoek-results.log
Deleted : C:\Users\Admin\Desktop\AdwCleaner[R1].txt
Deleted : C:\Users\Admin\Desktop\adwcleaner_4.208.exe
Deleted : C:\Users\Admin\Desktop\aswmbr.exe
Deleted : C:\Users\Admin\Desktop\aswMBR.txt
Deleted : C:\Users\Admin\Desktop\aswMBR2.txt
Deleted : C:\Users\Admin\Desktop\JRT.exe
Deleted : C:\Users\Admin\Desktop\JRT.txt
Deleted : C:\Users\Admin\Desktop\HijackThis.exe
Deleted : C:\Users\Admin\Desktop\hijackthis.log
Deleted : C:\Users\Admin\Desktop\MBR.dat
Deleted : C:\Users\Admin\Desktop\TFC.exe
Deleted : C:\Users\Admin\Desktop\zoek.exe
Deleted : HKLM\SOFTWARE\AdwCleaner
Deleted : HKLM\SOFTWARE\Swearware
Deleted : HKLM\SOFTWARE\TrendMicro\Hijackthis
Deleted : HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ASWMBR

~ Cleaning system restore ...

Deleted : RP #877 [ComboFix created restore point | 07/24/2015 08:12:46]

New restore point created !

########## - EOF - ##########

Problémy nejsou. Velké díky za vaši pomoc a čas tomu věnovaný.

[jaro3]

Pokud nejsou problémy , je to vše a můžeš dát vyřešeno , zelenou fajfku.

[Player1]

Tohle mi vyskočilo při brouzdáni na internetu:

[jaro3]

Stáhni si z některého odkazu SystemLook
SystemLook (32-bit)
http://jpshortstuff.247fixes.com/SystemLook.exe

SystemLook (64-bit)
http://jpshortstuff.247fixes.com/SystemLook_x64.exe

a ulož si ho na plochu.

Poklepej na stažený SystemLook , zkopíruj do hlavního text. okna tento následující text:

Kód: Vybrat vše

:filefind
update.exe.*



Klikni na Look ke startu skenu. Když program skončí objeví se v poznámkovém bloku zpráva skenu. Zkopíruj sem celý jeho obsah. Log se také nachází na ploše pod názvem SystemLook.txt.

[Player1]

SystemLook 30.07.11 by jpshortstuff
Log created at 21:28 on 24/07/2015 by Admin
Administrator - Elevation successful

========== filefind ==========

Searching for "update.exe.*"
C:\Program Files\Avira\AntiVir Desktop\update.exe --a---- 1149224 bytes [11:10 09/02/2015] [07:45 24/07/2015] BD4FECF35F2041E16C72788F77DAC81F
C:\ProgramData\Avira\Antivirus\TEMP\SELFUPDATE\update.exe --a---- 1149224 bytes [09:22 09/06/2015] [07:45 24/07/2015] BD4FECF35F2041E16C72788F77DAC81F
C:\Users\All Users\Avira\Antivirus\TEMP\SELFUPDATE\update.exe --a---- 1149224 bytes [09:22 09/06/2015] [07:45 24/07/2015] BD4FECF35F2041E16C72788F77DAC81F

-= EOF =-

[jerabina]

V možnostech složky si povol zobrazování skrytých souborů a složek+ odškrtni zatržítko skrýt chráněné soubory operačního systému.

Toto otestuj na Virustotal
C:\Program Files\Avira\AntiVir Desktop\update.exe
C:\ProgramData\Avira\Antivirus\TEMP\SELFUPDATE\update.exe
C:\Users\All Users\Avira\Antivirus\TEMP\SELFUPDATE\update.exe


Klikni vpravo od okénka na Vybrat a v Exploreru najdi požadovaný soubor v Tvém PC. Označ ho myší a klikni na Otevřít , poté klikni na Send File. Pokud už byl soubor testován , objeví se okno ve kterém klikni na Reanalyze. Soubor se začne postupně testovat více antivirovými programy. Až skončí test posledního antiviru , objeví se nahoře result a červeně počet nákaz , např. 0/43 , nebo 1/43. Pak zkopíruj myší odkaz na tuto stránku a vlož ji do svého příspěvku.

[Player1]

1. https://www.virustotal.com/cs/file/a21b ... 437810672/

2. https://www.virustotal.com/cs/file/a21b ... 437810974/

3. https://www.virustotal.com/cs/file/a21b ... 437810974/