Virus - trojský kůň

[cernohous13]

Díky, pak už tedy opravdu není jasné odkud se ta hláška bere

neukládáš nějaká data někde na server? (cloud)

[P-e-tula]

no.. ano.. Icloud mám.

[cernohous13]

Odpoj se od internetu/zakaž síť a restartuj - hláška taky vyskočí?

[P-e-tula]

Po vypnutí wifi a restartu stále stejný scénář. Všimla jsem si ale položky v nabídce start... Nevím zda to s tím souvisí nebo ne, ale..

[cernohous13]

Podle FRST byl smazán

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\addToTrustedSites.vbs => moved successfully

Najdi a smaž ho ve Startup ručně - restartuj a zkus ho najít (stále odpojený internet)

Podle tohoto http://windows.microsoft.com/en-us/wind ... =windows-7
se může jednat o nastavení v IE

jsi pracovníkem nebo klientem čmss ?

[P-e-tula]

Jsem zaměstnancem čmss.

smazala jsem oba soubory .vbs ve startup, ale opět bezvýsledně. Dokonce jsem odinstalovala i model čmss, který s tím mohl souviset, protože runmodel.vbs patřil k němu, ale nic.. hláška je stále na svém místě.

a internet explorer nepoužívám vůbec. Použila jsem ho pouze jednou, abych v něm spustila ESET online scan, který mi našel trojského koně.

[Márty84]

Ten pocitac je vas, nebo patri firme? Jestli firme, muze tam byt nejake omezeni prav. Eset neco smazal, ale nechal nejake zbytky a proto se ta hlaska objevuje.


Znovu spustte OTL jako spravce
Do spodniho okna vlozte nasledujici text (vcetne te dvojtecky pred slovem commands)

Kód: Vybrat vše

:commands
[EMPTYTEMP]
[EMPTYFLASH]
[RESETHOSTS]
[Purity]
[CreateRestorePoint]

:files
%windir%\system32\*.tmp.dll /s
%windir%\system32\SET*.tmp /s
%windir%\*.tmp

:otl
O15 - HKU\S-1-5-21-789525210-3307182626-2393355962-1001\..Trusted Domains: csobpoj.cz ([app2] https in Trusted sites)
O15 - HKU\S-1-5-21-789525210-3307182626-2393355962-1001\..Trusted Domains: http://127.0.0.1 ([]* in Trusted sites)
O15 - HKU\S-1-5-21-789525210-3307182626-2393355962-1001\..Trusted Domains: http://localhost ([]* in Trusted sites)

Kliknete na Opravit a nechte program pracovat. Pri otazce na restart souhlaste.
Po restartu se objevi novy log, ten sem dejte.

[P-e-tula]

All processes killed
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

User: User
->Temp folder emptied: 13640 bytes
->Temporary Internet Files folder emptied: 16262 bytes
->Google Chrome cache emptied: 155140820 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 5106 bytes
RecycleBin emptied: 1919950 bytes

Total Files Cleaned = 150,00 mb


[EMPTYFLASH]

User: All Users

User: Default

User: Default User

User: Public

User: User
->Flash cache emptied: 0 bytes

Total Flash Files Cleaned = 0,00 mb

C:\windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
Restore point Set: OTL Restore Point
========== FILES ==========
File/Folder C:\windows\system32\*.tmp.dll not found.
File/Folder C:\windows\system32\SET*.tmp not found.
File/Folder C:\windows\*.tmp not found.
========== OTL ==========
Registry key HKEY_USERS\S-1-5-21-789525210-3307182626-2393355962-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\csobpoj.cz\app2\ deleted successfully.
Registry key HKEY_USERS\S-1-5-21-789525210-3307182626-2393355962-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\http://127.0.0.1\ deleted successfully.
Registry key HKEY_USERS\S-1-5-21-789525210-3307182626-2393355962-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\http://localhost\ deleted successfully.

OTL by OldTimer - Version 3.2.69.0 log created on 11132015_235939

Files\Folders moved on Reboot...
File\Folder C:\Users\User\AppData\Local\Microsoft\Windows\INetCache\Content.Word\~WRS{16D95521-EB63-4E0A-B2F3-DBA3178FF103}.tmp not found!
File\Folder C:\Users\User\AppData\Local\Microsoft\Windows\INetCache\Content.Word\~WRS{5CAE3DBC-7710-420F-B960-48D2EF20748D}.tmp not found!
File\Folder C:\Users\User\AppData\Local\Microsoft\Windows\INetCache\Content.Word\~WRS{94068207-6646-42A0-8833-5EDFB31B9F6E}.tmp not found!
File\Folder C:\Users\User\AppData\Local\Microsoft\Windows\INetCache\Content.MSO\ADF423CC.png not found!
C:\Users\User\AppData\Local\Microsoft\Windows\INetCache\counters.dat moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

[Márty84]

Ten pocitac je vas, nebo patri firme?

Postupujte podle navodu kolegy

Stahnete Malwarebytes Anti-Rootkit http://www.bleepingcomputer.com/downloa ... i-rootkit/

• Ulozte nejlepe na Plochu a rozbalte
• Spustte kliknutim na mbar
• Nyni postupne kliknete na Next a Update
• Po dokonceni update (aktualizace) databaze kliknete opet na Next
• Nechte zaskrtnute vsechny tri moznosti a klinete na Scan cimz spustite prohledavani PC
• Po dokonceni skenu (cca 5 minutek) zkontrolujte, zda-li je u vsech nalezu (samozrejme pokud budou) zatrzitko
• Tez zkontrolujte, jetsli je zatrzitko u Create Restore point
• Nyni kliknete na CleanUp cimz nalezenou infekci odstranime
• PC bude restartovan
• Slozka mbar by mela obsahovat log (a zrejme se i sam otevre) mbar-log-rok-mesic-den (hodina-minuta-sekunda).txt, ten mi sem dejte

[P-e-tula]

Počítač je můj. Firma nám poskytuje pouze software. Test jsem udělala. Nicméně, žádný malware či cokoliv jiného to nenašlo, nedošlo tedy k restartu PC ani žádný log, který bych Vám sem mohla dát, nemám

[P-e-tula]

Tak pardón.. Log je tady..

Malwarebytes Anti-Rootkit BETA 1.9.3.1001
www.malwarebytes.org

Database version:
main: v2015.11.15.01
rootkit: v2015.11.14.01

Windows 8.1 x64 NTFS
Internet Explorer 11.0.9600.18098
User :: LENOVO-PC [administrator]

15.11.2015 10:21:58
mbar-log-2015-11-15 (10-21-58).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled:
Objects scanned: 337007
Time elapsed: 31 minute(s), 7 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)

(end)

[Márty84]

DelFix https://toolslib.net/downloads/finish/2/

• Stahnete a spustte
• Ponechte zatrzitkou pouze u volby Remove disinfection tools
• Kliknete na Run

Restartujte pc, az naskoci ta hlaska, pockejte jeste nekolik minut, az pc kompletne najede. Pak spustte spravce uloh a vyfotte si spustene aplikace a procesy. Pote okno s hlaskou zavrete a znovu vyfotte aplikace a procesy. Dokud nezjistime, co tu hlasku vyvolava, asi se ji nezbavite

[P-e-tula]

# DelFix v1.011 - Logfile created 15/11/2015 at 13:47:52
# Updated 18/08/2015 by Xplode
# Username : User - LENOVO-PC
# Operating System : Windows 8.1 (64 bits)

~ Removing disinfection tools ...

Deleted : C:\_OTL
Deleted : C:\Users\User\Desktop\mbar
Deleted : C:\Users\User\Desktop\Extras.Txt
Deleted : C:\Users\User\Desktop\OTL.Txt
Deleted : C:\Users\User\Desktop\OTL.exe
Deleted : C:\Users\User\Desktop\SystemLook.txt
Deleted : C:\Users\User\Desktop\SystemLook_x64.exe
Deleted : HKLM\SOFTWARE\OldTimer Tools

########## - EOF - ##########

[P-e-tula]

Tak jediný proces, který se vypne společně s vypnutím tabulky je tento :

"Microsoft Windows Based Script host"

Všechny ostatní procesy/služby zůstavají

[Márty84]

Vyborne

Kdyz na to kliknete pravym a zvolite vlastnosti, objevi se neco?