windefender.exe

Zpráva

Petr32 · #1 Příspěvek od **Petr32** » 04 zář 2017 13:48

Dobrý den, dnes při preventivní kontrole my AdwCleaner našel trojana ale když ho dám vyčistit, tak to po restartu napíše že byl vyčištěn ovšem když dám znovu sken tak tam zas je... To samé když jsem ho chtěl smazat ručně (Ctrl+Shift+Del) tak se hned zase vytvoří nový. Pomoc prosím

AdwCleaner Log: https://pastebin.com/xZ6qeFT4

FRST Log: https://pastebin.com/LmBY63xe

RSIT Log: https://pastebin.com/cfXxv7wf

Předem děkuji

#2 Příspěvek od **Rudy** » 04 zář 2017 14:19

Zdravím!
Otevřte poznámkový blok a zkopírujte do něj:

Start
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [587288 2017-03-15] (Oracle Corporation)
AppInit_DLLs: C:\Windows\system32\nvinitx.dll => No File
Startup: C:\Users\Petr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\windefender.exe [2017-09-04] (Microsoft)
GroupPolicy: Restriction <==== ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
FF Plugin HKU\S-1-5-21-1342017476-176686534-2564918354-1001: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [No File]
C:\WINDOWS\system32\mszypher.exe
C:\WINDOWS\LastGood.Tmp
C:\Users\Petr\AppData\Local\Temp

EmptyTemp:
End

Uložte na plochu jako fixlist.txt. Spusťte znovu FRST a klikněte na >Fix<. Po skončení akce se objeví log, který sem zkopírujte.

Petr32 · #3 Příspěvek od **Petr32** » 04 zář 2017 14:34

Fix result of Farbar Recovery Scan Tool (x64) Version: 20-08-2017
Ran by Petr (04-09-2017 15:31:07) Run:1
Running from C:\Users\Petr\Desktop
Loaded Profiles: Petr (Available Profiles: Petr & Administrator)
Boot Mode: Normal
==============================================

fixlist content:
*****************
Start
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [587288 2017-03-15] (Oracle Corporation)
AppInit_DLLs: C:\Windows\system32\nvinitx.dll => No File
Startup: C:\Users\Petr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\windefender.exe [2017-09-04] (Microsoft)
GroupPolicy: Restriction <==== ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
FF Plugin HKU\S-1-5-21-1342017476-176686534-2564918354-1001: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [No File]
C:\WINDOWS\system32\mszypher.exe
C:\WINDOWS\LastGood.Tmp
C:\Users\Petr\AppData\Local\Temp

EmptyTemp:
End
*****************

HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\SunJavaUpdateSched => value removed successfully
"C:\Windows\system32\nvinitx.dll" => Value data removed successfully.
C:\Users\Petr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\windefender.exe => moved successfully
C:\WINDOWS\system32\GroupPolicy\Machine => moved successfully
C:\WINDOWS\system32\GroupPolicy\GPT.ini => moved successfully
C:\WINDOWS\SysWOW64\GroupPolicy\GPT.ini => moved successfully
HKLM\Software\\Microsoft\Internet Explorer\Main\\Search Page => value restored successfully
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main\\Search Page => value restored successfully
HKLM\Software\\Microsoft\Internet Explorer\Main\\Default_Page_URL => value restored successfully
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main\\Default_Page_URL => value restored successfully
HKLM\Software\\Microsoft\Internet Explorer\Main\\Default_Search_URL => value restored successfully
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main\\Default_Search_URL => value restored successfully
HKLM\Software\\Microsoft\Internet Explorer\Main\\Local Page => value restored successfully
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main\\Local Page => value restored successfully
HKU\S-1-5-21-1342017476-176686534-2564918354-1001\Software\MozillaPlugins\ubisoft.com/uplaypc => key removed successfully
C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll => not found.
C:\WINDOWS\system32\mszypher.exe => moved successfully
C:\WINDOWS\LastGood.Tmp => moved successfully

"C:\Users\Petr\AppData\Local\Temp" folder move:

Could not move "C:\Users\Petr\AppData\Local\Temp" => Scheduled to move on reboot.

=========== EmptyTemp: ==========

BITS transfer queue => 7888896 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 132631996 B
Java, Flash, Steam htmlcache => 363724878 B
Windows/system/drivers => 14280359 B
Edge => 0 B
Chrome => 789492117 B
Firefox => 21683036 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 128 B
systemprofile32 => 0 B
LocalService => 47330 B
NetworkService => 0 B
Petr => 2230802791 B
Administrator => 340 B

RecycleBin => 0 B
EmptyTemp: => 3.3 GB temporary data Removed.

================================

Result of scheduled files to move (Boot Mode: Normal) (Date&Time: 04-09-2017 15:33:13)

"C:\Users\Petr\AppData\Local\Temp" => Could not move

==== End of Fixlog 15:33:15 ====

#4 Příspěvek od **Rudy** » 04 zář 2017 17:32

Smazáno. Nastala nějaká změna?

Petr32 · #5 Příspěvek od **Petr32** » 04 zář 2017 18:47

Bohužel ne

AdwCleaner stále hlásí:

Trojan.Agent, C:\Users\Petr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\windefender.exe

#6 Příspěvek od **Rudy** » 04 zář 2017 19:09

Udělejte sken MBAM: http://www.malwarebytes.org/mbam.php a dejte log. Předem nic nemažte.

Petr32 · #7 Příspěvek od **Petr32** » 04 zář 2017 21:32

(Nenalezeny žádné škodlivé položky)

Klíče registru: 4
Adware.Elex.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{55A8D601-548D-4EEB-AAD9-949ED5011F02}, , [7debd0e0bfeaa294819eaacefe02b64a],
Adware.Elex.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{ADE90F9A-8E6F-40AC-848E-264AD37EF9F2}, , [db8d3e723079fc3ab46bb3c5ea169f61],
Adware.Elex.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\Windows Cryptological Solution Provider, , [f672d9d7bfeaf54147e5532614ecc13f],
Adware.Elex.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\Windows Cryptological Task Provider, , [0f59614f1f8a86b0c06c8aeff80844bc],

Hodnoty registru: 2
Adware.Elex.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{55A8D601-548D-4EEB-AAD9-949ED5011F02}|Path, \Windows Cryptological Solution Provider, , [7debd0e0bfeaa294819eaacefe02b64a]
Adware.Elex.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{ADE90F9A-8E6F-40AC-848E-264AD37EF9F2}|Path, \Windows Cryptological Task Provider, , [db8d3e723079fc3ab46bb3c5ea169f61]

Data registru: 0
(Nenalezeny žádné škodlivé položky)

Složky: 0
(Nenalezeny žádné škodlivé položky)

Soubory: 3
PUP.Optional.GameHack, D:\Programy\Cheat Engine 6.5.1\standalonephase1.dat, , [b1b7842c55544aec55d6c946d8296898],
Adware.Elex.Generic, C:\Windows\System32\Tasks\Windows Cryptological Solution Provider, , [2b3dded20f9a1d19ab5daacf7a8612ee],
Adware.Elex.Generic, C:\Windows\System32\Tasks\Windows Cryptological Task Provider, , [a0c89c143277b18523e557224ab60cf4],

Fyzické sektory: 0
(Nenalezeny žádné škodlivé položky)

(end)

Petr32 · #8 Příspěvek od **Petr32** » 04 zář 2017 21:38

Aha tak tady to začíná být zajímavé... Jak jste říkal tak jsem to tam nechal a MBAM jsem ukončil. Snad se toho půjde zbavit

#9 Příspěvek od **Rudy** » 05 zář 2017 08:22

Petr32 píše:Aha tak tady to začíná být zajímavé... Jak jste říkal tak jsem to tam nechal a MBAM jsem ukončil. Snad se toho půjde zbavit

Nějak nechápu. Log se dává vč. hlavičky. Smažte vše, co MBAM nalezl.

Petr32 · #10 Příspěvek od **Petr32** » 05 zář 2017 16:19

No včera se mi ohlásil ESET že dokončil nějaké léčení (sám od sebe). Dnes jsem tedy znovu udělal sken MBAM a nalezené "věci" jsem odstranil. Ten log co jsem včera posílal tak jsem omylem nezkopíroval celí ale ten z dneška už celí je.

Malwarebytes Anti-Malware
www.malwarebytes.org

Datum skenování: 5. 9. 2017
Čas skenování: 14:12
Protokol: fsef.txt
Správce: Ano

Verze: 2.2.1.1043
Databáze malwaru: v2017.09.05.03
Databáze rootkitů: v2017.08.02.01
Licence: Bezplatná verze
Ochrana proti malwaru: Vypnuto
Ochrana proti škodlivým webovým stránkám: Vypnuto
Ochrana programu: Vypnuto

OS: Windows 10
CPU: x64
Souborový systém: NTFS
Uživatel: Petr

Typ skenu: Vlastní sken
Výsledek: Dokončeno
Prohledaných objektů: 1118832
Uplynulý čas: 2 hod, 52 min, 34 sek

Paměť: Zapnuto
Po spuštění: Zapnuto
Souborový systém: Zapnuto
Archivy: Zapnuto
Rootkity: Zapnuto
Heuristika: Zapnuto
PUP: Zapnuto
PUM: Zapnuto

Procesy: 0
(Nenalezeny žádné škodlivé položky)

Moduly: 0
(Nenalezeny žádné škodlivé položky)

Klíče registru: 2
Adware.Elex.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{55A8D601-548D-4EEB-AAD9-949ED5011F02}, , [d6f102aeeabf3501d9467dfb57a9d927],
Adware.Elex.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\Windows Cryptological Solution Provider, , [b6110da36346072f8ba197e2619f768a],

Hodnoty registru: 1
Adware.Elex.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{55A8D601-548D-4EEB-AAD9-949ED5011F02}|Path, \Windows Cryptological Solution Provider, , [d6f102aeeabf3501d9467dfb57a9d927]

Data registru: 0
(Nenalezeny žádné škodlivé položky)

Složky: 0
(Nenalezeny žádné škodlivé položky)

Soubory: 3
RiskWare.BitCoinMiner, C:\Users\Petr\AppData\Local\Temp\nvd\zed.exe, , [8443c8e8cfdaae880650e3b5a160d12f],
PUP.Optional.GameHack, D:\Programy\Cheat Engine 6.5.1\standalonephase1.dat, , [33942987793091a56cbb23ec0ff2fc04],
Adware.Elex.Generic, C:\Windows\System32\Tasks\Windows Cryptological Solution Provider, , [3196a40cc7e2e94d52b65e1ba15f9a66],

Fyzické sektory: 0
(Nenalezeny žádné škodlivé položky)

(end)

Petr32 · #11 Příspěvek od **Petr32** » 05 zář 2017 16:31

Vida AdwClener už nic nenašel

Myslíte tedy že PC už mám čistý? Doporučíte raději třeba ještě nějaký jiný sken? Zítra to projedu raději ještě 1 MBAM jestli se to náhodou nevrátí. Poté bych se chtěl případně zeptat jak kompletně odstranit FRST a RSIT. Předem děkuji

#12 Příspěvek od **Rudy** » 05 zář 2017 16:58

Problém byl zřejmě v tom, že ho tam držel jiný šmejd, který jsme odstranili skenem MBAM a tím zmizely oba. Můžete udělat sken systémovým antivirem. Myslím ale, že je opravdu čisto.

Petr32 · #13 Příspěvek od **Petr32** » 05 zář 2017 17:12

Dobře tak vám moc děkuji

Je super že jsou takový lidé jako vy. Mohu se teda zeptat na odstranění toho RSIT a FRST? Stačí to naházet do koše a odstranit? Mám na mysli třeba složky C:\FRST a C:\FRST.zaloha a také se chci zeptat když jsou teď ty "viry" co našel MBAM v karanténě, jestli je mohu smazat.

#14 Příspěvek od **Rudy** » 05 zář 2017 17:54

Vše můžete normálně smazat a vysypat koš. Nemáte zač!

Petr32 · #15 Příspěvek od **Petr32** » 06 zář 2017 12:16

Tak dnes jsem udělal znovu sken MBAM a bohužel jeden červík to přežil

Malwarebytes Anti-Malware
www.malwarebytes.org

Datum skenování: 6. 9. 2017
Čas skenování: 8:05
Protokol: grdgrgdr.txt
Správce: Ano

Verze: 2.2.1.1043
Databáze malwaru: v2017.09.06.01
Databáze rootkitů: v2017.08.02.01
Licence: Bezplatná verze
Ochrana proti malwaru: Vypnuto
Ochrana proti škodlivým webovým stránkám: Vypnuto
Ochrana programu: Vypnuto

OS: Windows 10
CPU: x64
Souborový systém: NTFS
Uživatel: Petr

Typ skenu: Vlastní sken
Výsledek: Dokončeno
Prohledaných objektů: 1119079
Uplynulý čas: 3 hod, 17 min, 56 sek

Paměť: Zapnuto
Po spuštění: Zapnuto
Souborový systém: Zapnuto
Archivy: Zapnuto
Rootkity: Zapnuto
Heuristika: Zapnuto
PUP: Zapnuto
PUM: Zapnuto

Procesy: 0
(Nenalezeny žádné škodlivé položky)

Moduly: 0
(Nenalezeny žádné škodlivé položky)

Klíče registru: 0
(Nenalezeny žádné škodlivé položky)

Hodnoty registru: 0
(Nenalezeny žádné škodlivé položky)

Data registru: 0
(Nenalezeny žádné škodlivé položky)

Složky: 0
(Nenalezeny žádné škodlivé položky)

Soubory: 1
RiskWare.BitCoinMiner, C:\Users\Petr\AppData\Local\Temp\nvd\zed.exe, , [75b4476aa50477bf96bbe8b0f70a08f8],

Fyzické sektory: 0
(Nenalezeny žádné škodlivé položky)

(end)

VIRY.CZ

windefender.exe

windefender.exe

Re: windefender.exe

Re: windefender.exe

Re: windefender.exe

Re: windefender.exe

Re: windefender.exe

Re: windefender.exe

Re: windefender.exe

Re: windefender.exe

Re: windefender.exe

Re: windefender.exe

Re: windefender.exe

Re: windefender.exe

Re: windefender.exe

Re: windefender.exe