Re: windefender.exe
Napsal: 06 zář 2017 12:53
Položku smažte.
Stránka 2 z 2
Re: windefender.exe
Napsal: 06 zář 2017 13:53
No to už jsem udělal včera i dneska, po restartu tam nebyl ale asi po dvou hodinách používaní PC se tam zase objeví...
Re: windefender.exe
Napsal: 06 zář 2017 13:56
Nechodíte někam na internetu, odkud se vám stahuje? Udělejte sken ComboFix a dejte log:
Stahnete a ulozte nejlepe na plochu ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
pote spustte aplikaci pod uctem s administratorskym opravnenim
hned po startu se zobrazi obrazovka s licencnimi podminkami, pokracujte kliknutim na tlacitko Ano.
v klidu si postavte na kafe (cela akce trva cca. 5-10 minut, nekdy i dele - dle toho, o jak rychly stroj se
jedna a kolika soubory se skener bude muset prodirat), behem skenu se nepokousejte spoustet zadne jine
aplikace ani nic jineho
behem skenovani nepropadejte panice, vas stroj muze byt restartovan (predevsim pri prvni aplikaci skeneru)
upozorneni: pokud pouzivate antispyware s rezidentnim stitem, prepnete jeho rezidentni stit do Install Mode,
pripadne jej po dobu skenu uplne deaktivujte, protoze dochazi pri skenu a vymazu pripadneho malware k
nezadoucim kolizim s rezidentem antispyware.
Re: windefender.exe
Napsal: 06 zář 2017 14:07
Bohužel combofix na Win10 nejde. A že by se mi to stahovalo se mi nezdá ale zkusím omezit použití internetu a budu sledovat jestli se zase objeví. Ono se to může samo nějak skrytě stáhnout a nainstalovat? Nejde to nějak blokovat?
Re: windefender.exe
Napsal: 06 zář 2017 16:42
Pardon, já se nevšiml. Tak udělejte test AVPTool: http://www.viry.cz/forum/viewtopic.php?f=29&t=58179 . Stáhněte, spusťte, nechte pracovat a po dokončení smažte vše, co najde. Bude to ale poněkud zdlouhavější.
Re: windefender.exe
Napsal: 07 zář 2017 16:56
Tak bohužel se mi to z internetu nestahuje. Dnes ráno jsem zapnul AVPTool a vymazal zed.exe a než AVPTool doběhl zed.exe už tam zase byl. AVP ho sice našel a našel i další 2 jeho kamarády ve stejné složce ale po jejich odebrání se zase vytvářejí. Nevytvářejí se ihned ale až po nějaké době, z mého sledování bych řekl, že se vytvoří ve chvíli, kdy zhruba 20minut nepoužívám PC (asi to pozná že se nehýbe myš nebo něco takového...). Jediné co jsem na googlu našel o zed.exe je 1 den staré, takže si myslím že je to nějaký nový virus, na který zatím nic není 
http://imgur.com/a/hOAVV
https://www.bleepingcomputer.com/forums ... coinminer/
http://imgur.com/a/hOAVV
https://www.bleepingcomputer.com/forums ... coinminer/
Re: windefender.exe
Napsal: 07 zář 2017 17:00
Vypadá to, že jde o bitcoin miner. Zkuste tento postup: http://www.2virus-removal.com/cz/jak-odstranit-miner-2/ . Nemá to vyzkoušené, takže nemohu potvrdit, že se to podaří. Jinak vás čeká format c:\
Re: windefender.exe
Napsal: 07 zář 2017 17:40
Ta stránka mi přijde podezřelá, ten text na ní je jakoby byl přeložen google translatorem a vypadá to jako reklama na ten WiperSoft což je jen nějaký program co udělá sken a pak se musí zaplatit. Myslíte že nemá cenu čekat na nějakou aktualizaci virové databáze, která si s tím pak poradí?Re: windefender.exe
Napsal: 07 zář 2017 18:01
Možná ano. BitcoinMiner vám PC zpomaluje, jinak nijak neškodí.
Re: windefender.exe
Napsal: 07 zář 2017 18:12
Tak já neustále sleduju tu složku a jakmile se to tam objeví tak to mažu. Možná že by se i dal napsat nějaký skript nebo něco takového co by to třeba každou minutu mazalo. Ještě pár dní počkám a uvidím jestli to nevyřeší na bleepingcomputer a při nejhorším půjde formát...
Re: windefender.exe
Napsal: 07 zář 2017 18:58
Skript možná ano, jenže vám neřeknu jak. Pokud se vám ta stránka zdá podezřelá, nenutím vás k aplikaci. Použili jsme standardní metodu k likvidaci, bohužel to nefunguje proto, že se v systému ještě něco skrývá a stále stahuje ty šmejdy. ComboFix by to možná našel, jenže ho na desítkách nespustíme.
Re: windefender.exe
Napsal: 07 zář 2017 19:10
No toho ComboFixu je škoda, každopádně vám ještě jednou děkuji za pomoc a ohlásím se jak to dopadlo.
Re: windefender.exe
Napsal: 07 zář 2017 19:57
OK, nemáte zač! 
Re: windefender.exe
Napsal: 14 zář 2017 21:31
Tak nakonec se to povedlo odstranit ale říkal že to opravdu byla nějaká nová nákaza kterou museli analyzovat. Každopádně vám ještě jednou děkuji za ochotu a pomoc
Thread: https://www.bleepingcomputer.com/forums ... oin-miner/
První fixlist:
CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
GroupPolicy: Restriction <==== ATTENTION
Task: {0840CA8A-9B6C-408C-BF61-6C17E64B4CD8} - C:\Windows\System32\Tasks\Microsoft Advanced Identity Protection Service => Command(1): wusa.exe -> C:\windows\update.cab /extract:C:\windows\system32\ <==== ATTENTION
Task: {0840CA8A-9B6C-408C-BF61-6C17E64B4CD8} - C:\Windows\System32\Tasks\Microsoft Advanced Identity Protection Service => Command(2): C:\windows\system32\msaips.exe [2017-09-01] (Microsoft Corporation)
Task: {49E98E81-4A90-4B82-A159-94C2C339C04F} - \Maxthon Update -> No File <==== ATTENTION
Task: {7E47F5CC-AA8B-4154-866B-957BEE85A8EB} - \Microsoft OneDrive Auto Update Task-S-1-5-21-1342017476-176686534-2564918354-1001 -> No File <==== ATTENTION
Task: {E8A0E56D-7915-4136-9F57-7C2D2ECF511D} - \Adobe Flash Player Updater -> No File <==== ATTENTION
HKU\S-1-5-21-1342017476-176686534-2564918354-1001\...\StartupApproved\StartupFolder: => "windefender.exe"
HKU\S-1-5-21-1342017476-176686534-2564918354-1001\...\StartupApproved\Run: => "GoogleChromeAutoLaunch_795A6C1EC44E0A41F3030B5EF87A210A"
C:\ProgramData\ntuser.pol
C:\Users\Petr\AppData\Local\MSGBOX.EXE
C:\Users\Petr\AppData\Roaming\syslog
C:\WINDOWS\update.cab
C:\WINDOWS\splash.cab
C:\WINDOWS\system32\msaips.exe
Zip: C:\FRST\Quarantine
EmptyTemp:
A druhý fixlist:
VirusTotal: C:\windows\system32\cstlsvc.exe
R2 cstlsvc; C:\windows\system32\cstlsvc.exe [1230848 2017-09-02] (Microsoft Corporation) [File not signed]
C:\windows\system32\cstlsvc.exe
ale říkal že to opravdu byla nějaká nová nákaza kterou museli analyzovat. Každopádně vám ještě jednou děkuji za ochotu a pomoc Thread: https://www.bleepingcomputer.com/forums ... oin-miner/
První fixlist:
CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
GroupPolicy: Restriction <==== ATTENTION
Task: {0840CA8A-9B6C-408C-BF61-6C17E64B4CD8} - C:\Windows\System32\Tasks\Microsoft Advanced Identity Protection Service => Command(1): wusa.exe -> C:\windows\update.cab /extract:C:\windows\system32\ <==== ATTENTION
Task: {0840CA8A-9B6C-408C-BF61-6C17E64B4CD8} - C:\Windows\System32\Tasks\Microsoft Advanced Identity Protection Service => Command(2): C:\windows\system32\msaips.exe [2017-09-01] (Microsoft Corporation)
Task: {49E98E81-4A90-4B82-A159-94C2C339C04F} - \Maxthon Update -> No File <==== ATTENTION
Task: {7E47F5CC-AA8B-4154-866B-957BEE85A8EB} - \Microsoft OneDrive Auto Update Task-S-1-5-21-1342017476-176686534-2564918354-1001 -> No File <==== ATTENTION
Task: {E8A0E56D-7915-4136-9F57-7C2D2ECF511D} - \Adobe Flash Player Updater -> No File <==== ATTENTION
HKU\S-1-5-21-1342017476-176686534-2564918354-1001\...\StartupApproved\StartupFolder: => "windefender.exe"
HKU\S-1-5-21-1342017476-176686534-2564918354-1001\...\StartupApproved\Run: => "GoogleChromeAutoLaunch_795A6C1EC44E0A41F3030B5EF87A210A"
C:\ProgramData\ntuser.pol
C:\Users\Petr\AppData\Local\MSGBOX.EXE
C:\Users\Petr\AppData\Roaming\syslog
C:\WINDOWS\update.cab
C:\WINDOWS\splash.cab
C:\WINDOWS\system32\msaips.exe
Zip: C:\FRST\Quarantine
EmptyTemp:
A druhý fixlist:
VirusTotal: C:\windows\system32\cstlsvc.exe
R2 cstlsvc; C:\windows\system32\cstlsvc.exe [1230848 2017-09-02] (Microsoft Corporation) [File not signed]
C:\windows\system32\cstlsvc.exe
Re: windefender.exe
Napsal: 15 zář 2017 16:16
OK. Díky za info a jsem rád, že se to podařilo.