Fórum Živě.cz

od **B36** 25. 2. 2015 00:34

Chtěl jsem se prihlasit jako obvykle do mejlu (přes prohlizec IE 10) na Seznamu a vždy se mi tam zobrazi tahle hlaska (viz obrazek) a s mejlem vůbec nemuzu pracovat. Něco takového se mi zda vicemene nemozne, takze jde o nejaky sajrajt v PC :roll:

? Dik

od **kernel_panic [passed]** 25. 2. 2015 00:39

od **mople71** 25. 2. 2015 10:29

Jo to asi bude sajrajt...

Vloz logy dle: viewtopic.php?f=927&t=1114415

od **B36** 25. 2. 2015 11:49

Nastartuje-li mi vecer jeste pc, pak provedu.

od **mople71** 25. 2. 2015 15:36

To je na tom tak spatne? Jestli je OS na umreni tak ho preinstaluj a precti si neco o prevenci.

od **Milanr1** 25. 2. 2015 15:53

Hackeři stále vylepšují metody sociálního inženýrství.
Už to není česko-čínská hatmatilka. ;-)

Základní idea:
Hackni si svůj OS sám, proč bych se s tím měl namáhat? :-D

Překvapivě dobře to funguje. :-)

Co s tím?
A/ Obnova OS ze zálohy: boot z externího záchranného média.
Záloha musí být v externím médiu.
Interní body obnovy jsou napadené.
Admin nevytvořil včas zálohu OS? => fatální chyba.
Zbývá jen:
B/ Nová instalace OS do čistého SSD z originálního MS média - viz mople71:
viewtopic.php?f=1932&t=1229478
Platí pro každou verzi OS WNT 6. řady.
2) Bezpečné připojení OS do internetu.
Viz FAQ:
viewtopic.php?f=927&t=1114416
viewtopic.php?p=7519434#p7519434
3) Nastavení bezpečného DNSSEC v konfiguraci DHCP serveru.
Platí pro správce DHCP serveru. Pokud to nejsi Ty, požádej příslušného správce (např. hlava rodiny nebo technik ISP apod.)

od **B36** 26. 2. 2015 10:52

OS funguje uplne normalne, dokonce i v Chromu je vse v poho, jen IE zobrazuje tohle a když prejedu mysi přes postranni panel oblibenych polozek, tak se zacnou podivne zbarvovat. Reinstall OS bych delal nerad, snad se toho nějak zbavim. Zde je zatím výsledek z FRST:

http://pastebin.com/jGRd3P2U

http://pastebin.com/vLWbsA3H

Pouzil jsem par programu z tech uvodnich vlaken s radami. Naslo to nejake trojany, ta hlaska se uz po prihlaseni do mejlu nezobrazuje. Vecer zkusim pouzit jeste nejake dalsi prgs, abych nasel pripadne neco dalsiho.

od **mople71** 26. 2. 2015 14:29

Boha jeho, to je zase ZOO. :-D

Co za programy jsi pouzil?! Jestli chces konpletni odvirovani, poprosim o provadeni pouze uvedenych kroku.

Ahoj,

Stáhni si AdwCleaner: http://www.bleepingcomputer.com/download/adwcleaner/
Ulož na Plochu, spusť jako správce, klikni na Scan a potom Clean, restartuje se PC, po restartu na tebe vyjede log, ten sem vložíš.

:arrow:

Stáhni si JRT: http://www.bleepingcomputer.com/downloa ... ol/dl/131/
Ulož na Plochu, spusť jako správce, vše odsouhlas a nech pracovat. Potom nahraj log.

Potom nahraj novy log z FRST, pokud jsi uz nektery z programu pouzil, tak najdi jeho log.

od **B36** 26. 2. 2015 17:46

Tak tady mas vse, cos chtěl:

log z adwcleaner - http://pastebin.com/0USrGMgp

log z JRT - http://pastebin.com/fkbtATuX

a nove logy z FRST:
http://pastebin.com/2vDRzT2J

http://pastebin.com/peT2Mgkd

Tento příspěvek byl označen jako off-topic. Klepněte pro zobrazení příspěvku.

od **mople71** 27. 2. 2015 16:15

Ok, čti prosím pozorně, havěť chyby nepromíjí. :twisted:

Nejdříve odinstaluj tyto hlouposti:

Kód: Vybrat vše: Spyware Terminator SUPERAntiSpyware ESET Online Scanner

Stáhni si MBAR: http://www.bleepingcomputer.com/downloa ... i-rootkit/
Spusť a extrahuj na Plochu, odklikej, klikni na tlačítko Update, poté dej Next.
Zkontroluj zatržítko u všech 3 možností a klikni na Scan, nech pracovat, chvíli potrvá.
Všechny případné nálezy zatrhni, zkontroluj zatržítko u Create Restore Point, poté klikni na Cleanup a nech PC restartovat.

Potom dej log, najdeš ho na Ploše ve složce mbar.

:arrow:

Stáhni si OTM: http://www.geekstogo.com/forum/files/do ... s-move-it/

Ulož na Plochu a otevři, do levého okénka vlož:

Kód: Vybrat vše: :files C:\*.tmp C:\Program Files\*.tmp /s C:\Program Files (x86)\*.tmp /s C:\Documents and Settings\All Users\Data aplikací\*.tmp %ProgramData%\DP45977C.lfl %ProgramData%\*.vbs %ProgramData%\*.tmp %windir%\Temp\cpuz135\ %windir%\*.tmp /s %windir%\system32\*.tmp.dll /s %windir%\system32\SET*.tmp /s %windir%\system32\DUMP*.tmp %windir%\Tasks\*.job /s :commands [Purity] [Emptytemp] [Emptyflash] [Emptyjava] [Resethosts]

A klikni na MoveIt!. Proběhne čištění a poté restart PC, po restartu se objeví log, ten prosím přilož.

:arrow:

Stáhni si OTL na Plochu: http://www.bleepingcomputer.com/download/otl/

Vypni trvale antivir!

Otevři, zatrhni políčka: Pro všechny uživatele, Kontrola na havěť "LOP", Kontrola na havěť "Purity"
U položky Běžné registry vlevo dole zvol možnost Vše.

Do volného textového pole Vlastní skenování/opravy zadej tento skript:

Kód: Vybrat vše: netsvcs drivers32 savembr:0 /md5start adp3132.sys AGP440.sys ahcix86.sys ahcix86s.sys atapi.sys autochk.exe cdrom.sys cngaudit.dll cryptsvc.dll eNetHook.dll eventlog.dll explorer.exe hal.dll Changer.sys iaStor.sys iastorv.sys IdeChnDr.sys isapnp.sys JakNDis.sys KR10N.sys logevent.dll lsass.exe mv61xx.sys ndis.sys netlogon.dll ntelogon.dll nvata.sys nvatabus.sys nvgts.sys nvraid.sys nvrd32.sys nvstor.sys nvstor32.sys scecli.dll sceclt.dll smss.exe svchost.exe symmpi.sys tcpip.sys userinit.exe vaxscsi.sys viamraid.sys viasraid.sys ViPrt.sys winlogon.exe ws2_32.dll /md5stop %systemroot%*.* /U /s %SYSTEMDRIVE%\*.exe %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles %systemroot%\Tasks\*.job /lockedfiles %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\system32\*.dll /lockedfiles %systemroot%\system32\drivers\*.sys /3 %systemroot%\system32\*.* /3 %SYSTEMDRIVE%\*.exe *crack* /s *keygen* /s *AntiWPA* /s *loader* /s *minodlogin* /s *tnod* /s *AutoKMS* /s *activator* /s *serial* /s *w7lxe* /s HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /s reg query "HKLM\Software\Microsoft\Windows NT\CurrentVersion\winlogon" /v GinaDLL /c reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv" /v ImagePath /c reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS" /v ImagePath /c

A klikni na Prohledat.

Pak běž dělat něco užitečného, kontrola zabere hodně času.
Výsledné logy následně někam nahraj/rozkouskuj do příspěvků.

od **B36** 27. 2. 2015 22:29

Sakra, to je dlouhy, přes vikend to udelam. Snad mi to nepodela systém:)
BTW Když smazu ty 3 ochrany coz vypsal na zacatku, co myslis tim vypnout trvale antivir? Ja zadny nepouzivam, je tam jen ten systemovy Windows Defender. To mas na mysli?

od **mople71** 27. 2. 2015 22:33

Nepodělá, jenom sondujeme, zatím... :-D

Ano, Windows Defender mám na mysli.

od **B36** 1. 3. 2015 15:48

Jel jsem presne dle tvého navodu:
logy z mbaru:
http://pastebin.com/WcHq55wn
http://pastebin.com/5YVz3ah6

log z OTM:
http://pastebin.com/TNkX7r5R

logy z OTL:
http://pastebin.com/tfJYSSGX
http://pastebin.com/Dd91Sf3K

od **mople71** 1. 3. 2015 15:53

Ok, chvilku zabere než to znovu dopíšu.

-- 1. 3. 2015 16:16 --

Než to sepíšu:

:arrow:

Tyto soubory prosím otestuj na VirusTotal a dej mi sem odkazy na jejich test (pokud již byl soubor analyzován, klikni na Reanalyse): https://www.virustotal.com/

Budeš muset povolit zobrazování skrytých souborů:
http://www.win8.cz/jak-zobrazit-skryte- ... -windows-8
Plus v možnostech složky odšktnout zatržítko u možnosti Skrýt chráněné soubory operačního systému.

Kód: Vybrat vše: C:\ProgramData\DP45977C.lfl C:\MPC.exe C:\Windows\SysNative\Drivers\rtlh64.sys

Fórum Živě.cz

Novy zpusob prihlasovani na Seznamu nebo vir?

Kdo je online