Preventivní kontrola

[podivinskyadam]

Zdravím,
Poslední dobou mi příjde podezřelé chování počítače.
Prosím o kontrolu. Předem díky!

-- Log se mi nevleze do maxima povolených znaků, zasílám v příloze. (Popřípadě mohu vypsat do více zpráv.)

[Conder]

Ahoj

Stiahni AdwCleaner: https://toolslib.net/downloads/finish/1/

• Uloz na plochu a ukonci vsetky programy
• Spusti AdwCleaner ako spravca
• Odsuhlas licencne podmienky
• Klikni na Skenovat nyni (Scan now) a pockaj na dokoncenie
• Klikni na Cisteni a opravy (Clean and Repair) a potvrd restart PC teraz
• Po restartovani PC sa otvori AdwCleaner, klikni na Zobrazit soubor protokolu
• Otvori sa log, jeho obsah sem skopiruj

[podivinskyadam]

V AdwCleaneru vypadá vše v pořádku:

Kód: Vybrat vše

# -------------------------------
# Malwarebytes AdwCleaner 7.1.1.0
# -------------------------------
# Build:    04-27-2018
# Database: 2018-05-10.1
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    05-11-2018
# Duration: 00:00:03
# OS:       Windows 10 Pro
# Cleaned:  0
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

No malicious registry entries cleaned.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************


########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C01].txt ##########

[Conder]

Poprosim o obidva logy z FRST podla tohto navodu (FRST.txt a Addition.txt): https://forum.viry.cz/viewtopic.php?f=13&t=152707

V pripade, ze sa FRSTLauncher nebude dat stiahnut alebo spustit, pouzi iba samotny FRST.

Ak sa logy nezmestia do jedneho prispevku, zabal ich do archivu RAR alebo ZIP a posli ako prilohu.

[podivinskyadam]

Zasílám.

[Conder]

Ake problemy s PC pozorujes resp. co myslis pod divnym chovanim PC?

Otvor poznamkovy blok (Win+R -> notepad -> enter)

• Skopiruj nasledujuci text a vloz ho do poznamkoveho bloku:

  Kód: Vybrat vše

  Start
  CloseProcesses:
  CreateRestorePoint:
  
  CustomCLSID: HKU\S-1-5-21-1236853961-2984069591-1930368490-1001_Classes\CLSID\{0E270DAA-1BE6-48F2-AC49-F8B8ECC2D0E7}\InprocServer32 -> %%systemroot%%\system32\shell32.dll => No File
  AlternateDataStreams: C:\Users\Public\AppData:CSM [478]
  
  Hosts:
  EmptyTemp:
  End

• Uloz na plochu s nazvom fixlist.txt
• Spusti znovu FRST a klikni na Fix
• Po dokonceni si FRST vyziada restart PC, potvrd kliknutim na OK
• Po restartovani PC bude na ploche subor Fixlog.txt, jeho obsah sem skopiruj

[podivinskyadam]

Podivným chováním myslím například problém s aktualizací. Aktualizace byla bez problému stažena, ale když jsem nechal počítač aktualizovat a restartovat, při vypínání jsem si všiml, že se vlastně neaktualizoval. Napotřetí se nakonec povedlo.

Každopádně log zde:

Kód: Vybrat vše

Fix result of Farbar Recovery Scan Tool (x64) Version: 12.05.2018
Ran by Adam (12-05-2018 16:48:24) Run:1
Running from C:\Users\Adam\Desktop
Loaded Profiles: Adam (Available Profiles: Adam & Maminka)
Boot Mode: Normal
==============================================

fixlist content:
*****************
Start
CloseProcesses:
CreateRestorePoint:

CustomCLSID: HKU\S-1-5-21-1236853961-2984069591-1930368490-1001_Classes\CLSID\{0E270DAA-1BE6-48F2-AC49-F8B8ECC2D0E7}\InprocServer32 -> %%systemroot%%\system32\shell32.dll => No File
AlternateDataStreams: C:\Users\Public\AppData:CSM [478]

Hosts:
EmptyTemp:
End
*****************

Processes closed successfully.
Restore point was successfully created.
"HKU\S-1-5-21-1236853961-2984069591-1930368490-1001_Classes\CLSID\{0E270DAA-1BE6-48F2-AC49-F8B8ECC2D0E7}" => removed successfully
C:\Users\Public\AppData => ":CSM" ADS removed successfully
Could not move "C:\Windows\System32\Drivers\etc\hosts" => Scheduled to move on reboot.

=========== EmptyTemp: ==========

BITS transfer queue => 7364608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 76973643 B
Java, Flash, Steam htmlcache => 370285796 B
Windows/system/drivers => 3602432 B
Edge => 7193768 B
Chrome => 446255477 B
Firefox => 141865872 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 6316 B
LocalService => 0 B
NetworkService => 0 B
NetworkService => 0 B
Adam => 763225604 B
Maminka => 1273860 B

RecycleBin => 2410459 B
EmptyTemp: => 1.7 GB temporary data Removed.

================================

Result of scheduled files to move (Boot Mode: Normal) (Date&Time: 12-05-2018 16:53:00)

C:\Windows\System32\Drivers\etc\hosts => Is moved successfully
Could not restore Hosts.

==== End of Fixlog 16:53:00 ====

[Conder]

Urob v MBAM uplny sken

• Stiahni a nainstaluj Malwarebytes (MBAM): https://www.malwarebytes.com/mwb-download/thankyou/
• Ignoruj skusobnu trial verziu
• Otvor MBAM a vlavo klikni na "Skenovat"
• Klikni na "Vlastne skenovanie" a potom na "Nakonfigurovat skenovanie" (Nastavit sken)
• Vpravo oznac vsetky disky v PC a vlavo oznac moznost "Vyhladavat rootkity"
• Klikni na Skenovat teraz a pockaj na dokoncenie
• Po dokonceni klikni na Exportovat zhrnutie -> Textovy subor, zadaj nejaky nazov suboru a uloz na plochu
• Obsah tohto suboru sem skopiruj
• Obrazkovy navod (bohuzial pre starsiu verziu): https://forum.viry.cz/viewtopic.php?f=29&t=144868

[podivinskyadam]

Mezitím, co test běží vyskočilo na twitch.tv (ne hned po načtení) >> okno <<.

Export zprávy:

Kód: Vybrat vše

Malwarebytes
www.malwarebytes.com

-Podrobnosti logovacího souboru-
Datum události ochrany: 12.05.18
Čas události ochrany: 17:27
Logovací soubor: 01c4a2c2-55f9-11e8-9303-6045cb84f01b.json
Správce: Ano

-Informace o softwaru-
Verze: 3.5.1.2522
Verze komponentů: 1.0.365
Aktualizovat verzi balíku komponent: 1.0.5080
Licence: Zkušební

-Systémová informace-
OS: Windows 10 (Build 17134.48)
CPU: x64
Systém souborů: NTFS
Uživatel: System

-Podrobnosti o zablokovaném webu-
Škodlivý web: 1
, , Zablokováno, [-1], [-1],0.0.0

-Údaje o webu-
Kategorie: RiskWare
Doména: 
IP Adresa: 123.123.123.123
Port: [137]
Typ: Odchozí
Soubor: 



(end)

Co to může být? / Je to v pořádku? (Ta IP se mi nezdá )

**sken není hotov, pošlu později**

[podivinskyadam]

Zasílám log z MBAM. (čisto)

Kód: Vybrat vše

Malwarebytes
www.malwarebytes.com

-Podrobnosti logovacího souboru-
Datum skenování: 12.05.18
Čas skenování: 17:17
Logovací soubor: 8ef5d3c0-55f7-11e8-8035-6045cb84f01b.json
Správce: Ano

-Informace o softwaru-
Verze: 3.5.1.2522
Verze komponentů: 1.0.365
Aktualizovat verzi balíku komponent: 1.0.5080
Licence: Zkušební

-Systémová informace-
OS: Windows 10 (Build 17134.48)
CPU: x64
Systém souborů: NTFS
Uživatel: ADAMPC\Adam

-Shrnutí skenování-
Typ skenování: Vlastní skenování
Spuštění skenování: Ruční
Výsledek: Dokončeno
Skenované objekty: 698517
Zjištěné hrozby: 0
(Nebyly zjištěny žádné škodlivé položky)
Hrozby umístěné do karantény: 0
(Nebyly zjištěny žádné škodlivé položky)
Uplynulý čas: 3 hod, 16 min, 54 sek

-Možnosti skenování-
Paměť: Povoleno
Start: Povoleno
Systém souborů: Povoleno
Archivy: Povoleno
Rootkity: Povoleno
Heuristika: Povoleno
Potenciálně nežádoucí program: Detekovat
Potenciálně nežádoucí modifikace: Detekovat

-Podrobnosti skenování-
Proces: 0
(Nebyly zjištěny žádné škodlivé položky)

Modul: 0
(Nebyly zjištěny žádné škodlivé položky)

Klíč registru: 0
(Nebyly zjištěny žádné škodlivé položky)

Hodnota v registru: 0
(Nebyly zjištěny žádné škodlivé položky)

Data registrů: 0
(Nebyly zjištěny žádné škodlivé položky)

Datové proudy: 0
(Nebyly zjištěny žádné škodlivé položky)

Adresář: 0
(Nebyly zjištěny žádné škodlivé položky)

Soubor: 0
(Nebyly zjištěny žádné škodlivé položky)

Fyzický sektor: 0
(Nebyly zjištěny žádné škodlivé položky)

WMI: 0
(Nebyly zjištěny žádné škodlivé položky)


(end)

[Conder]

Poprosim o nove logy z FRST.

[podivinskyadam]

V příloze

[Conder]

PC vyzera cisty podla logov. Ta hlaska o zablokovanom webe vyskoclia len na twitch.tv?

[podivinskyadam]

Zpráva se objevila pouze jednou, pak už jsem ji neviděl.
Jestli je tedy vše v pořádku, díky moc za kontrolu.

[Conder]

Nie je zaco

Tak este upraceme po pouzitych nastrojoch:

• Stiahni DelFix: https://toolslib.net/downloads/finish/2-delfix/
• Uloz na plochu a spusti
• Nechaj oznacenu moznost "Remove disinfection tools"
• Klikni na "Run"

Skontroluj velkost plochy (C:\Users\Adam\Desktop). Ak je vacsia ako 300 MB, presun vsetky subory a zlozky z plochy do dokumentov a na ploche nechaj iba odkazy/zastupcov. Prilis velka velkost plochy moze sposobit spomalenie systemu.