VIRY.CZ

Pomáháme v boji s počítačovou havěti!
https://forum.viry.cz:443/

Prosím o preventivku.

https://forum.viry.cz:443/viewtopic.php?t=143944

Stránka 2 z 2

Re: Prosím o preventivku.

Napsal: 18 kvě 2015 16:51
od RacKastab
Link z Virustotal: https://www.virustotal.com/cs/file/37c9 ... 431963459/
--------------------------------------------------------------------------------------------------------------------------------Fixlist:
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 16-05-2015 02
Ran by notebook at 2015-05-18 17:42:09 Run:1
Running from C:\Users\notebook\Desktop
Loaded Profiles: notebook (Available profiles: notebook)
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
Start
CloseProcesses:
Folder: C:\Program Files (x86)\Safesoft Protector
HKU\S-1-5-21-4054755293-3890498329-465695249-1000\...\Run: [CCleaner Monitoring] => C:\Program Files\CCleaner\CCleaner64.exe [7416088 2015-02-19] (Piriform Ltd)
HKU\S-1-5-21-4054755293-3890498329-465695249-1000\...\Run: [DAEMON Tools Pro Agent] => C:\Program Files (x86)\DAEMON Tools Pro\DTAgent.exe [3108480 2012-10-23] (DT Soft Ltd)
HKU\S-1-5-21-4054755293-3890498329-465695249-1000\...\MountPoints2: {627f2a0e-cced-11e4-a6b8-70f395aae471} - E:\autorun.exe

HKU\S-1-5-21-4054755293-3890498329-465695249-1000\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.cz/?gfe_rd=cr&ei=bNQ ... gws_rd=ssl
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
FF Plugin: @microsoft.com/GENUINE -> disabled No File
FF Plugin-x32: @microsoft.com/GENUINE -> disabled No File

S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]

2015-05-18 12:38 - 2015-05-18 12:38 - 00009213 _____ () C:\Users\notebook\Desktop\Nepotvrzeno 188167.crdownload
2015-05-18 10:58 - 2015-05-18 10:58 - 00003110 _____ () C:\Users\notebook\Desktop\AdwCleaner[S0].txt
2015-05-18 10:56 - 2015-05-18 10:56 - 00000056 _____ () C:\Windows\setupact.log
2015-05-18 10:56 - 2015-05-18 10:56 - 00000000 _____ () C:\Windows\setuperr.log
2015-05-18 10:44 - 2015-05-18 10:54 - 00000000 ____D () C:\AdwCleaner
CMD: dir "C:\Users\notebook\AppData\Roaming\*.tmp"
CMD: dir "C:\Windows\SysWOW64\*.tmp"
2015-04-27 08:45 - 2015-04-27 08:45 - 00000000 _____ () C:\Users\notebook\AppData\Roaming\D417.tmp
2015-04-16 23:16 - 2015-04-16 23:16 - 00000000 _____ () C:\Windows\SysWOW64\RENA36F.tmp
CMD: del "C:\Users\notebook\AppData\Roaming\*.tmp"
CMD: del "C:\Windows\SysWOW64\*.tmp"
2015-04-13 08:20 - 2015-05-18 12:15 - 00000000 ____D () C:\Program Files\trend micro
2015-04-13 08:20 - 2015-04-13 08:20 - 00000000 ____D () C:\rsit
2015-04-12 21:22 - 2015-04-12 21:24 - 01222144 _____ () C:\Users\notebook\Desktop\RSITx64.exe
Hosts:
EmptyTemp:
End
*****************

Processes closed successfully.

========================= Folder: C:\Program Files (x86)\Safesoft Protector ========================

2015-04-27 08:46 - 2015-04-27 08:47 - 0135168 _____ (SecureSoft) C:\Program Files (x86)\Safesoft Protector\amie.dll
2015-04-27 08:46 - 2015-04-27 08:47 - 0000411 _____ () C:\Program Files (x86)\Safesoft Protector\config.txt
2015-04-27 08:46 - 2015-04-27 08:47 - 0000021 _____ () C:\Program Files (x86)\Safesoft Protector\default.action
2015-04-27 08:46 - 2015-04-27 08:47 - 0000142 _____ () C:\Program Files (x86)\Safesoft Protector\default.filter
2015-04-27 08:46 - 2015-04-27 08:47 - 0158720 _____ (Jelbrus) C:\Program Files (x86)\Safesoft Protector\itchromium64.exe
2015-04-27 08:46 - 2015-04-27 08:47 - 0086528 _____ () C:\Program Files (x86)\Safesoft Protector\mgwz.dll
2015-04-27 08:46 - 2015-04-27 08:47 - 0371200 _____ (The Privoxy team - www.privoxy.org) C:\Program Files (x86)\Safesoft Protector\privoxy.exe
2015-04-27 08:46 - 2015-04-27 08:46 - 0000000 _____ () C:\Program Files (x86)\Safesoft Protector\privoxy.log
2015-04-27 08:46 - 2015-04-27 08:47 - 0110080 _____ (Jelbrus) C:\Program Files (x86)\Safesoft Protector\ssweb64.dll

====== End of Folder: ======

HKU\S-1-5-21-4054755293-3890498329-465695249-1000\Software\Microsoft\Windows\CurrentVersion\Run\\CCleaner Monitoring => Value not found.
HKU\S-1-5-21-4054755293-3890498329-465695249-1000\Software\Microsoft\Windows\CurrentVersion\Run\\DAEMON Tools Pro Agent => Value not found.
"HKU\S-1-5-21-4054755293-3890498329-465695249-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{627f2a0e-cced-11e4-a6b8-70f395aae471}" => Key deleted successfully.
HKCR\CLSID\{627f2a0e-cced-11e4-a6b8-70f395aae471} => Key not found.
HKU\S-1-5-21-4054755293-3890498329-465695249-1000\Software\Microsoft\Internet Explorer\Main\\Start Page => Value was restored successfully.
HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value deleted successfully.
HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value deleted successfully.
HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value deleted successfully.
"HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE" => Key deleted successfully.
"HKLM\Software\Wow6432Node\MozillaPlugins\@microsoft.com/GENUINE" => Key deleted successfully.
xhunter1 => Service deleted successfully.
"C:\Users\notebook\Desktop\Nepotvrzeno 188167.crdownload" => File/Directory not found.
"C:\Users\notebook\Desktop\AdwCleaner[S0].txt" => File/Directory not found.
C:\Windows\setupact.log => Moved successfully.
C:\Windows\setuperr.log => Moved successfully.
C:\AdwCleaner => Moved successfully.

========= dir "C:\Users\notebook\AppData\Roaming\*.tmp" =========

Svazek v jednotce C nem� ��dnou jmenovku.
S�riov� ��slo svazku je 5470-0AA6.

V�pis adres��e C:\Users\notebook\AppData\Roaming

27.04.2015 08:45 0 D417.tmp
Soubor�: 1, Bajt�: 0
Adres���: 0, Voln�ch bajt�: 212�394�881�024

========= End of CMD: =========


========= dir "C:\Windows\SysWOW64\*.tmp" =========

Svazek v jednotce C nem� ��dnou jmenovku.
S�riov� ��slo svazku je 5470-0AA6.

V�pis adres��e C:\Windows\SysWOW64

16.04.2015 23:16 0 RENA36F.tmp
Soubor�: 1, Bajt�: 0
Adres���: 0, Voln�ch bajt�: 212�394�872�832

========= End of CMD: =========

C:\Users\notebook\AppData\Roaming\D417.tmp => Moved successfully.
C:\Windows\SysWOW64\RENA36F.tmp => Moved successfully.

========= del "C:\Users\notebook\AppData\Roaming\*.tmp" =========

Nelze naj�t C:\Users\notebook\AppData\Roaming\*.tmp.

========= End of CMD: =========


========= del "C:\Windows\SysWOW64\*.tmp" =========

Nelze naj�t C:\Windows\SysWOW64\*.tmp.

========= End of CMD: =========

C:\Program Files\trend micro => Moved successfully.
C:\rsit => Moved successfully.
C:\Users\notebook\Desktop\RSITx64.exe => Moved successfully.
C:\Windows\System32\Drivers\etc\hosts => Moved successfully.
Hosts was reset successfully.
EmptyTemp: => Removed 725.3 MB temporary data.


The system needed a reboot.

==== End of Fixlog 17:42:25 ====

Re: Prosím o preventivku.

Napsal: 18 kvě 2015 16:55
od RacKastab
V tom fixlistu neni kódování pro háčky a čárky, nebo proč tam jsou ty otazníky? Jen mě to zajímá.. V msconfig procesu jsem zakázal windows deffender při spuštění jestli to stačí. Ve systemovích zprávách už po mě nevyžaduje kontrolu, takže je nejspíše vypnutý. Jinak co jste myslel tím, že jsou to velice zajímavé informace? Já mam všechny hry originální... :D Aspoň Windowsy ano! :).. Nebo vy snad vše máte originální a placené? Jen ze zvědavosti :)..

// Dnes jsem byl dát výpověď v práci, kvůli tomu, že mi účetní zpackala výplatu (není to jediný důvod a nebylo to poprvé)... Ani se neptejte kolik mi ubrala, pak má mít člověk na to aby si mohl všechno original kupovat, když dělá za tak málo peněz a ještě má platit nájem. Jinak smím se zeptat, vy za to, že takhle pomáháte lidem dostáváte nějakou určitou částku, nebo to děláte z dobré vůle? :)

Re: Prosím o preventivku.

Napsal: 18 kvě 2015 18:33
od altrok
Otestujte na virustotal.com C:\Program Files (x86)\Safesoft Protector\itchromium64.exe a C:\Program Files (x86)\Safesoft Protector\ssweb64.dll - pokud uz byly soubory otestovane, zvolte Reanalyse. Do pristiho prispevku dejte linky (odkazy) s vysledky analyz.

Ano, spatne kodovani - cestina zkratka dela problemy :D
Defender - postup na jeho vypnuti je v prilozenem odkazu http://windows.microsoft.com/cs-cz/wind ... =windows-7
V zajimavem nehledejte dvojsmysly. Pro me zajimave z hlediska kontroly haveti. Kdyz uz se ptate, tak ja mam vsechno originalni. Studentska licence na operacni system, to same officy, hry kupuju jen v akci na steamu, 7-zip a dalsi SW je zdarma.
Vsichni tady pomahame zcela zdarma bez naroku na jakoukoliv odmenu. Pripadna podpora jde na provoz fora. Pro nas je tohle cinnost, ktera bavi a je odmenena tim nejkrasnejsim... Vasim podekovanim a spokojenosti :)

Jak se chova pocitac? Pozorujete nejake zlepseni?

Re: Prosím o preventivku.

Napsal: 18 kvě 2015 18:44
od RacKastab
To je vskutku obdivuhodné! Kdybych na tom v tuhle chvíli nebyl na tom tak bídně tak vám něco pošlu, ale v tuhle chvíli počítám každou sto korunu. Ale další měsíc, v červnu bych klidně rád přispěl :). Koukám, že tu každým dnem pomáháte mnoha lidem a popravdě nebýt vás tak nevím co bych si počal a ntb bych shodil a přeinstaloval.. :D

Vypadá to, že "ssweb64.dll" není úplně v pořádku, to samé itchromium64.exe. Co s tím?
https://www.virustotal.com/cs/file/9a00 ... 431970996/
https://www.virustotal.com/cs/file/2543 ... 431973445/

// Jinak PC se chová o dost lépe oproti tomu jak to bylo předtím, než jste mi pomohl.

// Jinak co to privoxy vůbec je? Ta složka mě vcelku dost znepokojuje..
http://www.imagehosting.cz/?v=privoxy.jpg

Re: Prosím o preventivku.

Napsal: 18 kvě 2015 19:33
od altrok
Format je v absolutni vetsine pripadu, ktere zde resime, zbytecny.

Dana slozka (C:\Program Files (x86)\Safesoft Protector) je mi take podezrela a velice pravdepodobne se jedna o skodnou, ktera v PC nema, co delat (nelibi se ani avastu), takze ji celou smazte. Zbytky po nalezech avastu jsme jiz odstranili v predchozich krocich, takze ted jsou logy ciste.

Za pripadny prispevek na chod fora Vam jmenem celeho tymu dekuji :)
A pokud nejsou dotazy ci jine problemy, je to ode mne vse.

Re: Prosím o preventivku.

Napsal: 18 kvě 2015 19:41
od RacKastab
# DelFix v1.010 - Logfile created 18/05/2015 at 20:37:02
# Updated 26/04/2015 by Xplode
# Username : notebook - NOTEBOOK-PC
# Operating System : Windows 7 Home Premium Service Pack 1 (64 bits)

~ Removing disinfection tools ...

Deleted : C:\FRST
Deleted : C:\Users\notebook\Desktop\adwcleaner_4.204.exe
Deleted : C:\Users\notebook\Desktop\FRST64.exe
Deleted : HKLM\SOFTWARE\AdwCleaner
Deleted : HKLM\SOFTWARE\TrendMicro\Hijackthis

########## - EOF - ##########
---------------------------------------------
Zapnu službu Windows Defender a restartnu ntb abych ho následně mohl deaktivovat jak jste mi radil v předešlém příspěvku. Jinak ntb se chová o dost lépe a je o dost svižnější! Určitě si na vás vzpomenu.. Poznamenám si to a příspěvek odešlu, následně vás o tom budu informovat v SZ :). Přeji hezký zbytek dne a mnohokrát děkuji. Přeji vašemu projektu hodně úspěchů! :)

Re: Prosím o preventivku.

Napsal: 18 kvě 2015 19:54
od altrok
Funkci SZ maji bezni navstevnici vypnutou, ale muzete me informovat napr. pomoci mailu, ktery mam uvedeny v podpisu, pripadne je k tomuto ucelu vytvorene tema http://forum.viry.cz/viewtopic.php?f=7& ... &p=1396523 . Jeste jednou Vam za pripadny prispevek a prani tomuto foru dekuji :)


Nemate zac, rad jsem pomohl :worship:


Mejte se krasne a treba zase nekdy :bye:
Všechny časy jsou v UTC+01:00
Stránka 2 z 2

Založeno na phpBB® Forum Software © phpBB Limited

Český překlad – phpBB.cz