Stránka 3 z 4

Re: zavirované pc

Napsal: 27 říj 2014 22:20
od Rudy
tmp58

Re: zavirované pc

Napsal: 28 říj 2014 09:36
od aladeenmadafaka
podívám se na to. ted 2 dny nebudu u PC. Myslím, že ale tmp58 v registrech nenajdu. podle těch hlášek, co to hlásí, je název souboru vždy jiný. jednou je to tmp58, před tím to bylo tmpXY...mám dojem, že vir bude ještě někde zavrtaný...

Re: zavirované pc

Napsal: 28 říj 2014 10:45
od Rudy
Udělejte tento kompletní sken: http://www.malwarebytes.org/mbam.php . Dejte log, předem nic nemažte.

Re: zavirované pc

Napsal: 28 říj 2014 15:43
od aladeenmadafaka
Bez názvu-1.jpg
Bez názvu-1.jpg (239.92 KiB) Zobrazeno 954 x
Stáhl jsem 14 denní trial verzi, bohužel se stala nějaká chyba instalace a program nejde spustit ani po opakovaném pokusu o instalaci (a vymazání registrů po první instalaci)
H

Re: zavirované pc

Napsal: 28 říj 2014 15:49
od cernohous13
Kolega promine moje upřesnění - verze 2.0 na WinXP nechodí

:arrow: Stáhni a nainstaluj MBAM zde http://www.bleepingcomputer.com/downloa ... re/dl/241/ verzi 1.75
Při aktualizaci ti jako první nabídne instalaci nové verze - dáš Storno - bude aktualizována jen databáze
Po instalaci Spustit -> na 1.záložce "Kontrolor" -> Úplná kontrola -> Prohledat
po dokončení scanu vyskočí okno Notepad s výsledkem - obsah zkopíruj do své odpovědi
zatím nic nemazat

já už :hide:

Re: zavirované pc

Napsal: 29 říj 2014 21:30
od aladeenmadafaka
provedu, kontrola právě běží, co jsem zapl počítač před chvílí, už na mě vyskočili 3 okna od AVG, že zablokoval útok...vir začíná přitápět :(

Re: zavirované pc

Napsal: 30 říj 2014 19:53
od aladeenmadafaka
Malwarebytes Anti-Malware (Zkušební verze Malwarebytes Anti-Malware.) 1.75.0.1300
www.malwarebytes.org

Verze: v2014.10.30.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Honza :: HONZA-2C8DE4C0D [administrátor]

Ochrana: Povolena

30. 10. 2014 6:29:19
MBAM-log-2014-10-30 (19-50-04).txt

Typ: Kompletní kontrola (C:\|G:\|)
Nastavení kontroly povoleno: Paměť | Po spuštění | Registr | Systémové soubory | Heuristická analýza Extra | Heuristická analýza Shuriken | PUP | PUM
Nastavení kontroly zakázáno: P2P
Kontrolované objekty: 533249
Uplynulý čas: 3 hodin, 37 minut, 15 sekund

Nalezené procesy v paměti: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené moduly v paměti: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené klíče v registru: 3
HKCU\Software\Torntv V6.0 (PUP.Optional.TornTV.A) -> Nebyla provedena žádná instrukce.
HKLM\SOFTWARE\Google\Chrome\Extensions\mmifolfpllfdhilecpdpmemhelmanajl (PUP.Optional.BetterSurf.A) -> Nebyla provedena žádná instrukce.
HKLM\Software\Torntv V6.0 (PUP.Optional.TornTV.A) -> Nebyla provedena žádná instrukce.

Nalezené hodnoty v registru: 4
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer|Run (Trojan.Agent) -> Data: "C:\Documents and Settings\Honza\Data aplikací\Microsoft\Windows\IEUpdate\fsutil.exe" -> Nebyla provedena žádná instrukce.
HKLM\SOFTWARE\Mozilla\Firefox\Extensions|ext@WebexpEnhancedV1alpha426.net (PUP.Optional.WebExpEnhanced.A) -> Data: C:\Program Files\WebexpEnhancedV1\WebexpEnhancedV1alpha426\ff -> Nebyla provedena žádná instrukce.
HKLM\SOFTWARE\Mozilla\Firefox\Extensions|ext@WebexpEnhancedV1alpha2227.net (PUP.Optional.WebExpEnhanced.A) -> Data: C:\Program Files\WebexpEnhancedV1\WebexpEnhancedV1alpha2227\ff -> Nebyla provedena žádná instrukce.
HKLM\SOFTWARE\mozilla\Firefox\Extensions|ext@VideoPlayerV3beta688.net (PUP.Optional.VideoPlayer.A) -> Data: C:\Program Files\VideoPlayerV3\VideoPlayerV3beta688\ff -> Nebyla provedena žádná instrukce.

Nalezené datové položky v registru: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené složky: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené soubory: 8
C:\Documents and Settings\All Users\Data aplikací\Microsoft\Secure\Icons\temp\tmp4.exe (Trojan.Inject.ED) -> Nebyla provedena žádná instrukce.
C:\Documents and Settings\All Users\Data aplikací\Microsoft\Secure\Icons\temp\tmp5.exe (Spyware.Zbot.ED) -> Nebyla provedena žádná instrukce.
C:\Documents and Settings\Honza\Dokumenty\programy\acad09\Autocad 2009 cz\Autodesk.AutoCAD.2009.zip (RiskWare.Tool.HCK) -> Nebyla provedena žádná instrukce.
C:\Documents and Settings\Honza\Dokumenty\programy\acad09\Autocad 2009 cz\Autodesk.AutoCAD.2009\Autodesk AutoCAD 2009\xf-acad9-32-BITS.exe (RiskWare.Tool.HCK) -> Nebyla provedena žádná instrukce.
C:\Documents and Settings\Honza\Dokumenty\programy\acad09\Autocad 2009 cz\Autodesk.AutoCAD.2009\Autodesk AutoCAD 2009\xf-acad9-64-BITS.exe (RiskWare.Tool.CK) -> Nebyla provedena žádná instrukce.
C:\System Volume Information\_restore{92954805-8D8F-4890-B7F1-2DDBE11195BD}\RP345\A0176611.exe (Spyware.Zbot.ED) -> Nebyla provedena žádná instrukce.
G:\$RECYCLE.BIN\S-1-5-21-2405424288-1518412730-646487809-1001\$RGKMUFY.exe (PUP.Optional.OpenCandy) -> Nebyla provedena žádná instrukce.
G:\Honza\Soft_Hry_Data\LANKA Pleskačky\Call of Duty 4\iw3sp.exe (Trojan.Agent.ED) -> Nebyla provedena žádná instrukce.

(konec)

Re: zavirované pc

Napsal: 30 říj 2014 19:55
od aladeenmadafaka
neustále se nexplorer.exe snaží připojit na nějaké stránky

Re: zavirované pc

Napsal: 30 říj 2014 20:04
od Rudy
Udělejte kompletní sken MBAM: http://www.malwarebytes.org/mbam.php . Dejte log, předem nic nemažte.

Re: zavirované pc

Napsal: 30 říj 2014 21:57
od aladeenmadafaka
viz víše, předchozí příspěvěk. je to čím dál horší. nechal jsem vyčistit avgčkem, ale to už nepomáhá

Re: zavirované pc

Napsal: 30 říj 2014 22:04
od Rudy
Vše, co MBAM nalezl, smažte.

Re: zavirované pc

Napsal: 31 říj 2014 19:33
od aladeenmadafaka
Tak, proskenováno, odstraněno. Viz data dole. Pamatuju si, že vir sem si natáhl instalací toho torntv.exe pod záminkou stažení filmu z torrentů. Ted jsem po vymazání toho co program našel a smazal resetoval počítač, (což program vyžadoval) a opět mi avg zablokoval útok. tzn problém zůstavá. vir útočil na nějaký exe soubor avastu...nevíte co dál? počítač je hrozně zasekaný...díky moc, snad se objedu bez reinstalace win. H

Malwarebytes Anti-Malware (Zkušební verze Malwarebytes Anti-Malware.) 1.75.0.1300
www.malwarebytes.org

Verze: v2014.10.30.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Honza :: HONZA-2C8DE4C0D [administrátor]

Ochrana: Povolena

31. 10. 2014 15:27:59
mbam-log-2014-10-31 (15-27-59).txt

Typ: Kompletní kontrola (C:\|G:\|)
Nastavení kontroly povoleno: Paměť | Po spuštění | Registr | Systémové soubory | Heuristická analýza Extra | Heuristická analýza Shuriken | PUP | PUM
Nastavení kontroly zakázáno: P2P
Kontrolované objekty: 534239
Uplynulý čas: 3 hodin, 48 minut, 45 sekund

Nalezené procesy v paměti: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené moduly v paměti: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené klíče v registru: 3
HKCU\Software\Torntv V6.0 (PUP.Optional.TornTV.A) -> Přesun do karantény a smazání se zdařilo.
HKLM\SOFTWARE\Google\Chrome\Extensions\mmifolfpllfdhilecpdpmemhelmanajl (PUP.Optional.BetterSurf.A) -> Přesun do karantény a smazání se zdařilo.
HKLM\Software\Torntv V6.0 (PUP.Optional.TornTV.A) -> Přesun do karantény a smazání se zdařilo.

Nalezené hodnoty v registru: 4
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer|Run (Trojan.Agent) -> Data: "C:\Documents and Settings\Honza\Data aplikací\Microsoft\Windows\IEUpdate\fsutil.exe" -> Přesun do karantény a smazání se zdařilo.
HKLM\SOFTWARE\Mozilla\Firefox\Extensions|ext@WebexpEnhancedV1alpha426.net (PUP.Optional.WebExpEnhanced.A) -> Data: C:\Program Files\WebexpEnhancedV1\WebexpEnhancedV1alpha426\ff -> Přesun do karantény a smazání se zdařilo.
HKLM\SOFTWARE\Mozilla\Firefox\Extensions|ext@WebexpEnhancedV1alpha2227.net (PUP.Optional.WebExpEnhanced.A) -> Data: C:\Program Files\WebexpEnhancedV1\WebexpEnhancedV1alpha2227\ff -> Přesun do karantény a smazání se zdařilo.
HKLM\SOFTWARE\mozilla\Firefox\Extensions|ext@VideoPlayerV3beta688.net (PUP.Optional.VideoPlayer.A) -> Data: C:\Program Files\VideoPlayerV3\VideoPlayerV3beta688\ff -> Přesun do karantény a smazání se zdařilo.

Nalezené datové položky v registru: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené složky: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené soubory: 5
C:\Documents and Settings\Honza\Dokumenty\programy\acad09\Autocad 2009 cz\Autodesk.AutoCAD.2009.zip (RiskWare.Tool.HCK) -> Přesun do karantény a smazání se zdařilo.
C:\Documents and Settings\Honza\Dokumenty\programy\acad09\Autocad 2009 cz\Autodesk.AutoCAD.2009\Autodesk AutoCAD 2009\xf-acad9-32-BITS.exe (RiskWare.Tool.HCK) -> Přesun do karantény a smazání se zdařilo.
C:\Documents and Settings\Honza\Dokumenty\programy\acad09\Autocad 2009 cz\Autodesk.AutoCAD.2009\Autodesk AutoCAD 2009\xf-acad9-64-BITS.exe (RiskWare.Tool.CK) -> Přesun do karantény a smazání se zdařilo.
G:\$RECYCLE.BIN\S-1-5-21-2405424288-1518412730-646487809-1001\$RGKMUFY.exe (PUP.Optional.OpenCandy) -> Přesun do karantény a smazání se zdařilo.
G:\Honza\Soft_Hry_Data\LANKA Pleskačky\Call of Duty 4\iw3sp.exe (Trojan.Agent.ED) -> Přesun do karantény a smazání se zdařilo.

(konec)

Re: zavirované pc

Napsal: 31 říj 2014 19:50
od Rudy
Změnilo se něco k lepšímu?

Re: zavirované pc

Napsal: 31 říj 2014 23:10
od aladeenmadafaka
ne, je to špatný. píšu že to není ok. znova mi AVG zablokoval tmp10.exe od procesu explorer.exe, který se snaží někam dostat na web. systém ho po zablokování asi hledá, takže vyskočila hláška že systém nemůže najít tmp10.exe
máte na to nějaké rady? já to v tuto chvíli vidím na reinstal win, pokud mi nedokážete pomoci, protože takto se na pc nedá pracovat....to na to nejsou programy které to najdou? nebo už je to v takovém stadiu zavorivání ,že to nejde? :(

díky
H

Re: zavirované pc

Napsal: 01 lis 2014 11:14
od Rudy
Ještě můžeme zkusit ComboFix:
Stahnete a ulozte nejlepe na plochu ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

pote spustte aplikaci pod uctem s administratorskym opravnenim

hned po startu se zobrazi obrazovka s licencnimi podminkami, pokracujte kliknutim na tlacitko Ano.

v klidu si postavte na kafe (cela akce trva cca. 5-10 minut, nekdy i dele - dle toho, o jak rychly stroj se

jedna a kolika soubory se skener bude muset prodirat), behem skenu se nepokousejte spoustet zadne jine

aplikace ani nic jineho

behem skenovani nepropadejte panice, vas stroj muze byt restartovan (predevsim pri prvni aplikaci skeneru)

upozorneni: pokud pouzivate antispyware s rezidentnim stitem, prepnete jeho rezidentni stit do Install Mode,

pripadne jej po dobu skenu uplne deaktivujte, protoze dochazi pri skenu a vymazu pripadneho malware k

nezadoucim kolizim s rezidentem antispyware.