Re: Virus - trojský kůň
Napsal: 13 lis 2015 19:22
Díky, pak už tedy opravdu není jasné odkud se ta hláška bere 
neukládáš nějaká data někde na server? (cloud)
neukládáš nějaká data někde na server? (cloud)
Stránka 4 z 6
Re: Virus - trojský kůň
Napsal: 13 lis 2015 19:25
no.. ano.. Icloud mám.
Re: Virus - trojský kůň
Napsal: 13 lis 2015 19:29
Odpoj se od internetu/zakaž síť a restartuj - hláška taky vyskočí?
Re: Virus - trojský kůň
Napsal: 13 lis 2015 19:55
Po vypnutí wifi a restartu stále stejný scénář. Všimla jsem si ale položky v nabídce start... Nevím zda to s tím souvisí nebo ne, ale..
Re: Virus - trojský kůň
Napsal: 13 lis 2015 20:14
Podle FRST byl smazán
Podle tohoto http://windows.microsoft.com/en-us/wind ... =windows-7
se může jednat o nastavení v IE
jsi pracovníkem nebo klientem čmss ?
Najdi a smaž ho ve Startup ručně - restartuj a zkus ho najít (stále odpojený internet)C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\addToTrustedSites.vbs => moved successfully
Podle tohoto http://windows.microsoft.com/en-us/wind ... =windows-7
se může jednat o nastavení v IE
jsi pracovníkem nebo klientem čmss ?Re: Virus - trojský kůň
Napsal: 13 lis 2015 20:37
Jsem zaměstnancem čmss.
smazala jsem oba soubory .vbs ve startup, ale opět bezvýsledně. Dokonce jsem odinstalovala i model čmss, který s tím mohl souviset, protože runmodel.vbs patřil k němu, ale nic.. hláška je stále na svém místě.
a internet explorer nepoužívám vůbec. Použila jsem ho pouze jednou, abych v něm spustila ESET online scan, který mi našel trojského koně.
smazala jsem oba soubory .vbs ve startup, ale opět bezvýsledně. Dokonce jsem odinstalovala i model čmss, který s tím mohl souviset, protože runmodel.vbs patřil k němu, ale nic.. hláška je stále na svém místě.
a internet explorer nepoužívám vůbec. Použila jsem ho pouze jednou, abych v něm spustila ESET online scan, který mi našel trojského koně.
Re: Virus - trojský kůň
Napsal: 13 lis 2015 23:06
Ten pocitac je vas, nebo patri firme? Jestli firme, muze tam byt nejake omezeni prav. Eset neco smazal, ale nechal nejake zbytky a proto se ta hlaska objevuje.
Znovu spustte OTL jako spravce
Do spodniho okna vlozte nasledujici text (vcetne te dvojtecky pred slovem commands)
Kliknete na Opravit a nechte program pracovat. Pri otazce na restart souhlaste.
Po restartu se objevi novy log, ten sem dejte.
Znovu spustte OTL jako spravceDo spodniho okna vlozte nasledujici text (vcetne te dvojtecky pred slovem commands)
Kód: Vybrat vše
:commands
[EMPTYTEMP]
[EMPTYFLASH]
[RESETHOSTS]
[Purity]
[CreateRestorePoint]
:files
%windir%\system32\*.tmp.dll /s
%windir%\system32\SET*.tmp /s
%windir%\*.tmp
:otl
O15 - HKU\S-1-5-21-789525210-3307182626-2393355962-1001\..Trusted Domains: csobpoj.cz ([app2] https in Trusted sites)
O15 - HKU\S-1-5-21-789525210-3307182626-2393355962-1001\..Trusted Domains: http://127.0.0.1 ([]* in Trusted sites)
O15 - HKU\S-1-5-21-789525210-3307182626-2393355962-1001\..Trusted Domains: http://localhost ([]* in Trusted sites)
Po restartu se objevi novy log, ten sem dejte.
Re: Virus - trojský kůň
Napsal: 14 lis 2015 09:54
All processes killed
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Public
User: User
->Temp folder emptied: 13640 bytes
->Temporary Internet Files folder emptied: 16262 bytes
->Google Chrome cache emptied: 155140820 bytes
->Flash cache emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 5106 bytes
RecycleBin emptied: 1919950 bytes
Total Files Cleaned = 150,00 mb
[EMPTYFLASH]
User: All Users
User: Default
User: Default User
User: Public
User: User
->Flash cache emptied: 0 bytes
Total Flash Files Cleaned = 0,00 mb
C:\windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
Restore point Set: OTL Restore Point
========== FILES ==========
File/Folder C:\windows\system32\*.tmp.dll not found.
File/Folder C:\windows\system32\SET*.tmp not found.
File/Folder C:\windows\*.tmp not found.
========== OTL ==========
Registry key HKEY_USERS\S-1-5-21-789525210-3307182626-2393355962-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\csobpoj.cz\app2\ deleted successfully.
Registry key HKEY_USERS\S-1-5-21-789525210-3307182626-2393355962-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\http://127.0.0.1\ deleted successfully.
Registry key HKEY_USERS\S-1-5-21-789525210-3307182626-2393355962-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\http://localhost\ deleted successfully.
OTL by OldTimer - Version 3.2.69.0 log created on 11132015_235939
Files\Folders moved on Reboot...
File\Folder C:\Users\User\AppData\Local\Microsoft\Windows\INetCache\Content.Word\~WRS{16D95521-EB63-4E0A-B2F3-DBA3178FF103}.tmp not found!
File\Folder C:\Users\User\AppData\Local\Microsoft\Windows\INetCache\Content.Word\~WRS{5CAE3DBC-7710-420F-B960-48D2EF20748D}.tmp not found!
File\Folder C:\Users\User\AppData\Local\Microsoft\Windows\INetCache\Content.Word\~WRS{94068207-6646-42A0-8833-5EDFB31B9F6E}.tmp not found!
File\Folder C:\Users\User\AppData\Local\Microsoft\Windows\INetCache\Content.MSO\ADF423CC.png not found!
C:\Users\User\AppData\Local\Microsoft\Windows\INetCache\counters.dat moved successfully.
PendingFileRenameOperations files...
Registry entries deleted on Reboot...
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Public
User: User
->Temp folder emptied: 13640 bytes
->Temporary Internet Files folder emptied: 16262 bytes
->Google Chrome cache emptied: 155140820 bytes
->Flash cache emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 5106 bytes
RecycleBin emptied: 1919950 bytes
Total Files Cleaned = 150,00 mb
[EMPTYFLASH]
User: All Users
User: Default
User: Default User
User: Public
User: User
->Flash cache emptied: 0 bytes
Total Flash Files Cleaned = 0,00 mb
C:\windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
Restore point Set: OTL Restore Point
========== FILES ==========
File/Folder C:\windows\system32\*.tmp.dll not found.
File/Folder C:\windows\system32\SET*.tmp not found.
File/Folder C:\windows\*.tmp not found.
========== OTL ==========
Registry key HKEY_USERS\S-1-5-21-789525210-3307182626-2393355962-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\csobpoj.cz\app2\ deleted successfully.
Registry key HKEY_USERS\S-1-5-21-789525210-3307182626-2393355962-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\http://127.0.0.1\ deleted successfully.
Registry key HKEY_USERS\S-1-5-21-789525210-3307182626-2393355962-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\http://localhost\ deleted successfully.
OTL by OldTimer - Version 3.2.69.0 log created on 11132015_235939
Files\Folders moved on Reboot...
File\Folder C:\Users\User\AppData\Local\Microsoft\Windows\INetCache\Content.Word\~WRS{16D95521-EB63-4E0A-B2F3-DBA3178FF103}.tmp not found!
File\Folder C:\Users\User\AppData\Local\Microsoft\Windows\INetCache\Content.Word\~WRS{5CAE3DBC-7710-420F-B960-48D2EF20748D}.tmp not found!
File\Folder C:\Users\User\AppData\Local\Microsoft\Windows\INetCache\Content.Word\~WRS{94068207-6646-42A0-8833-5EDFB31B9F6E}.tmp not found!
File\Folder C:\Users\User\AppData\Local\Microsoft\Windows\INetCache\Content.MSO\ADF423CC.png not found!
C:\Users\User\AppData\Local\Microsoft\Windows\INetCache\counters.dat moved successfully.
PendingFileRenameOperations files...
Registry entries deleted on Reboot...
Re: Virus - trojský kůň
Napsal: 14 lis 2015 21:31
Márty84 píše:Ten pocitac je vas, nebo patri firme?
Postupujte podle navodu kolegy
vyosek píše:
- Ulozte nejlepe na Plochu a rozbalte
- Spustte kliknutim na mbar
- Nyni postupne kliknete na Next a Update
- Po dokonceni update (aktualizace) databaze kliknete opet na Next
- Nechte zaskrtnute vsechny tri moznosti a klinete na Scan cimz spustite prohledavani PC
- Po dokonceni skenu (cca 5 minutek) zkontrolujte, zda-li je u vsech nalezu (samozrejme pokud budou) zatrzitko
- Tez zkontrolujte, jetsli je zatrzitko u Create Restore point
- Nyni kliknete na CleanUp cimz nalezenou infekci odstranime
- PC bude restartovan
- Slozka mbar by mela obsahovat log (a zrejme se i sam otevre) mbar-log-rok-mesic-den (hodina-minuta-sekunda).txt, ten mi sem dejte
Re: Virus - trojský kůň
Napsal: 15 lis 2015 10:55
Počítač je můj. Firma nám poskytuje pouze software. Test jsem udělala. Nicméně, žádný malware či cokoliv jiného to nenašlo, nedošlo tedy k restartu PC ani žádný log, který bych Vám sem mohla dát, nemám 
Re: Virus - trojský kůň
Napsal: 15 lis 2015 10:58
Tak pardón.. 
Log je tady..
Malwarebytes Anti-Rootkit BETA 1.9.3.1001
www.malwarebytes.org
Database version:
main: v2015.11.15.01
rootkit: v2015.11.14.01
Windows 8.1 x64 NTFS
Internet Explorer 11.0.9600.18098
User :: LENOVO-PC [administrator]
15.11.2015 10:21:58
mbar-log-2015-11-15 (10-21-58).txt
Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled:
Objects scanned: 337007
Time elapsed: 31 minute(s), 7 second(s)
Memory Processes Detected: 0
(No malicious items detected)
Memory Modules Detected: 0
(No malicious items detected)
Registry Keys Detected: 0
(No malicious items detected)
Registry Values Detected: 0
(No malicious items detected)
Registry Data Items Detected: 0
(No malicious items detected)
Folders Detected: 0
(No malicious items detected)
Files Detected: 0
(No malicious items detected)
Physical Sectors Detected: 0
(No malicious items detected)
(end)
Log je tady.. Malwarebytes Anti-Rootkit BETA 1.9.3.1001
www.malwarebytes.org
Database version:
main: v2015.11.15.01
rootkit: v2015.11.14.01
Windows 8.1 x64 NTFS
Internet Explorer 11.0.9600.18098
User :: LENOVO-PC [administrator]
15.11.2015 10:21:58
mbar-log-2015-11-15 (10-21-58).txt
Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled:
Objects scanned: 337007
Time elapsed: 31 minute(s), 7 second(s)
Memory Processes Detected: 0
(No malicious items detected)
Memory Modules Detected: 0
(No malicious items detected)
Registry Keys Detected: 0
(No malicious items detected)
Registry Values Detected: 0
(No malicious items detected)
Registry Data Items Detected: 0
(No malicious items detected)
Folders Detected: 0
(No malicious items detected)
Files Detected: 0
(No malicious items detected)
Physical Sectors Detected: 0
(No malicious items detected)
(end)
Re: Virus - trojský kůň
Napsal: 15 lis 2015 12:35
vyosek píše:
- Stahnete a spustte
- Ponechte zatrzitkou pouze u volby Remove disinfection tools
- Kliknete na Run
Restartujte pc, az naskoci ta hlaska, pockejte jeste nekolik minut, az pc kompletne najede. Pak spustte spravce uloh a vyfotte si spustene aplikace a procesy. Pote okno s hlaskou zavrete a znovu vyfotte aplikace a procesy. Dokud nezjistime, co tu hlasku vyvolava, asi se ji nezbavite 
Re: Virus - trojský kůň
Napsal: 15 lis 2015 13:48
# DelFix v1.011 - Logfile created 15/11/2015 at 13:47:52
# Updated 18/08/2015 by Xplode
# Username : User - LENOVO-PC
# Operating System : Windows 8.1 (64 bits)
~ Removing disinfection tools ...
Deleted : C:\_OTL
Deleted : C:\Users\User\Desktop\mbar
Deleted : C:\Users\User\Desktop\Extras.Txt
Deleted : C:\Users\User\Desktop\OTL.Txt
Deleted : C:\Users\User\Desktop\OTL.exe
Deleted : C:\Users\User\Desktop\SystemLook.txt
Deleted : C:\Users\User\Desktop\SystemLook_x64.exe
Deleted : HKLM\SOFTWARE\OldTimer Tools
########## - EOF - ##########
# Updated 18/08/2015 by Xplode
# Username : User - LENOVO-PC
# Operating System : Windows 8.1 (64 bits)
~ Removing disinfection tools ...
Deleted : C:\_OTL
Deleted : C:\Users\User\Desktop\mbar
Deleted : C:\Users\User\Desktop\Extras.Txt
Deleted : C:\Users\User\Desktop\OTL.Txt
Deleted : C:\Users\User\Desktop\OTL.exe
Deleted : C:\Users\User\Desktop\SystemLook.txt
Deleted : C:\Users\User\Desktop\SystemLook_x64.exe
Deleted : HKLM\SOFTWARE\OldTimer Tools
########## - EOF - ##########
Re: Virus - trojský kůň
Napsal: 17 lis 2015 10:57
Tak jediný proces, který se vypne společně s vypnutím tabulky je tento :
"Microsoft Windows Based Script host"
Všechny ostatní procesy/služby zůstavají
"Microsoft Windows Based Script host"
Všechny ostatní procesy/služby zůstavají
Re: Virus - trojský kůň
Napsal: 17 lis 2015 14:26
Vyborne 
Kdyz na to kliknete pravym a zvolite vlastnosti, objevi se neco?
Kdyz na to kliknete pravym a zvolite vlastnosti, objevi se neco?