Prosím o kontrolu logu HJT

[tomas_ch]

Program : RogueKiller Anti-Malware
Version : 15.15.2.0
x64 : Yes
Program Date : Feb 19 2024
Location : C:\Program Files\RogueKiller\RogueKiller64.exe
Premium : No
Company : Adlice Software
Website : https://www.adlice.com/
Contact : https://adlice.com/contact/
Website : https://adlice.com/download/roguekiller/
Operating System : Windows 10 (10.0.19045) 64-bit
64-bit OS : Yes
Startup : 0
WindowsPE : No
User : PETR
User is Admin : Yes
Date : 2024/02/27 17:34:15
Type : Scan
Aborted : No
Scan Mode : Standard
Duration : 3275
Found items : 9
Total scanned : 59606
Signatures Version : 20240216_101755
Truesight Driver : Yes
Updates Count : 7
Arguments : -minimize

************************* Warnings *************************

************************* Updates *************************
VLC media player (64-bit), version 3.0.11
[+] Available Version : 3.0.20
[+] Size : 0
[+] Wow6432 : No
[+] Portable : No
[+] update_location : C:\Program Files\VideoLAN\VLC

Google Chrome (32-bit), version 122.0.6261.69
[+] Available Version : 122.0.6261.70
[+] Size : 0
[+] Wow6432 : Yes
[+] Portable : No
[+] update_location : C:\Program Files (x86)\Google\Chrome\Application

OpenOffice 4.1.7 (32-bit), version 4.17.9800
[+] Available Version : 4.115
[+] Size : 347255808
[+] Wow6432 : Yes
[+] Portable : No
[+] update_location : C:\Program Files (x86)\OpenOffice 4\

Total Commander 64+32-bit (Remove or Repair) (64-bit), version 11.03
[+] Available Version : 11.03.6
[+] Size : 28839936
[+] Wow6432 : No
[+] Portable : No
[+] update_location : C:\Program Files\totalcmd\

DriverSetupUtility (64-bit), version 1.00.3011
[+] Available Version : 1.00.3026
[+] Size : 1892352
[+] Wow6432 : No
[+] Portable : No

IObit Uninstaller 13 (32-bit), version 13.1.0.3
[+] Available Version : 13.3.0.2
[+] Size : 83148800
[+] Wow6432 : Yes
[+] Portable : No
[+] update_location : C:\Program Files (x86)\IObit\IObit Uninstaller\

Microsoft Office Professional 2007 (32-bit), version 12.0.6612.1000
[+] Available Version : 14.0.7015.1000
[+] Size : 0
[+] Wow6432 : Yes
[+] Portable : No
[+] update_location : C:\Program Files (x86)\Microsoft Office


************************* Processes *************************

************************* Modules *************************

************************* Services *************************
[PUP.Computrace (Potentially Malicious)] rpcnet (0) -- C:\Windows\system32\rpcnet.exe -> Found

************************* Scheduled Tasks *************************

************************* Registry *************************
>>>>>> O23 - Services
└── [PUP.Computrace (Potentially Malicious)] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rpcnet -- (missing) -> Found

************************* WMI *************************

************************* Hosts File *************************
is_too_big : No
hosts_file_path : C:\Windows\System32\drivers\etc\hosts


************************* Filesystem *************************
[PUP.Computrace (Potentially Malicious)] (file) rpcnetp.exe -- C:\Windows\System32\rpcnetp.exe -> Found
[PUP.Computrace (Potentially Malicious)] (file) identprv.dll -- (Absolute Software Corp.) C:\Windows\SysWOW64\identprv.dll -> Found
[PUP.Computrace (Potentially Malicious)] (file) rpcnet.dll -- (Absolute Software Corp.) C:\Windows\SysWOW64\rpcnet.dll -> Found
[PUP.Computrace (Potentially Malicious)] (file) rpcnet.exe -- (Absolute Software Corp.) C:\Windows\SysWOW64\rpcnet.exe -> Found
[PUP.Computrace (Potentially Malicious)] (file) rpcnetp.dll -- C:\Windows\SysWOW64\rpcnetp.dll -> Found
[PUP.Computrace (Potentially Malicious)] (file) rpcnetp.exe -- C:\Windows\SysWOW64\rpcnetp.exe -> Found
[PUP.Computrace (Potentially Malicious)] (file) wceprv.dll -- (Absolute Software Corp.) C:\Windows\SysWOW64\wceprv.dll -> Found

************************* Web Browsers *************************

************************* Antirootkit *************************

[jaro3]

Musíš kliknout na "Removal". Znovu.

[tomas_ch]

Ale vzdyt mi to pise - "REMOVAL FINISHED"

[tomas_ch]

Informace o kontroly
Název produktu    :  Zemana AntiMalware
Stav kontroly    :  Dokončena
Datum kontroly    :  27.02.2024 20:01:50
Typ kontroly    :  Custom Scan
Čas trvání    :  00:50:52
Zkontrolované objekty    :  286574
Zjištěné objekty    :  6
Vyloučené objekty    :  0
Automatické odesílání    :  Ne
Operační systém    :  Windows 10 x64
Procesor    :  2X Intel(R) Pentium(R) 3805U @ 1.90GHz
Režim systému BIOS    :  UEFI
Informace o doméně    :  WORKGROUP,False,NetSetupWorkgroupName
CUID    :  120038605D7F01560B7E20


Odhalení
MD5    :  31115A9680EE0ED8364422792540FB93
Stav    :  Zkontrolováno
Objekt    :  c:\users\petr\desktop\petr\appdata\local\avast software\browser\user data\default\extensions\kmediagceboldddnnajkcochbkfkedel\1.17.4.396_0\assets\thirdparties\easylist-downloads.adblockplus.org\easylist.txt
Vydavatel    :  
Velikost    :  2762633
Odhalení    :  Adware:Win32/FeedSonicSearch
Akce    :  Karanténa
-----------------------------------------------------------------------
MD5    :  2D5EF3C23C2A2B1CD6AE29A1A32BCEE5
Stav    :  Zkontrolováno
Objekt    :  c:\users\petr\desktop\petr\appdata\local\avast software\browser\user data\default\extensions\kmediagceboldddnnajkcochbkfkedel\1.17.4.396_0\assets\thirdparties\pgl.yoyo.org\as\serverlist
Vydavatel    :  
Velikost    :  77796
Odhalení    :  Trojan:Win32/MalDropper.OnClickAds
Akce    :  Karanténa
-----------------------------------------------------------------------
MD5    :  2D5EF3C23C2A2B1CD6AE29A1A32BCEE5
Stav    :  Zkontrolováno
Objekt    :  c:\users\petr\desktop\petr\appdata\local\avast software\browser\user data\default\extensions\ooeobdingfeedklanlfcjhffgennflke\1.17.4.396_0\assets\thirdparties\pgl.yoyo.org\as\serverlist
Vydavatel    :  
Velikost    :  77796
Odhalení    :  Trojan:Win32/MalDropper.OnClickAds
Akce    :  Karanténa
-----------------------------------------------------------------------
MD5    :  31115A9680EE0ED8364422792540FB93
Stav    :  Zkontrolováno
Objekt    :  c:\users\petr\desktop\petr\appdata\local\avast software\browser\user data\default\extensions\ooeobdingfeedklanlfcjhffgennflke\1.17.4.396_0\assets\thirdparties\easylist-downloads.adblockplus.org\easylist.txt
Vydavatel    :  
Velikost    :  2762633
Odhalení    :  Adware:Win32/FeedSonicSearch
Akce    :  Karanténa
-----------------------------------------------------------------------
MD5    :  A2E8455D8DAE9FDF64DC4E5E00776D0B
Stav    :  Zkontrolováno
Objekt    :  c:\windows\system32\tasks\mozilla\firefox background update 308046b0af4a39cb
Vydavatel    :  
Velikost    :  3508
Odhalení    :  Adware:Win32/FF.TASKSCHD.GEN.A~2055
Akce    :  Karanténa
-----------------------------------------------------------------------
MD5    :  A19A211C3D2CBA54BF31C62B882A704D
Stav    :  Zkontrolováno
Objekt    :  c:\windows\system32\tasks\mozilla\firefox background update s-1-5-21-1360909192-1986834191-3985270288-1002 308046b0af4a39cb
Vydavatel    :  
Velikost    :  3602
Odhalení    :  Adware:Win32/FF.TASKSCHD.GEN.A~2055
Akce    :  Karanténa
-----------------------------------------------------------------------

[jaro3]

[PUP.Computrace (Potentially Malicious)] rpcnet (0) -- C:\Windows\system32\rpcnet.exe -> Found

************************* Scheduled Tasks *************************

************************* Registry *************************
>>>>>> O23 - Services
└── [PUP.Computrace (Potentially Malicious)] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rpcnet -- (missing) -> Found

************************ Filesystem *************************
[PUP.Computrace (Potentially Malicious)] (file) rpcnetp.exe -- C:\Windows\System32\rpcnetp.exe -> Found
[PUP.Computrace (Potentially Malicious)] (file) identprv.dll -- (Absolute Software Corp.) C:\Windows\SysWOW64\identprv.dll -> Found
[PUP.Computrace (Potentially Malicious)] (file) rpcnet.dll -- (Absolute Software Corp.) C:\Windows\SysWOW64\rpcnet.dll -> Found
[PUP.Computrace (Potentially Malicious)] (file) rpcnet.exe -- (Absolute Software Corp.) C:\Windows\SysWOW64\rpcnet.exe -> Found
[PUP.Computrace (Potentially Malicious)] (file) rpcnetp.dll -- C:\Windows\SysWOW64\rpcnetp.dll -> Found
[PUP.Computrace (Potentially Malicious)] (file) rpcnetp.exe -- C:\Windows\SysWOW64\rpcnetp.exe -> Found
[PUP.Computrace (Potentially Malicious)] (file) wceprv.dll -- (Absolute Software Corp.) C:\Windows\SysWOW64\wceprv.dll -> Found

potřebuju log po výmazu! Ne sken.

[tomas_ch]

Něco je špatně - Open Removal, pak vyskočí tato hláška

[jaro3]

Uděláš sken, najde to nákazy, klikneš na "removal". A pak na "result".
případně "export" pravým a vybrat text file. A někam uložit.

[tomas_ch]

Ted jsem to delal po treti, vzdy stejny...

[jaro3]

To není možné. Tak nový sken..A pak co jsem psal výše.

[tomas_ch]

hledal jsem logy v ProgramData/Roguekiller... take tam nejsou

[jaro3]

tak budou přeci v quarantine ne? Nebo reports.
https://www.bleepingcomputer.com/download/roguekiller/ jsou tam screenshoty, ale úplně to neodpovídá.

[tomas_ch]

trochu jsem patral...

rcpnet nebo rcpnetp.exe je součásti programu computrace od kandské firmy absolute software.
tento program je schopny najit ukradeny notebook, to se ale dá taky zneuzit.
copmutrace je umístěný v bios a při každém startu kontroluje jestli je ten agent na harddisku aktivní. v případě ze byl odstraněný tak ho nainstaluje na opet na hdd0 do windows/system32, instaluje též dll soubory. aktivace computrace se nedá už zrušit.
po aktivaci posílá agent kazdých 24 hodin hlášku do vancouvru a seattlu, obsah zprávy je vlastnosti pc, seznam instalovaného hardware a programů, ip adresu jmeno uživatele a pc, a dokonce kde se nachází. pozice se zaměřuje jak s gps tak i přes wlan.
technici od absolute software můžou taky aktivovat webku aniž by se rozsvítila kontrolka, jinak mají možnost se kdykoliv připojit a nainstalovat keylogger a forenzní nástroje.
následně odkaz na seznam notebooku kde je v bios computrace: [http://www.absolute.com/en_GB/products/ ... patibility]