Prosím o pomoc s odstraněním malware - Yeabests.cc

[Invite1]

Dobrý den,

moc děkuji. Ještě scanuji NB Spyhunterem a ten hlásí v registrech "Elex Hijacker", konkrétně v registrech:
HKEY_LOCAL_MACHINE\software\microsoft\windows defender\exclusions\paths\::C:\Users\MSUser.Default\Help_4\
HKEY_LOCAL_MACHINE\software\microsoft\windows defender\exclusions\paths\::C:\Users\MSUser.Default\Help_5\
HKEY_LOCAL_MACHINE\software\microsoft\windows defender\exclusions\paths\::C:\Users\MSUser.Default\Help_6\

Systém mne ale nenechá tyto registry smazat.

Co si o tom myslíte?

Pozn:
Spyhunter také našel asi 585 souborů s nákazou "YesSearches.com" - zřejmě všechny v Google Chrome (odinstaloval jsem jej)
Dále našel 9 infekcí "Trotux.com" v adresáři AppData (všechny jsem smazal)
Našel i 42 registrů s "PUP.Kuazip" (také jsem smazal)


Děkuji.

[altrok]

• Do Poznamkoveho bloku (Start -> spustit -> notepad) zkopirujte obsah bileho pole
• ulozte na plochu jako fixlist (Typ souboru: Textovy dokument)
• znovu spustte FRST a kliknete na Fix
• na plose bude ulozen fixlog, jehoz obsah vlozte do pristi odpovedi

  Kód: Vybrat vše

  Start
  CMD: dir C:\Users
  Folder: C:\Users\MSUser.Default
  Folder: C:\Users\MSUser.Default\Help_4
  Folder: C:\Users\MSUser.Default\Help_5
  Folder: C:\Users\MSUser.Default\Help_6
  End

Na SpyHuntera zrovna moc pozitivni nazor nemam, ale proverime to jeste. Prvni jsou vyjimky ze skenovani pro Windows Defender, ale vy pouzivate Aviru. Abyste se uplne zbavil nektereho malwaru, ktery infikuje prohlizece, je nekdy nutne jeho preinstalovani (zalohovat pouze zalozky a hesla napr. pomoci Chrome Backup a odinstalovat vcetne profilu). Trotux v logu nevidim ani ted. Kuazip - jedna se pouze o neaktivni zbytky - soubory jsme jiz odstranili.

[Invite1]

Dobrý den,

logy v příloze.

Ten Elex Hijacker mi to Spyhunter hlásí v registrech stále:

HKEY_LOCAL_MACHINE\software\microsoft\windows defender\exclusions\paths\::C:\Users\MSUser.Default\Help_4\
HKEY_LOCAL_MACHINE\software\microsoft\windows defender\exclusions\paths\::C:\Users\MSUser.Default\Help_5\
HKEY_LOCAL_MACHINE\software\microsoft\windows defender\exclusions\paths\::C:\Users\MSUser.Default\Help_6\

UnhackMe nenachází nic.

Na Spyhunter jsem četl také rozporuplné názory, ale je pravda, že toho najde nejvíce. Asi proto, že hledá i neaktivní zbytky a tím straší uživatele, aby jej zakoupili. Ale nalezené soubory a registry se dají odstraňovat i ručně, takže pokud sám o sobě Spyhunter není malware což se pokud vím nikdy nepotvrdilo, tak si myslím, že je to užitečný software pro skenování.

Chtěl jsem odstranit ty výjimky z Defenderu, tak abych jej byl schopen zapnout tak jsem dočasně odinstaloval Aviru i Spybot a Malwarebytes (tam mi stejně už končila zkušební doba). UnhackMe taky budu muset odinstalovat, protože bude končit zkušební doba. Aviru nainstaluji zpátky. Jaký je váš názor na on-line ochranu? Je Spybot dostačující? Vyplatí se zakoupit Malwarebytes nebo něco jiného? Ještě jsem nainstaloval i Microsoft EMET, ale tam si nejsem jistý, co přesně dělá.

Zkusím ještě nainstalovat zpátky Chrome a uvidím, jestli Spyhunter zase něco objeví.

[altrok]

• Do Poznamkoveho bloku (Start -> spustit -> notepad) zkopirujte obsah bileho pole
• ulozte na plochu jako fixlist (Typ souboru: Textovy dokument)
• znovu spustte FRST a kliknete na Fix
• po restartu bude na plose ulozen fixlog, jehoz obsah vlozte do pristi odpovedi

  Kód: Vybrat vše

  Start
  CreateRestorePoint:
  CloseProcesses:
  CMD: reg query "HKEY_LOCAL_MACHINE\software\microsoft\windows defender\exclusions\paths"
  DeleteKey: "HKEY_LOCAL_MACHINE\software\microsoft\windows defender\exclusions\paths\::C:\Users\MSUser.Default\Help_4"
  DeleteKey: "HKEY_LOCAL_MACHINE\software\microsoft\windows defender\exclusions\paths\::C:\Users\MSUser.Default\Help_5"
  DeleteKey: "HKEY_LOCAL_MACHINE\software\microsoft\windows defender\exclusions\paths\::C:\Users\MSUser.Default\Help_6"
  CMD: reg query "HKEY_LOCAL_MACHINE\software\microsoft\windows defender\exclusions\paths"
  End

Spybot je zastaraly a na soucasnou havet nedostatecny. Co se tyce Malwarebytes, tak tady jsem na vysledky srovnavacich testu ochrany v realnem case jeste nenarazil, tudiz nemuzu objektivne nic doporucit. Pokud se na internetu chovate bezpecne, pak na ochranu staci bezplatny avast!. Mrknete na srovnavaci testy a nazor si udelejte sam http://forum.viry.cz/viewtopic.php?f=14 ... &start=195

[Invite1]

Dobrý den,

přidávám logy.
Vypadá to, že klíče v registrech zůstaly.

[altrok]

• Do Poznamkoveho bloku (Start -> spustit -> notepad) zkopirujte obsah bileho pole
• ulozte na plochu jako fixlist (Typ souboru: Textovy dokument)
• znovu spustte FRST a kliknete na Fix
• po restartu bude na plose ulozen fixlog, jehoz obsah vlozte do pristi odpovedi

  Kód: Vybrat vše

  Start
  CreateRestorePoint:
  CloseProcesses:
  HKU\S-1-5-21-1644376603-1512953597-3634974712-1001\...\MountPoints2: {d540219b-76ef-11e4-9719-806e6f6e6963} - "D:\menu.exe" 
  C:\Users\Michal\AppData\Local\Temp
  CMD: reg query "HKEY_LOCAL_MACHINE\software\microsoft\windows defender\exclusions\paths\C:\Users\MSUser.Default\Help_4\"
  CMD: reg query "HKEY_LOCAL_MACHINE\software\microsoft\windows defender\exclusions\paths\C:\"
  CMD: reg query "HKEY_LOCAL_MACHINE\software\microsoft\windows defender\exclusions\paths"
  DeleteKey: "HKEY_LOCAL_MACHINE\software\microsoft\windows defender\exclusions\paths\C:\Users\MSUser.Default\Help_4"
  DeleteKey: "HKEY_LOCAL_MACHINE\software\microsoft\windows defender\exclusions\paths\C:\Users\MSUser.Default\Help_5"
  DeleteKey: "HKEY_LOCAL_MACHINE\software\microsoft\windows defender\exclusions\paths\C:\Users\MSUser.Default\Help_6"
  CMD: reg query "HKEY_LOCAL_MACHINE\software\microsoft\windows defender\exclusions\paths"
  End

[Invite1]

Dobrý den,

přikládám logy.
Klíče jsou pořád v registrech
Není to náhodou součást Win?

[altrok]

Klic HKEY_LOCAL_MACHINE\software\microsoft\windows defender\exclusions\paths je defaultne prazdny - detekovane klice urcite nejsou nedilnou soucasti Windowsu. Obsah tohoto klice smazte rucne (pred tim pro jistotu cely klic zazalohujte).

win+R -> regedit

[Invite1]

Dobrý den,

o manuální smazání jsem se pokoušel už několikrát neúspěšně.

Údaj hodnoty je nastaven na "0".
Cesta např. "C:\Users\MSUser.Default\Help_4\" v poli "Název hodnoty" nelze změnit.
Celý klíč smazat nelze - hlásí chybovou hlášku.

V příloze posílám screenshoty.

[altrok]

Pokuste se tyto hodnoty smazat v nouzovem rezimu (predpokladam, ze zalohu celeho klice jiz mate).

[Invite1]

Dobrý den,

bohužel ani v nouzovém režimu nejdou klíče smazat

[altrok]

Podle logu pouzivate Aviru, takze vyjimky v Defenderu jsou v tuto chvili bezpredmetne. Nemam ted moznost zjistit presny postup na Win10, ale kdyz otevrete Windows Defender, vpravo nahore Nastaveni a nekde nize je Upresnit moznosti, kde se nastavuji vyjimky, ktere Defender bude ignorovat. To jsou prave hodnoty, ktere naleza Elex Hijacker.

Pokud je Avira aktivni (coz dle logu je), tak Vam pravdepodobne ani okno Defenderu nepujde otevrit.

https://support.microsoft.com/en-us/ins ... s-defender

[Invite1]

Dobrý den,

děkuji za odpověď.
Tento postup jsem zkoušel už dříve - odinstaloval jsem Aviru, aktivoval Win Def. a chtěl vymazat výjimky, nicméně ve Win Def. se tyto výjimky vůbec nezobrazují, takže se nedají vymazat

Asi mi nezbývá než se s tím smířit a používat neustále Aviru, že?

[altrok]

Souhlasim - pouzivat cokoliv jineho nez Defender. Momentalne me jiny zpusob vymazani zaznamu nenapada (zda jsou vubec aktivni).

• Stahnete a spustte DelFix - https://toolslib.net/downloads/viewdownload/2-delfix/
• Oznacte jen moznost "Remove disinfection tools"
• kliknete na Run

A pokud nejsou dotazy ci jine problemy, je to ode mne vse.

[Invite1]

Dobrý den,

provedeno - v příloze Delfix Log.

Děkuji mnohokrát za pomoc.