Win XP -> proces -> Virus Trojan.exe

SaKunDrak · Příspěvekod **SaKunDrak** » 03 úno 2016 17:56

RK nejde vůbec spustit, a log z ComboFixu je zde, ale asi není přesný, protože jsem ten proces předtím ve správci ukončil (radši, když je to ten keylogger, tak bůhví na co by mi přišel)... Mám to spustit pak ještě jednou?

ComboFix 16-01-31.01 - David Krása 03.02.2016 17:35:44.1.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.1024.522 [GMT 1:00]
Spuštěný z: c:\documents and settings\David Krßsa\Plocha\ComboFix.exe
.
VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\David Krása\Nabídka Start\Programy\Po spuštění\5cd8f17f4086744065eb0992a09e05a2.exe
c:\windows\_detmp.2
c:\windows\IsUn0405.exe
c:\windows\iun6002.exe
c:\windows\system32\Cache
c:\windows\system32\Cache\075884af680ff6dc.fb
c:\windows\system32\Cache\0f7203a11a84ef0b.fb
c:\windows\system32\Cache\13ecc69bf462b381.fb
c:\windows\system32\Cache\1fc07744bccd8657.fb
c:\windows\system32\Cache\227113dfa1ca894d.fb
c:\windows\system32\Cache\241a34fc9a901c0a.fb
c:\windows\system32\Cache\43726f5eb0ec4bd8.fb
c:\windows\system32\Cache\49fbbc5a8678d502.fb
c:\windows\system32\Cache\613e8ce7ab7106af.fb
c:\windows\system32\Cache\6315513b13eb052d.fb
c:\windows\system32\Cache\633a76311867bd11.fb
c:\windows\system32\Cache\691f14230153a9e1.fb
c:\windows\system32\Cache\6cb409d7ac73d9f1.fb
c:\windows\system32\Cache\6f9ff6fbe61379f8.fb
c:\windows\system32\Cache\7614bd6cfa99e546.fb
c:\windows\system32\Cache\77664b6ccc36be9f.fb
c:\windows\system32\Cache\82a67f9dd5694292.fb
c:\windows\system32\Cache\881b3593316772f0.fb
c:\windows\system32\Cache\8cf6dd07bff96de6.fb
c:\windows\system32\Cache\907b7b99d3561699.fb
c:\windows\system32\Cache\98657d0579ae1930.fb
c:\windows\system32\Cache\a2183d7e53242b04.fb
c:\windows\system32\Cache\a75f6ab853509935.fb
c:\windows\system32\Cache\ab7eb0c037683e0d.fb
c:\windows\system32\Cache\c4e10d1be905349b.fb
c:\windows\system32\Cache\d5c0f4e7bbe35bf3.fb
c:\windows\system32\Cache\d9ca663388d21ec0.fb
c:\windows\system32\Cache\de8c67f1173e76bb.fb
c:\windows\system32\Cache\ea80afbfb9906bdc.fb
c:\windows\system32\Cache\f2cda51fd108941f.fb
c:\windows\system32\Cache\f34d8db84131d925.fb
c:\windows\system32\Cache\fc67b3396544e889.fb
c:\windows\system32\msssc.dll
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2016-01-03 do 2016-02-03 )))))))))))))))))))))))))))))))
.
.
2016-02-03 09:47 . 2016-02-03 09:29 24064 ----a-w- c:\windows\zoek-delete.exe
2016-02-03 09:47 . 2016-02-03 09:47 -------- d-----w- c:\documents and settings\David Krßsa
2016-02-03 09:29 . 2016-02-03 09:43 -------- d-----w- C:\zoek_backup
2016-02-02 09:34 . 2016-02-02 09:34 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Malwarebytes
2016-02-02 09:34 . 2015-10-05 08:50 121560 ----a-w- c:\windows\system32\drivers\mbamchameleon.sys
2016-02-02 09:34 . 2015-10-05 08:50 23256 ----a-w- c:\windows\system32\drivers\mbam.sys
2016-02-02 09:28 . 2016-02-02 19:31 -------- d-----w- C:\AdwCleaner
2016-01-29 19:45 . 2016-01-29 19:45 -------- d-----w- c:\documents and settings\David Kr?
2016-01-29 19:02 . 2016-01-29 19:02 -------- d-----w- c:\program files\VideoLAN
2016-01-29 18:27 . 2016-01-29 18:27 -------- d-----w- c:\documents and settings\David Krása\Data aplikací\Vanilla-Addons.com
2016-01-28 20:27 . 1999-07-06 22:15 160298 ----a-w- c:\windows\uncstrik.EXE
2016-01-28 19:33 . 2016-01-28 19:33 -------- d-----w- c:\program files\Creative
2016-01-28 19:33 . 2001-12-11 11:52 135168 ----a-w- c:\windows\system32\eax.dll
2016-01-28 19:10 . 2016-01-28 19:10 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Oracle
2016-01-25 19:21 . 2016-01-30 15:16 -------- d-----w- c:\documents and settings\David Krása\VirtualBox VMs
2016-01-25 19:20 . 2016-01-30 15:15 -------- d-----w- c:\documents and settings\David Krása\.VirtualBox
2016-01-25 19:17 . 2016-01-19 17:02 784696 ----a-w- c:\windows\system32\drivers\VBoxDrv.sys
2016-01-25 19:13 . 2016-01-25 19:13 -------- d-----w- c:\program files\Oracle
2016-01-24 17:02 . 2016-01-24 17:02 -------- d-----w- c:\documents and settings\David Krása\Data aplikací\Apple Computer
2016-01-24 17:02 . 2016-01-24 17:02 -------- d-----w- c:\documents and settings\David Krása\Local Settings\Data aplikací\Apple Computer
2016-01-24 17:01 . 2016-01-24 17:01 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Apple Computer
2016-01-24 16:59 . 2016-01-24 16:59 -------- d-----w- c:\program files\Common Files\Apple
2016-01-24 16:58 . 2016-01-24 16:58 -------- d-----w- c:\documents and settings\David Krása\Local Settings\Data aplikací\Apple
2016-01-24 16:58 . 2016-01-24 16:58 -------- d-----w- c:\program files\Apple Software Update
2016-01-24 16:58 . 2016-01-24 16:58 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Apple
2016-01-24 12:44 . 2016-01-24 12:44 -------- d-----w- c:\program files\Valve
2016-01-22 16:59 . 2016-01-19 17:02 112112 ----a-w- c:\windows\system32\drivers\VBoxUSBMon.sys
2016-01-21 20:02 . 2016-01-21 20:02 -------- d-----w- c:\documents and settings\David Krása\Data aplikací\.doomseeker
2016-01-20 19:23 . 2016-01-20 19:23 -------- d-----w- c:\documents and settings\David Krása\Local Settings\Data aplikací\DOSBox
2016-01-19 17:02 . 2016-01-19 17:02 174888 ----a-w- c:\windows\system32\VBoxNetFltNobj.dll
2016-01-19 17:02 . 2016-01-19 17:02 134760 ----a-w- c:\windows\system32\drivers\VBoxNetFlt.sys
2016-01-19 17:02 . 2016-01-19 17:02 122936 ----a-w- c:\windows\system32\drivers\VBoxNetAdp.sys
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2016-01-20 18:56 . 2013-11-24 15:30 796864 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2016-01-20 18:56 . 2013-11-24 15:30 142528 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2013-10-28 3675352]
"Steam"="d:\program files\Steam\steam.exe" [2015-12-14 3013712]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-09-12 335872]
"VGAUtil"="c:\windows\system32\G-VGA.exe" [2003-10-08 544768]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2015-12-13 1085656]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2013-07-02 254336]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\David Krása\Nabídka Start\Programy\Po spuštění\
Server.exe [2016-1-24 29696]
.
c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\
VIA RAID TOOL.lnk - c:\program files\VIA\RAID\raid_tool.exe [2013-11-24 565248]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Documents and Settings\\David Krása\\Data aplikací\\uTorrent\\utorrent.exe"=
"d:\\Hry\\Croteam\\Serious Sam - The Second Encounter\\Bin\\SeriousSam.exe"=
"d:\\Hry\\WFS\\Wolfenstein - Enemy Territory\\et.exe"=
"c:\\Program Files\\Bethesda Softworks\\Morrowind\\Bamf.exe"=
"d:\\Program Files\\Steam\\Steam.exe"=
"d:\\Counter-Strike 2D\\CounterStrike2D.exe"=
"d:\\Program Files\\Steam\\bin\\steamwebhelper.exe"=
"d:\\Hry\\Valve\\Half-Life 2\\hl2.exe"=
"d:\\Hry\\Warcraft III Reign of Chaos & The Frozen Throne\\Warcraft III.exe"=
"d:\\Hry\\MutantFactions\\MutantFactions.exe"=
"d:\\Hry\\Quake II Starter\\q2pro.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"d:\\Counter-StrikeGO\\hl.exe"=
"d:\\Program Files\\cs go weapon\\hl.exe"=
"d:\\Program Files\\Steam\\steamapps\\common\\Sven Co-op\\svencoop.exe"=
.
R0 viasraid;viasraid;c:\windows\system32\drivers\viasraid.sys [24.11.2013 16:11 77312]
R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\drivers\dtsoftbus01.sys [14.12.2013 15:48 243128]
R1 VBoxDrv;VirtualBox Service;c:\windows\system32\drivers\VBoxDrv.sys [25.1.2016 20:17 784696]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\drivers\VBoxUSBMon.sys [22.1.2016 17:59 112112]
R3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\drivers\VBoxNetAdp.sys [19.1.2016 18:02 122936]
R3 VBoxNetFlt;VirtualBox Bridged Networking Service;c:\windows\system32\drivers\VBoxNetFlt.sys [19.1.2016 18:02 134760]
S3 EagleXNt;EagleXNt;\??\c:\windows\system32\drivers\EagleXNt.sys --> c:\windows\system32\drivers\EagleXNt.sys [?]
S3 FairplayKD1;FairplayKD1;\??\c:\documents and settings\All Users\Data aplikací\MTA San Andreas All\Common\temp\FairplayKD.sys --> c:\documents and settings\All Users\Data aplikací\MTA San Andreas All\Common\temp\FairplayKD.sys [?]
S3 GAGPDrv;GAGPDrv; [x]
.
Obsah adresáře 'Naplánované úlohy'
.
2016-02-03 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2013-11-24 18:56]
.
2015-03-11 c:\windows\Tasks\Měsíční oznamování konce poskytování služeb pro Microsoft Windows XP.job
- c:\windows\system32\xp_eos.exe [2014-12-30 23:28]
.
2016-02-03 c:\windows\Tasks\Přihlášení k oznamování konce poskytování služeb pro Microsoft Windows XP.job
- c:\windows\system32\xp_eos.exe [2014-12-30 23:28]
.
2016-02-03 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2015-01-12 21:18]
.
.
------- Doplňkový sken -------
.
uStart Page = https://www.google.cz/?gws_rd=ssl
uInternet Settings,ProxyOverride = <local>
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 10.0.0.138
FF - ProfilePath - c:\documents and settings\David Krása\Data aplikací\Mozilla\Firefox\Profiles\fexrd9x5.default\
FF - prefs.js: browser.startup.homepage - hxxps://www.google.cz/?gws_rd=ssl
FF - prefs.js: keyword.URL -
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
HKCU-Run-Akamai NetSession Interface - c:\documents and settings\David Krása\Local Settings\Data aplikací\Akamai\netsession_win.exe
AddRemove-AVG - c:\program files\AVG\AVG2014\avgmfapx.exe
AddRemove-Cool's_Codec_pack_4.12 - c:\windows\iun6002.exe
AddRemove-Donald Duck - c:\windows\IsUn0405.exe
AddRemove-Fortress Forever - d:\program files\Steam\steamapps\sourcemods\uninst.exe
AddRemove-Half-Life 1.1 By Vu.storm 1.1 - c:\documents and settings\David Krása\Plocha\Half-Life Day One\Half-Life 1.1 By Vu.storm\Uninstall.exe
AddRemove-Liberty Unleashed - c:\program files\Grand Theft Auto 3\UninstallLU.exe
AddRemove-McAfee Security Scan - c:\program files\McAfee Security Scan\uninstall.exe
AddRemove-MTA:SA 1.3 - c:\program files\MTA San Andreas 1.3\Uninstall.exe
AddRemove-MTA:SA 1.4 - d:\hry\Uninstall.exe
AddRemove-Science & Industry_is1 - d:\program files\Valve\Half-Life s\si\unins000.exe
AddRemove-Source For Go-Mod 3 Update 2 - d:\program files\Valve\gomod\Uninstal.exe
AddRemove-{74d0e5db-b326-4dae-a6b2-445b9de1836e} - c:\documents and settings\All Users\Data aplikací\Package Cache\{74d0e5db-b326-4dae-a6b2-445b9de1836e}\VC_redist.x86.exe
AddRemove-{92C7D009-A464-4948-A980-7A3E28CB2F49}_is1 - d:\hry\Richard Burns Rally\unins000.exe
AddRemove-{f65db027-aff3-4070-886a-0d87064aabb1} - c:\documents and settings\All Users\Data aplikací\Package Cache\{f65db027-aff3-4070-886a-0d87064aabb1}\vcredist_x86.exe
AddRemove-Akamai - c:\documents and settings\David Krása\Local Settings\Data aplikací\Akamai\uninstall.exe
AddRemove-FunnyGames - happy_wheels - d:\hry\FunnyGames\happy_wheels\happy_wheels.exe
AddRemove-The Return of The Puppet Demo Ext - d:\program files\The Return of The Puppet Demo Ext\uninstall.exe
AddRemove-{2922D6F1-2865-4EFA-97A9-94EEAB3AFA14} - c:\documents and settings\David Krása\Local Settings\Data aplikací\RobloxVersions\version-690117d1a88742de\RobloxStudioLauncherBeta.exe
AddRemove-{373B1718-8CC5-4567-8EE2-9033AD08A680} - c:\documents and settings\David Krása\Local Settings\Data aplikací\RobloxVersions\version-632471a80776450d\RobloxPlayerLauncher.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2016-02-03 17:48
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_20_0_0_286_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_20_0_0_286_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}]
@Denied: (A 2) (Everyone)
@="IFlashBroker6"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'winlogon.exe'(1008)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\COMRes.dll
.
Celkový čas: 2016-02-03 17:51:36
ComboFix-quarantined-files.txt 2016-02-03 16:51
.
Před spuštěním: 8 941 105 152
Po spuštění: 8 896 389 120
.
- - End Of File - - 22823A749F5EEC6C9A95FA40AB2E1254
413FC2A0C716421B3158746D63736515

Reklama

Příspěvekod **jaro3** » 04 úno 2016 09:21

Vypni rez. ochranu u antiviru a antispywaru,příp. firewall..

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:

Kód: Vybrat vše

ClearJavaCache::
KillAll::
Collect::
c:\windows\uncstrik.EXE

File::
c:\windows\Tasks\Adobe Flash Player Updater.job

Driver::
FairplayKD1

RegLock::
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_20_0_0_286_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_20_0_0_286_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}]
@Denied: (A 2) (Everyone)
@="IFlashBroker6"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT

Upozornění : Může se stát, že po aplikaci Combofixu a restartu počítače, Windows nenaběhnou , nebo nenajede plocha , budou problémy s připojením, pak znovu restartuj počítač, pokud to nepomůže , po restartu mačkej klávesu F8 a pak zvol poslední známou funkční konfiguraci. , či použij bod obnovy.

Stáhni si aswMBR
na svojí plochu. Uzavři všechna okna , programy a prohlížeče. Poklepej na aswMBR.exe. Pokud se objeví hláška o možnosti stáhnutí databáze Avastu , klikni na NE. Poté klikni na „Scan“ . Po skenu klikni na „Save Log“ a ulož si log na plochu .Zkopíruj sem celý obsah toho logu. Pak klikni na „Exit“ k zavření programu.

Win XP -> proces -> Virus Trojan.exe

Re: Win XP -> proces -> Virus Trojan.exe

Re: Win XP -> proces -> Virus Trojan.exe

Kdo je online