Virus - trojský kůň

[P-e-tula]

Děkuji za radu

[Márty84]

Jo jo, jak pise kolega...

Velikost plochy by nemela presahovat 200 - 300 MB! Brzdi to chod pc. Cili ji trosku uklidte a na plochu dejte jen zastupce. Jen pozor na obcasnou chybu, ze uzivatele maji na plose slozku, v ni dalsi a v ni dalsi a do te to schovaji. To je sice hezke, ale plochu to nezmensi, jen je to v jinem supliku




Otevrete si poznamkovy blok a zkopirujte do nej tento skript

Kód: Vybrat vše

Start
CloseProcesses:
CreateRestorePoint:

HKLM-x32\...\Run: [BCSSync] => C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe [89184 2012-11-05] (Microsoft Corporation)
HKU\S-1-5-21-789525210-3307182626-2393355962-1001\...\RunOnce: [Application Restart #3] => C:\Users\User\AppData\Local\Pokki\Engine\ServiceHostApp.exe --disable-internal-flash --noerrdialogs --no-message-box --disable-extensions --disable-web-security --disable-web-resources --disable-clie (the data entry has 569 more characters).
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\addToTrustedSites.vbs [2013-11-04] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\cmssservice.lnk [2015-10-01]
ShortcutTarget: cmssservice.lnk -> C:\Model\cmssservice\cmssservice.exe ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\runModel.vbs [2013-05-15] ()

HKU\S-1-5-21-789525210-3307182626-2393355962-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID= ... 7886F6223B
HKU\S-1-5-21-789525210-3307182626-2393355962-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://lenovo13.msn.com/?pc=LCJB
HKU\S-1-5-21-789525210-3307182626-2393355962-1001\Software\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = hxxp://www.lenovo.com
SearchScopes: HKU\S-1-5-21-789525210-3307182626-2393355962-1001 -> DefaultScope {1A699E11-5CDA-4037-861D-7A23910CAF09} URL =
SearchScopes: HKU\S-1-5-21-789525210-3307182626-2393355962-1001 -> {1A699E11-5CDA-4037-861D-7A23910CAF09} URL =
BHO: Skype Click to Call for Internet Explorer -> {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} -> C:\Program Files (x86)\Skype\Toolbars\Internet Explorer x64\skypeieplugin.dll [2015-10-12] (Microsoft Corporation)
BHO-x32: Skype Click to Call for Internet Explorer -> {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} -> C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [2015-10-12] (Microsoft Corporation)
Handler: skypec2c - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer x64\skypeieplugin.dll [2015-10-12] (Microsoft Corporation)
Handler-x32: skypec2c - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [2015-10-12] (Microsoft Corporation)

CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - C:\Program Files (x86)\Skype\Toolbars\ChromeExtension\skype_chrome_extension.crx [2015-10-12]

R2 c2cautoupdatesvc; C:\Program Files (x86)\Skype\Toolbars\AutoUpdate\SkypeC2CAutoUpdateSvc.exe [1433216 2015-10-12] (Microsoft Corporation)
R2 c2cpnrsvc; C:\Program Files (x86)\Skype\Toolbars\PNRSvc\SkypeC2CPNRSvc.exe [1773696 2015-10-12] (Microsoft Corporation)
R2 AdobeARMservice;Adobe Acrobat Update Service; C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2015-10-28 82128]
S2 gupdate;Služba Google Update (gupdate); C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-10-01 107848]
S2 SkypeUpdate;Skype Updater; C:\Program Files (x86)\Skype\Updater\Updater.exe [2015-07-09 327296]
S3 gupdatem;Služba Google Update (gupdatem); C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-10-01 107848]

Task: C:\windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe

Hosts:
EmptyTemp:
Reboot:
End

Vlevo nahore kliknete na napis Soubor
Kliknete na napis Ulozit jako...
Napiste spravne ten cerveny nazev fixlist a ulozte na plochu.
Vypnete antivir i dalsi pripadne zabezpeceni.
Spustte FRST jako spravce, kliknete na napis Fix a program vykona prikazy.
Po restartu pc by se mel objevit novy log - s nazvem fixlog, ten mi sem zase zkopirujte.

[P-e-tula]

Děkuji za doporučení

[P-e-tula]

Fix result of Farbar Recovery Scan Tool (x64) Version:07-11-2015
Ran by User (2015-11-12 17:57:25) Run:1
Running from C:\Users\User\Desktop
Loaded Profiles: User (Available Profiles: User)
Boot Mode: Normal
==============================================

fixlist content:
*****************
Start
CloseProcesses:
CreateRestorePoint:

HKLM-x32\...\Run: [BCSSync] => C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe [89184 2012-11-05] (Microsoft Corporation)
HKU\S-1-5-21-789525210-3307182626-2393355962-1001\...\RunOnce: [Application Restart #3] => C:\Users\User\AppData\Local\Pokki\Engine\ServiceHostApp.exe --disable-internal-flash --noerrdialogs --no-message-box --disable-extensions --disable-web-security --disable-web-resources --disable-clie (the data entry has 569 more characters).
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\addToTrustedSites.vbs [2013-11-04] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\cmssservice.lnk [2015-10-01]
ShortcutTarget: cmssservice.lnk -> C:\Model\cmssservice\cmssservice.exe ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\runModel.vbs [2013-05-15] ()

HKU\S-1-5-21-789525210-3307182626-2393355962-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID= ... 7886F6223B
HKU\S-1-5-21-789525210-3307182626-2393355962-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://lenovo13.msn.com/?pc=LCJB
HKU\S-1-5-21-789525210-3307182626-2393355962-1001\Software\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = hxxp://www.lenovo.com
SearchScopes: HKU\S-1-5-21-789525210-3307182626-2393355962-1001 -> DefaultScope {1A699E11-5CDA-4037-861D-7A23910CAF09} URL =
SearchScopes: HKU\S-1-5-21-789525210-3307182626-2393355962-1001 -> {1A699E11-5CDA-4037-861D-7A23910CAF09} URL =
BHO: Skype Click to Call for Internet Explorer -> {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} -> C:\Program Files (x86)\Skype\Toolbars\Internet Explorer x64\skypeieplugin.dll [2015-10-12] (Microsoft Corporation)
BHO-x32: Skype Click to Call for Internet Explorer -> {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} -> C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [2015-10-12] (Microsoft Corporation)
Handler: skypec2c - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer x64\skypeieplugin.dll [2015-10-12] (Microsoft Corporation)
Handler-x32: skypec2c - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [2015-10-12] (Microsoft Corporation)

CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - C:\Program Files (x86)\Skype\Toolbars\ChromeExtension\skype_chrome_extension.crx [2015-10-12]

R2 c2cautoupdatesvc; C:\Program Files (x86)\Skype\Toolbars\AutoUpdate\SkypeC2CAutoUpdateSvc.exe [1433216 2015-10-12] (Microsoft Corporation)
R2 c2cpnrsvc; C:\Program Files (x86)\Skype\Toolbars\PNRSvc\SkypeC2CPNRSvc.exe [1773696 2015-10-12] (Microsoft Corporation)
R2 AdobeARMservice;Adobe Acrobat Update Service; C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2015-10-28 82128]
S2 gupdate;Služba Google Update (gupdate); C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-10-01 107848]
S2 SkypeUpdate;Skype Updater; C:\Program Files (x86)\Skype\Updater\Updater.exe [2015-07-09 327296]
S3 gupdatem;Služba Google Update (gupdatem); C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-10-01 107848]

Task: C:\windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe

Hosts:
EmptyTemp:
Reboot:
End
*****************

Processes closed successfully.
Restore point was successfully created.
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\BCSSync => value removed successfully
HKU\S-1-5-21-789525210-3307182626-2393355962-1001\Software\Microsoft\Windows\CurrentVersion\RunOnce\\Application Restart #3 => value removed successfully
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\addToTrustedSites.vbs => moved successfully
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\cmssservice.lnk => moved successfully
C:\Model\cmssservice\cmssservice.exe => moved successfully
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\runModel.vbs => moved successfully
HKU\S-1-5-21-789525210-3307182626-2393355962-1001\Software\Microsoft\Internet Explorer\Main\\Start Page => value restored successfully
HKU\S-1-5-21-789525210-3307182626-2393355962-1001\Software\Microsoft\Internet Explorer\Main\\Default_Page_URL => value restored successfully
HKU\S-1-5-21-789525210-3307182626-2393355962-1001\Software\Microsoft\Internet Explorer\Main\\Default_Secondary_Page_URL => value removed successfully
HKU\S-1-5-21-789525210-3307182626-2393355962-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value removed successfully
"HKU\S-1-5-21-789525210-3307182626-2393355962-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{1A699E11-5CDA-4037-861D-7A23910CAF09}" => key removed successfully
HKCR\CLSID\{1A699E11-5CDA-4037-861D-7A23910CAF09} => key not found.
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}" => key removed successfully
"HKCR\CLSID\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}" => key removed successfully
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}" => key removed successfully
"HKCR\Wow6432Node\CLSID\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}" => key removed successfully
"HKCR\PROTOCOLS\Handler\skypec2c" => key removed successfully
"HKCR\CLSID\{91774881-D725-4E58-B298-07617B9B86A8}" => key removed successfully
HKCR\Wow6432Node\PROTOCOLS\Handler\skypec2c => key not found.
"HKCR\Wow6432Node\CLSID\{91774881-D725-4E58-B298-07617B9B86A8}" => key removed successfully
"HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl" => key removed successfully
C:\Program Files (x86)\Skype\Toolbars\ChromeExtension\skype_chrome_extension.crx => moved successfully
c2cautoupdatesvc => service removed successfully
c2cpnrsvc => service removed successfully
AdobeARMservice => service removed successfully
gupdate => service removed successfully
SkypeUpdate => service removed successfully
gupdatem => service removed successfully
C:\windows\Tasks\GoogleUpdateTaskMachineCore.job => moved successfully
C:\windows\Tasks\GoogleUpdateTaskMachineUA.job => moved successfully
C:\Windows\System32\Drivers\etc\hosts => moved successfully
Hosts restored successfully.
EmptyTemp: => 2.3 GB temporary data Removed.


The system needed a reboot.

==== End of Fixlog 17:58:54 ====

[P-e-tula]

Velikost plochy by nemela presahovat 200 - 300 MB! Brzdi to chod pc. Cili ji trosku uklidte a na plochu dejte jen zastupce. Jen pozor na obcasnou chybu, ze uzivatele maji na plose slozku, v ni dalsi a v ni dalsi a do te to schovaji. To je sice hezke, ale plochu to nezmensi, jen je to v jinem supliku ..


Ještě takový hloupý dotaz.. Ale.. kde zjistím velikost plochy?

pokud se totiž podívám na C:\Users\User\Desktop - tak tam mám velikost 2,64 MB - samozřejmě po pročištění plochy

[Márty84]

Ještě takový hloupý dotaz.. Ale.. kde zjistím velikost plochy?

pokud se totiž podívám na C:\Users\User\Desktop - tak tam mám velikost 2,64 MB - samozřejmě po pročištění plochy

Pak je to uz v poradku, krasne jste ji procistila



Vsechny tyto programy - vcetne pripadne instalace - spoustejte jako spravce (kliknete na ne pravym mysidlem a zvolte - Spustit jako spravce)

DelFix https://toolslib.net/downloads/finish/2/

• Stahnete a spustte
• Ponechte zatrzitkou pouze u volby Remove disinfection tools
• Kliknete na Run

Stahnete Ccleaner http://www.filehippo.com/download_ccleaner a spustte.
Pri instalaci pozor na toolbar (ci jine doplnky), jestli vam nabidne jeho instalaci, tak zruste zatrzitko.
Po spusteni se ocitnete ve funkci Cistic. Vlevo je spousta zatrzitek. Pozor dejte hlavne na kos, pokud nechate zatrzene, vzdy ho vysype.
Dale, podle toho jak je nastaven, smaze vsechna hesla ulozena na netu!!! Takze jestli mate nastavene, at si pocitac hesla pamatuje (coz neni pro bezpecnost dobre), budete je muset pak napsat znova rucne (napr mail, facebook, ruzna fora atd.)
Kliknete na Analyzovat a az dokonci analyzu, kliknete na Spustit Cleaner.
Potom kliknete vlevo na funkci Registry
Kliknete na Hledej problemy, kdyz najde, kliknete na Opravit problemy. Nabidne Vam zalohu, tu udelejte a ulozte ji tak, at ji v pripade potreby najdete.
Funkce Nastroje umoznuje odinstalovani programu. Je dukladnejsi nez samotny windows!
(Pokud je v pc vice uzivatelskych uctu, pouzijte program i v nich)

Defragmentujte disk(y) (SSD Disky ne!)
Stahnete program Defraggler https://www.piriform.com/defraggler/download/standard
Pri instalaci opet pozor na toolbar a dalsi nesmysly.
Po nainstalovani program spustte a kliknete na Analyzovat, po analyze kliknete na Defragmentovat a programek odvede svou praci.




Pak napiste, jak to s pc vypada a zda jeste vyskakuje nejaka hlaska.

[P-e-tula]

Antivir mám opět zapnutý? je to tak v pořádku nebo je potřeba ho opět vypnout?

A další otázka, defragmentaci disku mám spojenou se ztrátou dat? Je potřeba něco zálohovat?

[Márty84]

Antivir mám opět zapnutý? je to tak v pořádku nebo je potřeba ho opět vypnout?

Antivir nechte zapnuty. Doporucil bych antivir zmenit. Defender stoji za .....

A další otázka, defragmentaci disku mám spojenou se ztrátou dat? Je potřeba něco zálohovat?

Defragmentace neni formatovani. Defragmentace jen presune data na disku tak, aby byly rychlejsi reakce. Pri ruznych instalacich, odinstalacich, kopirovanich atd se na disku udela gulas. Jako byste vyhazela skrin s oblecenim na jednu hromadu. Defragmentace to zase posklada a udela prehledne kominky

[P-e-tula]

Úžasně vysvětleno - děkuji jen se ještě zeptám, to že defragmentace bude trvat asi celou věčnost, mělo být pro mě dalším příjemným zjištěním?

Vím, že Defender není úplně okey.. ale ke své práci potřebují mít v počítači nainstalované jisté programy, které bohužel s většinou známých antivirů nespolupracují. Dle našich IT je Defender dostačující

[Márty84]

jen se ještě zeptám, to že defragmentace bude trvat asi celou věčnost, mělo být pro mě dalším příjemným zjištěním?

Nooo Ten odhadovany cas vetsinou prehani, nicmene pokud se dlouho nedelala, muze opravdu trvat treba i dva dny


No, dostacujici = dostatecny, coz je ve skole za 4. A to jeste s privrenyma ocima. Ale tak jejich pohled chapu, oni maji pak aspon co delat a neprijdou o misto

[P-e-tula]

Tak bohužel, vše provedeno, tak jak jste popsal, ale chybová hláška stále vyskakuje

[JaRon]

daj kolegovi obrazok z:
spustit- msconfig - po spusteni
aby bolo na obrazku vidiet polozku, ktore su zaskrtnute

[P-e-tula]

Díky

[JaRon]

runmodel a cmssservice nastav na zakazane a restart PC
napis ci hlaska pretrvava

[P-e-tula]

Bohužel. Hláška stále přetrvává. Zmíněné programy jsou programy nutné k mé práci. Nejedná se o žádné viry, jsou stažené z důvěryhodného stroje. Nicméně, hláška, která se stále objevuje zmiňuje soubor Petrarolincova.vbs jedná se o stejný soubor, kterým se do mého počítače nějaký vir dostal.