Odvirování PC, zrychlení počítače, vzdálená pomoc prostřednictvím služby neslape.cz

windefender.exe

Máte problém s virem? Vložte sem log z FRST nebo RSIT.

Moderátor: Moderátoři

Pravidla fóra
Pokud chcete pomoc, vložte log z FRST [návod zde] nebo RSIT [návod zde]

Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.

!NOVINKA!
Nově lze využívat služby vzdálené pomoci, kdy se k vašemu počítači připojí odborník a bližší informace o problému si od vás získá telefonicky! Více na www.neslape.cz
Zpráva
Autor
Uživatelský avatar
Rudy
Site Admin
Site Admin
Příspěvky: 118200
Registrován: 30 říj 2003 13:42
Bydliště: Plzeň
Kontaktovat uživatele:

Re: windefender.exe

#16 Příspěvek od Rudy »

Položku smažte.
Dotazy a logy vkládejte pouze do vašich threadů. Soukromé zprávy, icq a e-maily neslouží k řešení vašich problémů.

Podpořte, prosím, naše fórum : https://platba.viry.cz/payment/.

Navštivte: Obrázek

e-mail: rudy(zavináč)forum.viry.cz

Varování:
Před odvirováním PC si udělejte zálohy svých důležitých dat (pošta, kontakty, dokumenty, fotografie, videa, hudba apod.). Virus mimo svých "viditelných" aktivit může poškodit systém!


Po dořešení vašeho problému bude vlákno zamknuto. Stejně tak tehdy, pokud bude nečinné více než 14dnů. Pokud budete chtít vlákno aktivovat, napište mi na mail uvedený výše.

Petr32
Návštěvník
Návštěvník
Příspěvky: 33
Registrován: 14 led 2017 18:50

Re: windefender.exe

#17 Příspěvek od Petr32 »

No to už jsem udělal včera i dneska, po restartu tam nebyl ale asi po dvou hodinách používaní PC se tam zase objeví...

Uživatelský avatar
Rudy
Site Admin
Site Admin
Příspěvky: 118200
Registrován: 30 říj 2003 13:42
Bydliště: Plzeň
Kontaktovat uživatele:

Re: windefender.exe

#18 Příspěvek od Rudy »

Nechodíte někam na internetu, odkud se vám stahuje? Udělejte sken ComboFix a dejte log:
Stahnete a ulozte nejlepe na plochu ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

pote spustte aplikaci pod uctem s administratorskym opravnenim

hned po startu se zobrazi obrazovka s licencnimi podminkami, pokracujte kliknutim na tlacitko Ano.

v klidu si postavte na kafe (cela akce trva cca. 5-10 minut, nekdy i dele - dle toho, o jak rychly stroj se

jedna a kolika soubory se skener bude muset prodirat), behem skenu se nepokousejte spoustet zadne jine

aplikace ani nic jineho

behem skenovani nepropadejte panice, vas stroj muze byt restartovan (predevsim pri prvni aplikaci skeneru)

upozorneni: pokud pouzivate antispyware s rezidentnim stitem, prepnete jeho rezidentni stit do Install Mode,

pripadne jej po dobu skenu uplne deaktivujte, protoze dochazi pri skenu a vymazu pripadneho malware k

nezadoucim kolizim s rezidentem antispyware.
Dotazy a logy vkládejte pouze do vašich threadů. Soukromé zprávy, icq a e-maily neslouží k řešení vašich problémů.

Podpořte, prosím, naše fórum : https://platba.viry.cz/payment/.

Navštivte: Obrázek

e-mail: rudy(zavináč)forum.viry.cz

Varování:
Před odvirováním PC si udělejte zálohy svých důležitých dat (pošta, kontakty, dokumenty, fotografie, videa, hudba apod.). Virus mimo svých "viditelných" aktivit může poškodit systém!


Po dořešení vašeho problému bude vlákno zamknuto. Stejně tak tehdy, pokud bude nečinné více než 14dnů. Pokud budete chtít vlákno aktivovat, napište mi na mail uvedený výše.

Petr32
Návštěvník
Návštěvník
Příspěvky: 33
Registrován: 14 led 2017 18:50

Re: windefender.exe

#19 Příspěvek od Petr32 »

Bohužel combofix na Win10 nejde. A že by se mi to stahovalo se mi nezdá ale zkusím omezit použití internetu a budu sledovat jestli se zase objeví. Ono se to může samo nějak skrytě stáhnout a nainstalovat? Nejde to nějak blokovat?

Uživatelský avatar
Rudy
Site Admin
Site Admin
Příspěvky: 118200
Registrován: 30 říj 2003 13:42
Bydliště: Plzeň
Kontaktovat uživatele:

Re: windefender.exe

#20 Příspěvek od Rudy »

Pardon, já se nevšiml. Tak udělejte test AVPTool: http://www.viry.cz/forum/viewtopic.php?f=29&t=58179 . Stáhněte, spusťte, nechte pracovat a po dokončení smažte vše, co najde. Bude to ale poněkud zdlouhavější.
Dotazy a logy vkládejte pouze do vašich threadů. Soukromé zprávy, icq a e-maily neslouží k řešení vašich problémů.

Podpořte, prosím, naše fórum : https://platba.viry.cz/payment/.

Navštivte: Obrázek

e-mail: rudy(zavináč)forum.viry.cz

Varování:
Před odvirováním PC si udělejte zálohy svých důležitých dat (pošta, kontakty, dokumenty, fotografie, videa, hudba apod.). Virus mimo svých "viditelných" aktivit může poškodit systém!


Po dořešení vašeho problému bude vlákno zamknuto. Stejně tak tehdy, pokud bude nečinné více než 14dnů. Pokud budete chtít vlákno aktivovat, napište mi na mail uvedený výše.

Petr32
Návštěvník
Návštěvník
Příspěvky: 33
Registrován: 14 led 2017 18:50

Re: windefender.exe

#21 Příspěvek od Petr32 »

Tak bohužel se mi to z internetu nestahuje. Dnes ráno jsem zapnul AVPTool a vymazal zed.exe a než AVPTool doběhl zed.exe už tam zase byl. AVP ho sice našel a našel i další 2 jeho kamarády ve stejné složce ale po jejich odebrání se zase vytvářejí. Nevytvářejí se ihned ale až po nějaké době, z mého sledování bych řekl, že se vytvoří ve chvíli, kdy zhruba 20minut nepoužívám PC (asi to pozná že se nehýbe myš nebo něco takového...). Jediné co jsem na googlu našel o zed.exe je 1 den staré, takže si myslím že je to nějaký nový virus, na který zatím nic není :(

http://imgur.com/a/hOAVV

https://www.bleepingcomputer.com/forums ... coinminer/

Uživatelský avatar
Rudy
Site Admin
Site Admin
Příspěvky: 118200
Registrován: 30 říj 2003 13:42
Bydliště: Plzeň
Kontaktovat uživatele:

Re: windefender.exe

#22 Příspěvek od Rudy »

Vypadá to, že jde o bitcoin miner. Zkuste tento postup: http://www.2virus-removal.com/cz/jak-odstranit-miner-2/ . Nemá to vyzkoušené, takže nemohu potvrdit, že se to podaří. Jinak vás čeká format c:\
Dotazy a logy vkládejte pouze do vašich threadů. Soukromé zprávy, icq a e-maily neslouží k řešení vašich problémů.

Podpořte, prosím, naše fórum : https://platba.viry.cz/payment/.

Navštivte: Obrázek

e-mail: rudy(zavináč)forum.viry.cz

Varování:
Před odvirováním PC si udělejte zálohy svých důležitých dat (pošta, kontakty, dokumenty, fotografie, videa, hudba apod.). Virus mimo svých "viditelných" aktivit může poškodit systém!


Po dořešení vašeho problému bude vlákno zamknuto. Stejně tak tehdy, pokud bude nečinné více než 14dnů. Pokud budete chtít vlákno aktivovat, napište mi na mail uvedený výše.

Petr32
Návštěvník
Návštěvník
Příspěvky: 33
Registrován: 14 led 2017 18:50

Re: windefender.exe

#23 Příspěvek od Petr32 »

:( Ta stránka mi přijde podezřelá, ten text na ní je jakoby byl přeložen google translatorem a vypadá to jako reklama na ten WiperSoft což je jen nějaký program co udělá sken a pak se musí zaplatit. Myslíte že nemá cenu čekat na nějakou aktualizaci virové databáze, která si s tím pak poradí?

Uživatelský avatar
Rudy
Site Admin
Site Admin
Příspěvky: 118200
Registrován: 30 říj 2003 13:42
Bydliště: Plzeň
Kontaktovat uživatele:

Re: windefender.exe

#24 Příspěvek od Rudy »

Možná ano. BitcoinMiner vám PC zpomaluje, jinak nijak neškodí.
Dotazy a logy vkládejte pouze do vašich threadů. Soukromé zprávy, icq a e-maily neslouží k řešení vašich problémů.

Podpořte, prosím, naše fórum : https://platba.viry.cz/payment/.

Navštivte: Obrázek

e-mail: rudy(zavináč)forum.viry.cz

Varování:
Před odvirováním PC si udělejte zálohy svých důležitých dat (pošta, kontakty, dokumenty, fotografie, videa, hudba apod.). Virus mimo svých "viditelných" aktivit může poškodit systém!


Po dořešení vašeho problému bude vlákno zamknuto. Stejně tak tehdy, pokud bude nečinné více než 14dnů. Pokud budete chtít vlákno aktivovat, napište mi na mail uvedený výše.

Petr32
Návštěvník
Návštěvník
Příspěvky: 33
Registrován: 14 led 2017 18:50

Re: windefender.exe

#25 Příspěvek od Petr32 »

Tak já neustále sleduju tu složku a jakmile se to tam objeví tak to mažu. Možná že by se i dal napsat nějaký skript nebo něco takového co by to třeba každou minutu mazalo. Ještě pár dní počkám a uvidím jestli to nevyřeší na bleepingcomputer a při nejhorším půjde formát...

Uživatelský avatar
Rudy
Site Admin
Site Admin
Příspěvky: 118200
Registrován: 30 říj 2003 13:42
Bydliště: Plzeň
Kontaktovat uživatele:

Re: windefender.exe

#26 Příspěvek od Rudy »

Skript možná ano, jenže vám neřeknu jak. Pokud se vám ta stránka zdá podezřelá, nenutím vás k aplikaci. Použili jsme standardní metodu k likvidaci, bohužel to nefunguje proto, že se v systému ještě něco skrývá a stále stahuje ty šmejdy. ComboFix by to možná našel, jenže ho na desítkách nespustíme.
Dotazy a logy vkládejte pouze do vašich threadů. Soukromé zprávy, icq a e-maily neslouží k řešení vašich problémů.

Podpořte, prosím, naše fórum : https://platba.viry.cz/payment/.

Navštivte: Obrázek

e-mail: rudy(zavináč)forum.viry.cz

Varování:
Před odvirováním PC si udělejte zálohy svých důležitých dat (pošta, kontakty, dokumenty, fotografie, videa, hudba apod.). Virus mimo svých "viditelných" aktivit může poškodit systém!


Po dořešení vašeho problému bude vlákno zamknuto. Stejně tak tehdy, pokud bude nečinné více než 14dnů. Pokud budete chtít vlákno aktivovat, napište mi na mail uvedený výše.

Petr32
Návštěvník
Návštěvník
Příspěvky: 33
Registrován: 14 led 2017 18:50

Re: windefender.exe

#27 Příspěvek od Petr32 »

No toho ComboFixu je škoda, každopádně vám ještě jednou děkuji za pomoc a ohlásím se jak to dopadlo.

Uživatelský avatar
Rudy
Site Admin
Site Admin
Příspěvky: 118200
Registrován: 30 říj 2003 13:42
Bydliště: Plzeň
Kontaktovat uživatele:

Re: windefender.exe

#28 Příspěvek od Rudy »

OK, nemáte zač! :)
Dotazy a logy vkládejte pouze do vašich threadů. Soukromé zprávy, icq a e-maily neslouží k řešení vašich problémů.

Podpořte, prosím, naše fórum : https://platba.viry.cz/payment/.

Navštivte: Obrázek

e-mail: rudy(zavináč)forum.viry.cz

Varování:
Před odvirováním PC si udělejte zálohy svých důležitých dat (pošta, kontakty, dokumenty, fotografie, videa, hudba apod.). Virus mimo svých "viditelných" aktivit může poškodit systém!


Po dořešení vašeho problému bude vlákno zamknuto. Stejně tak tehdy, pokud bude nečinné více než 14dnů. Pokud budete chtít vlákno aktivovat, napište mi na mail uvedený výše.

Petr32
Návštěvník
Návštěvník
Příspěvky: 33
Registrován: 14 led 2017 18:50

Re: windefender.exe

#29 Příspěvek od Petr32 »

Tak nakonec se to povedlo odstranit :) ale říkal že to opravdu byla nějaká nová nákaza kterou museli analyzovat. Každopádně vám ještě jednou děkuji za ochotu a pomoc :)

Thread: https://www.bleepingcomputer.com/forums ... oin-miner/

První fixlist:

CloseProcesses:
CreateRestorePoint:

HKLM-x32\...\Run: [] => [X]
GroupPolicy: Restriction <==== ATTENTION

Task: {0840CA8A-9B6C-408C-BF61-6C17E64B4CD8} - C:\Windows\System32\Tasks\Microsoft Advanced Identity Protection Service => Command(1): wusa.exe -> C:\windows\update.cab /extract:C:\windows\system32\ <==== ATTENTION
Task: {0840CA8A-9B6C-408C-BF61-6C17E64B4CD8} - C:\Windows\System32\Tasks\Microsoft Advanced Identity Protection Service => Command(2): C:\windows\system32\msaips.exe [2017-09-01] (Microsoft Corporation)
Task: {49E98E81-4A90-4B82-A159-94C2C339C04F} - \Maxthon Update -> No File <==== ATTENTION
Task: {7E47F5CC-AA8B-4154-866B-957BEE85A8EB} - \Microsoft OneDrive Auto Update Task-S-1-5-21-1342017476-176686534-2564918354-1001 -> No File <==== ATTENTION
Task: {E8A0E56D-7915-4136-9F57-7C2D2ECF511D} - \Adobe Flash Player Updater -> No File <==== ATTENTION

HKU\S-1-5-21-1342017476-176686534-2564918354-1001\...\StartupApproved\StartupFolder: => "windefender.exe"
HKU\S-1-5-21-1342017476-176686534-2564918354-1001\...\StartupApproved\Run: => "GoogleChromeAutoLaunch_795A6C1EC44E0A41F3030B5EF87A210A"

C:\ProgramData\ntuser.pol
C:\Users\Petr\AppData\Local\MSGBOX.EXE
C:\Users\Petr\AppData\Roaming\syslog
C:\WINDOWS\update.cab
C:\WINDOWS\splash.cab
C:\WINDOWS\system32\msaips.exe

Zip: C:\FRST\Quarantine

EmptyTemp:

A druhý fixlist:

VirusTotal: C:\windows\system32\cstlsvc.exe

R2 cstlsvc; C:\windows\system32\cstlsvc.exe [1230848 2017-09-02] (Microsoft Corporation) [File not signed]

C:\windows\system32\cstlsvc.exe

Uživatelský avatar
Rudy
Site Admin
Site Admin
Příspěvky: 118200
Registrován: 30 říj 2003 13:42
Bydliště: Plzeň
Kontaktovat uživatele:

Re: windefender.exe

#30 Příspěvek od Rudy »

OK. Díky za info a jsem rád, že se to podařilo. :)
Dotazy a logy vkládejte pouze do vašich threadů. Soukromé zprávy, icq a e-maily neslouží k řešení vašich problémů.

Podpořte, prosím, naše fórum : https://platba.viry.cz/payment/.

Navštivte: Obrázek

e-mail: rudy(zavináč)forum.viry.cz

Varování:
Před odvirováním PC si udělejte zálohy svých důležitých dat (pošta, kontakty, dokumenty, fotografie, videa, hudba apod.). Virus mimo svých "viditelných" aktivit může poškodit systém!


Po dořešení vašeho problému bude vlákno zamknuto. Stejně tak tehdy, pokud bude nečinné více než 14dnů. Pokud budete chtít vlákno aktivovat, napište mi na mail uvedený výše.

Odpovědět